Rechercher
Contactez-nous Suivez-nous sur Twitter En francais English Language
 

De la Théorie à la pratique











Abonnez-vous gratuitement à notre NEWSLETTER

Newsletter FR

Newsletter EN

Vulnérabilités

Se désabonner

Avis du CERTA : Vulnérabilité dans le traitement des URI sous Windows

novembre 2007 par CERTA

1 Risque

* Exécution de code arbitraire à distance ;
* contournement de la politique de sécurité.

2 Systèmes affectés

* Windows XP Service Pack 2 ;
* Windows XP Professional x64 Edition ;
* Windows XP Professional x64 Edition Service Pack 2 ;
* Windows Server 2003 Service Pack 1 ;
* Windows Server 2003 Service Pack 2 ;
* Windows Server 2003 x64 Edition ;
* Windows Server 2003 x64 Edition Service Pack 2 ;
* Windows Server 2003 avec SP1 et SP2 pour systèmes Itanium.

Microsoft Windows 2000 Service Pack 4 et Microsoft Vista ne sont pas affectés.

3 Résumé

Une vulnérabilité liée à la gestion des URI dans Windows permet l’exécution de commandes arbitraires à distance.

4 Description

Une vulnérabilité liée à la gestion des URI (Uniform Resource Identifier) dans Windows permet l’exécution de commandes arbitraires à distance. La présence d’Internet Explorer 7 (IE7) est nécessaire pour l’exploitation de cette vulnérabilité.

Celle-ci a fait l’objet de l’alerte CERTA-2007-ALE-015 publiée par le CERTA le 10 octobre 2007. Microsoft avait par ailleurs signalé le problème dans l’avis de sécurité 943521 le 11 octobre.

5 Solution

Se référer au bulletin de sécurité MS07-061 de Microsoft pour l’obtention des correctifs (cf. section Documentation).

6 Documentation

* Bulletin de sécurité Microsoft MS07-061 du 13 novembre 2007 :

http://www.microsoft.com/france/technet/security/Bulletin/MS07-061.mspx

http://www.microsoft.com/technet/security/Bulletin/MS07-061.mspx

* Référence CVE CVE-2007-3896 :

http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2007-3896

* Alerte CERTA-2007-ALE-015 du 10 octobre 2007, « Vulnérabilité dans le traitement des URI sous Windows » :

http://www.certa.ssi.gouv.fr/site/CERTA-2007-ALE-015/




Voir les articles précédents

    

Voir les articles suivants