Risque
- Exécution de code arbitraire à distance ;
- atteinte à la confidentialité des données.
Systèmes affectés
- Microsoft Office XP Service Pack 3 ;
- Microsoft Office 2003 Service Pack 3 ;
- 2007 Microsoft Office System Service Pack 1 et 2 ;
- Microsoft Visio 2002 Viewer ;
- Microsoft Office Visio 2003 Viewer ;
- Microsoft Office Vision Viewer Service Pack 2 et versions antérieures.
Résumé
Plusieurs vulnérabilités dans Microsoft Active Template Library (ATL) ActiveX controls pour Microsoft Office permettent à une personne malintentionnée d'exécuter du code arbitraire à distance.
Description
De multiples vulnérabilités dans Microsoft Active Template Library (ATL) ActiveX controls pour Microsoft Office permettent à une personne distante d'exécuter du code arbitraire :
- une erreur dans l'en-tête de Microsoft ATL permet d'exécuter du code arbitraire à distance via l'appel VariantClear (CVE-2009-0901);
- une erreur dans l'en-tête de Microsoft ATL permet d'exécuter du code arbitraire à distance via l'instantiation d'un objet issu d'un flux de données (CVE-2009-2493) ;
- une erreur dans Microsoft ATL permet de lire une chaîne de caractères sans le caractère NULL de fin. Il est ainsi possible de lire des données supplémentaires présentes en mémoire.
Solution
Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).
Documentation
- Bulletin de sécurité Microsoft MS09-060 du 13 octobre 2009 :
http://www.microsoft.com/france/technet/security/Bulletin/MS09-060.mspx
http://www.microsoft.com/technet/security/Bulletin/MS09-060.mspx
- Référence CVE CVE-2009-0901 :
https://www.cve.org/CVERecord?id=CVE-2009-0901
- Référence CVE CVE-2009-2493 :
https://www.cve.org/CVERecord?id=CVE-2009-2493
- Référence CVE CVE-2009-2495 :
https://www.cve.org/CVERecord?id=CVE-2009-2495
