S.G.D.S.N
Agence nationale
de la sécurité des
systèmes d'information
Paris, le 09 décembre 2009
N° CERTA-2009-AVI-537
Affaire suivie par: CERT-FR
le 09 décembre 2009

Avis du CERT-FR

Objet: Multiples vulnérabilités du service d’authentification Internet de Microsoft

Gestion du document

Référence CERTA-2009-AVI-537
Titre Multiples vulnérabilités du service d’authentification Internet de Microsoft
Date de la première version 09 décembre 2009
Date de la dernière version 09 décembre 2009
Source(s) Bulletin de sécurité Microsoft numéro MS09-071 du 08 décembre 2009
Pièce(s) jointe(s) Aucune(s)
Tableau 1: Gestion du document

Une gestion de version détaillée se trouve à la fin de ce document.

Risque

  • Exécution de code arbitraire à distance ;
  • élévation de privilèges.

Systèmes affectés

  • Microsoft Windows 2000 Service Pack 4 ;
  • Windows XP Service Pack 2 et Service Pack 3 ;
  • Windows XP Pro édition x64 Service Pack 2;
  • Windows Server 2003 toutes versions ;
  • Windows Vista toutes versions ;
  • Windows 2008 versions antérieures à la version R2.

Résumé

De multiples vulnérabilités ont été découvertes dans le service d'authentification Internet de Microsoft. L'exploitation de ces vulnérabilités permet entre autres d'exécuter du code arbitraire à distance.

Description

Deux vulnérabilités ont été découvertes dans le service d'authentification Internet de Microsoft :

  • la première résulte d'une mauvaise implémentation du protocole d'authentification PAEP et permet l'exécution de code arbitraire à distance ;
  • la seconde résulte d'une mauvaise gestion des requêtes d'authentification MS-CHAP v2 et permet à un utilisateur mal intentionné d'avoir accès à des ressources d'un utilisateur privilégié.

Solution

Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).

Documentation

Gestion détaillée du document

    le 09 décembre 2009
    version initiale.