HSC : Multiples vulnérabilités dans les produits Microsoft
juin 2008 par HSC
Date : 11-06-2008
Criticité HSC : 4/5 - haute
Avis public : Oui
Exploitation : Indisponible
Résumé : Trois vulnérabilités critiques ont été corrigées dans l’ensemble
des mises à jour publiées par Microsoft en ce mois de juin.
Source : Microsoft
Objet : Microsoft DirectX 10, Microsoft DirectX 9, Microsoft IE 5.01 SP4,
Microsoft IE 7, Microsoft IE6 SP2, Windows 2000 SP4, Windows 2003 SP2, Windows 2003 SP2 for Itanium, Windows 2003 x64 SP2, Windows Vista SP1,
Windows XP SP3, Windows XP x64 Service Pack 3
Description :
Le navigateur Internet Explorer est affecté par deux vulnérabilités
exploitables si l’utilisateur visite une page web spécialement conçue.
Elles permettent d’une part l’exécution de code à distance et d’autre
part la révélation d’informations. Les versions 5.01, 6 et 7 d’Internet
Explorer sont concernées. Windows Server 2008 installé en Server Core
n’est pas affecté. Ces vulnérabilités sont référencées sous les
identifiants CVE suivants : CVE-2008-1442 et CVE-2008-1544.
Source : http://www.microsoft.com/technet/security/Bulletin/MS08-
031.mspx
La seconde vulnérabilité concerne la pile Bluetooth Windows qui autorise
l’exécution de code à distance due à la mauvaise prise en compte de
requêtes de description de service. Elle permet d’exécuter du code avec
des privilèges élevés et peut conduire à la compromission complète du
système. Cette vulnérabilité est référencée sous l’identifiant CVE
suivant : CVE-2008-1453.
Source : http://www.microsoft.com/technet/security/bulletin/ms08-
030.mspx
DirectX est vulnérable à deux failles dans la prise en charge du format
MJPEG dans les fichiers AVI et ASF ainsi que du format SAMI. Elles
permettent l’exécution de code à distance avec des privilèges élevés et
qui peut conduire à la compromission complète du système.
Ces vulnérabilités sont référencées sous les identifiants CVE suivants :
CVE-2008-0011 et CVE-2008-1444.
Source : http://www.microsoft.com/technet/security/Bulletin/MS08-
033.mspx