HSC : Vulnérabilité critique dans Microsoft Jet Database Engine
mars 2008 par HSC
Criticité HSC : 3/5 - moyenne
Avis public : Oui
Exploitation : Disponible mais non publique
Résumé : Une vulnérabilité critique a été signalée par Microsoft dans le composant "Jet Database Engine", intégré à Microsoft Word, pouvant mener à une exécution de code arbitraire à distance.
Source : Microsoft
Objet : Microsoft Office (Word)
Description :
Microsoft a rapporté une vulnérabilité critique dans le composant "Jet
Database Engine", qui peut être utilisée par Microsoft Word pour stocker
certaines informations (KB950627).
La bibliothèque "msjet40.dll" (version antérieure à 4.0.9505.0) est en
effet vulnérable à un débordement de tampon qui peut être exploité lors
de l’ouverture d’un document Word spécialement formé.
L’exploitation de cette vulnérabilité nécessite que la victime ouvre le
document contenant le code malveillant. Ce dernier sera alors exécuté
avec les droits de l’utilisateur ayant ouvert le document.
Références :
http://www.microsoft.com/technet/security/advisory/950627.mspx
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2008-1092