Rechercher
Contactez-nous Suivez-nous sur Twitter En francais English Language
 

De la Théorie à la pratique











Abonnez-vous gratuitement à notre NEWSLETTER

Newsletter FR

Newsletter EN

Vulnérabilités

Se désabonner

Bulletin d’arlete du CERTA : Vulnérabilité dans le traitement des URI sous Windows

octobre 2007 par CERTA

1 Risque

Exécution de commandes arbitraires à distance.

2 Systèmes affectés

* Windows XP SP 2 avec Internet Explorer 7 installé ;
* Windows 2003 Server SP2 avec Internet Explorer 7 installé.

D’autres versions de Windows peuvent être affectées, le principal prérequis étant la présence d’Internet Explorer 7.

3 Résumé

Une vulnérabilité dans la gestion des URI dans Windows permet l’exécution de commandes arbitraires à distance.

4 Description

Une vulnérabilité dans le traitement des URI dans Windows permet l’exécution de commandes à distance. La présence d’Internet Explorer 7 (IE7) est nécessaire pour l’exploitation de cette vulnérabilité, car la gestion des URI est liée à ce programme. Cette alerte est une extension de l’alerte CERTA-2007-ALE-013, plusieurs applications étant concernées par cette vulnérabilité. Plus précisément, les chaînes de caractères passées en argument de certaines URI ne sont contrôlées ni par IE7 qui en assure le traitement, ni par un certain nombre d’applications (comme Acrobat Reader, Miranda, etc.) qui appellent la fonction vulnérable de Windows.

Il n’existe pour le moment aucun contournement provisoire pour ce problème qui n’ait de conséquences lourdes pour le fonctionnement du système et des applications. Il est toutefois possible que des éditeurs proposent des correctifs ou des contournements pour leur application, comme ce fut le cas pour Mozilla Firefox (voir alerte CERTA-2007-ALE-013) ou Adobe Reader (voir Documentation).

5 Documentation

* Alerte CERTA-2007-ALE-013 du 31 juillet 2007 :

http://www.certa.ssi.gouv.fr/site/CERTA-2007-ALE-013/index.html

* Bulletin de sécurité Adobe du 05 octobre 2007 :

http://www.adobe.com/support/security/advisories/apsa07-04.html




Voir les articles précédents

    

Voir les articles suivants