Vigil@nce : IE, vulnérabilités de multiples ActiveX de juin 2008
juin 2008 par Vigil@nce
SYNTHÈSE
Plusieurs ActiveX permettent à un attaquant distant de mener un
déni de service ou de faire exécuter du code.
Gravité : 2/4
Conséquences : accès/droits utilisateur, création/modification de
données
Provenance : document
Moyen d’attaque : aucun démonstrateur, aucune attaque
Compétence de l’attaquant : expert (4/4)
Confiance : confirmé par l’éditeur (5/5)
Diffusion de la configuration vulnérable : élevée (3/3)
Date création : 04/06/2008
Référence : VIGILANCE-VUL-7869
PRODUITS CONCERNÉS
- Microsoft Internet Explorer [versions confidentielles]
DESCRIPTION
Plusieurs ActiveX permettent à un attaquant distant de mener un
déni de service ou de faire exécuter du code.
Un attaquant peut employer la méthode ServerList() de l’ActiveX
Ourgame GLIEDown2.dll pour exécuter du code sur la machine de la
victime. [grav:2/4 ; BID-29446]
Plusieurs vulnérabilités de l’ActiveX HP Instant Support
HPISDataManager.dll permettent à un attaquant distant de faire
exécuter du code sur la machine de la victime. [grav:2/4 ;
c01422264, CSIS-RI-0003, CVE-2007-5604, CVE-2007-5605,
CVE-2007-5606, CVE-2007-5607, CVE-2007-5610, CVE-2008-0952,
CVE-2008-0953, HPSBMA02326, SSRT071490, VU#190939, VU#221123,
VU#526131, VU#558163, VU#754403, VU#857539, VU#949587, VU#998779]
Un attaquant peut employer l’ActiveX C6 Messenger Installation Url
Downloader pour déposer un fichier sur la machine de la victime.
[grav:2/4]
CARACTÉRISTIQUES
Références : BID-29446, c01422264, CSIS-RI-0003, CVE-2007-5604,
CVE-2007-5605, CVE-2007-5606, CVE-2007-5607, CVE-2007-5610, CVE-2008-0952, CVE-2008-0953, HPSBMA02326, SSRT071490, VIGILANCE-VUL-7869, VU#190939, VU#221123, VU#526131, VU#558163, VU#754403, VU#857539, VU#949587, VU#998779