Vigil@nce : IE, vulnérabilités de multiples ActiveX de mars 2009
mars 2009 par Vigil@nce
Plusieurs ActiveX permettent à un attaquant distant de mener un
déni de service ou de faire exécuter du code.
– Gravité : 2/4
– Conséquences : accès/droits utilisateur, lecture de données,
création/modification de données
– Provenance : document
– Moyen d’attaque : 2 attaques
– Compétence de l’attaquant : débutant (1/4)
– Confiance : sources multiples (3/5)
– Diffusion de la configuration vulnérable : élevée (3/3)
– Nombre de vulnérabilités dans ce bulletin : 3
– Date création : 04/03/2009
PRODUITS CONCERNÉS
– Microsoft Internet Explorer
DESCRIPTION DE LA VULNÉRABILITÉ
Plusieurs ActiveX permettent à un attaquant distant de mener un
déni de service ou de faire exécuter du code.
Un attaquant peut employer la méthode write() de l’ActiveX
iDefense COMRaider afin de créer un fichier sur la machine de la
victime. [grav:1/4 ; BID-33942]
Un attaquant peut employer l’ActiveX Imera ImeraIEPlugin Client
pour exécuter du code sur la machine de la victime. [grav:2/4 ;
BID-33993, CVE-2009-0813]
Un attaquant peut employer les méthodes Packagefiles(), SaveDna(),
AddFile() et SetIdentity() de l’ActiveX SupportSoft DNA Editor
Module dnaedit.dll afin d’exécuter du code sur la machine de la
victime. [grav:2/4 ; BID-34004]
CARACTÉRISTIQUES
– Références : BID-33942, BID-33993, BID-34004, CVE-2009-0813,
VIGILANCE-VUL-8506
– Url : http://vigilance.fr/vulnerabilite/IE-vulnerabilites-de-multiples-ActiveX-de-mars-2009-8506