HSC : Vulnérabilités multiples dans Windows Media Format et DirectX (MS07-068 et MS07-064)
décembre 2007 par HSC
Date : 12-12-2007
Criticité HSC : 4/5 - haute
Exploitation : Indisponible
Résumé : Plusieurs vulnérabilités distantes ont été découvertes dans Microsoft Windows Media Format et Microsoft DirectX, pouvant être exploitées par l’intermédiaire de fichiers multimedia malveillants et permettant l’exécution de code à distance sur le poste vulnérable.
Source : Microsoft
Objet : Microsoft
Description :
De multiples vulnérabilités ont été découvertes dans Microsoft Windows
Media Player et Microsoft DirectX, pouvant mener à la compromission des
systèmes vulnérables. Ces vulnérabilités sont décrites ci-dessous.
* MS07-068 - Exécution de code à distance dans Windows Media Format
Une vulnérabilité a été découverte dans les bibliothèques de lecture de
formats de Windows Media (CVE-2007-0064). Cette faille touche plus
particulièrement les fichier ASF ouverts avec les bibliothèques
multimedia de Windows, utilisées notamment par Windows Media Player,
mais aussi d’autres applications clientes. L’exploitation de cette
vulnérabilité nécessite que l’utilisateur ouvre un fichier spécialement
forgé et peut mener à l’exécution de code à distance, avec les droits de
l’utilisateur ayant ouvert le fichier malveillant.
Produits impactés :
– Windows Media Format Runtime 7.1
– Windows Media Format Runtime 9.5 x64
– Windows Media Format Runtime 11
– Windows Media Services 9.1
– Windows Media Services 9.1 x64
Windows Media Player 6.4 n’est pas impacté.
* MS07-064 - Exécution de code à distance dans DirectX
Plusieurs faiblesses ont été découvertes dans les analyseurs de fichiers
multimedia de type WAV, AVI (CVE-2007-3895) et SAMI (CVE-2007-3901),
gérés par DirectX lors de leur ouverture. L’exploitation de cette
vulnérabilité nécessite que l’utilisateur ouvre un fichier spécialement
forgé et peut mener à l’exécution de code à distance, avec les droits de
l’utilisateur ayant ouvert le fichier malveillant.
Produits impactés :
– DirectX 7
– DirectX 8.1
– DirectX 9.0c
– DirectX 10.0
Références :
http://www.microsoft.com/technet/security/bulletin/MS07-068.mspx
http://www.microsoft.com/technet/security/bulletin/MS07-064.mspx