Vigil@nce : IE, vulnérabilités de multiples ActiveX d’octobre 2008
octobre 2008 par Vigil@nce
SYNTHÈSE
Plusieurs ActiveX permettent à un attaquant distant de mener un
déni de service ou de faire exécuter du code.
Gravité : 2/4
Conséquences : accès/droits utilisateur, création/modification de
données
Provenance : document
Moyen d’attaque : 2 attaques
Compétence de l’attaquant : débutant (1/4)
Confiance : confirmé par un tiers de confiance (4/5)
Diffusion de la configuration vulnérable : élevée (3/3)
Nombre de vulnérabilités dans ce bulletin : 4
Date création : 01/10/2008
PRODUITS CONCERNÉS
– Microsoft Internet Explorer
DESCRIPTION
Plusieurs ActiveX permettent à un attaquant distant de mener un
déni de service ou de faire exécuter du code.
Un attaquant peut employer la méthode SaveAS() de l’ActiveX
Autodesk DWF Viewer AdView.dll afin de créer un fichier sur la
machine de la victime. [grav:1/4 ; BID-31487]
Un attaquant peut employer la méthode UpdateEngine() de l’ActiveX
Autodesk DWF LiveUpdate LiveUpdate16.DLL afin d’exécuter une
commande sur la machine de la victime. [grav:2/4 ; BID-31490]
Un attaquant peut employer la méthode SaveAsPDF() de l’ActiveX
GdPicture Pro afin d’exécuter une commande sur la machine de la
victime. [grav:2/4 ; BID-31504, CVE-2008-4453]
Un attaquant peut provoquer un débordement dans les méthodes
url(), toolbar() et enableZoomPastMax() de l’ActiveX seemedia /
Roxio / MGI Software LPViewer LPControl.dll afn d’exécuter du code
sur la machine de la victime. [grav:2/4 ; CVE-2008-4384, VU#848873]
CARACTÉRISTIQUES
Références : BID-31487, BID-31490, BID-31504, CVE-2008-4384,
CVE-2008-4453, VIGILANCE-VUL-8138, VU#848873