Avis du CERTA : Vulnérabilité dans le traitement des URI sous Windows
novembre 2007 par CERT-FR
1 Risque
* Exécution de code arbitraire à distance ;
* contournement de la politique de sécurité.
2 Systèmes affectés
* Windows XP Service Pack 2 ;
* Windows XP Professional x64 Edition ;
* Windows XP Professional x64 Edition Service Pack 2 ;
* Windows Server 2003 Service Pack 1 ;
* Windows Server 2003 Service Pack 2 ;
* Windows Server 2003 x64 Edition ;
* Windows Server 2003 x64 Edition Service Pack 2 ;
* Windows Server 2003 avec SP1 et SP2 pour systèmes Itanium.
Microsoft Windows 2000 Service Pack 4 et Microsoft Vista ne sont pas affectés.
3 Résumé
Une vulnérabilité liée à la gestion des URI dans Windows permet l’exécution de
commandes arbitraires à distance.
4 Description
Une vulnérabilité liée à la gestion des URI (Uniform Resource Identifier) dans
Windows permet l’exécution de commandes arbitraires à distance. La présence
d’Internet Explorer 7 (IE7) est nécessaire pour l’exploitation de cette
vulnérabilité.
Celle-ci a fait l’objet de l’alerte CERTA-2007-ALE-015 publiée par le CERTA le
10 octobre 2007. Microsoft avait par ailleurs signalé le problème dans l’avis
de sécurité 943521 le 11 octobre.
5 Solution
Se référer au bulletin de sécurité MS07-061 de Microsoft pour l’obtention des
correctifs (cf. section Documentation).
6 Documentation
* Bulletin de sécurité Microsoft MS07-061 du 13 novembre 2007 :
http://www.microsoft.com/france/technet/security/Bulletin/MS07-061.mspx
http://www.microsoft.com/technet/security/Bulletin/MS07-061.mspx
* Référence CVE CVE-2007-3896 :
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2007-3896
* Alerte CERTA-2007-ALE-015 du 10 octobre 2007, « Vulnérabilité dans le
traitement des URI sous Windows » :