Rechercher
Contactez-nous Suivez-nous sur Twitter En francais English Language
 
Les événements

30 avril Toulouse : Thales Roadshow 2024 : « Unlock your Cyber ! »

    











Abonnez-vous gratuitement à notre NEWSLETTER

Newsletter FR

Newsletter EN

Vulnérabilités

Se désabonner

Vulnérabilités

HSC : Multiples vulnérabilités dans Microsoft Windows GDI+ (MS08-052)

septembre 2008 par HSC

Date : 11-09-2008

Criticité HSC : 4/5 - haute

Avis public : Oui

Exploitation : Indisponible

Résumé : Plusieurs vulnérabilités affectent le sous-système Microsoft Windows GDI+ et peuvent mener à l’exécution de code arbitraire à distance si un utilisateur visualise une image spécialement créée, en utilisant un logiciel ou un navigateur impacté.

Source : Microsoft

Objet : Windows 2003, Windows 2003 x64, Windows 2008, Windows Vista, Windows XP

Description :

De multiples vulnérabilités ont été découvertes dans le sous-système
Microsoft Windows GDI+ permettant de compromettre un système vulnérable.
L’exploitation de ces vulnérabilités permet une exécution de code
arbitraire à distance dans le contexte de l’utilisateur exécutant le
programme impacté. Ces vulnérabilités peuvent être exploitées par le
biais d’une image spécialement formée ou d’un site Web avec du contenu
malveillant.

La première vulnérabilité est un débordement de tas dans la gestion du
paramètre gradient par le sous-système GDI+ exploitable via un fichier
spécialement créé.

La seconde vulnérabilité est une corruption de mémoire affectant le
sous-système GDI+ dans sa gestion des fichiers EMF.

La troisième vulnérabilité touche la gestion des fichiers GIF du sous-
système GDI+ et plus spécifiquement l’extension "graphic control".

La quatrième vulnérabilité est un débordement de tampon dans la gestion
des fichiers WMF du sous-système GDI+.

Enfin, la cinquième vulnérabilité est un débordement d’entier dans le
traitement des en-têtes des fichiers BMP dans le sous-système GDI+.

Références :

 http://www.microsoft.com/technet/security/bulletin/ms08-052.mspx

 http://labs.idefense.com/intelligence/vulnerabilities/display.php?id=743
 http://www.zerodayinitiative.com/advisories/ZDI-08-055/

 http://www.zerodayinitiative.com/advisories/ZDI-08-056/

 http://lists.grok.org.uk/pipermail/full-disclosure/2008-September/064334.html

 http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2007-5348

 http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2008-3012

 http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2008-3013

 http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2008-3014

 http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2008-3015


Voir les articles précédents

    

Voir les articles suivants

Les événements

23 avril Paris 9h à 13h : Conférence Appian, Cap Gemini sur le thème Financial Services et Assurances

    

Voir tous les évènements











Ecole de cybersecurite a Lyon et Paris
Ecole de cybersecurite a Lyon et Paris


Vulnérabilités

All our news in english

Alle unsere News auf deutsch

 
Actu Dossiers Cyber Securité RGPD Vulnérabilités Malwares Agenda CARTOGRAPHIE DES DC NEUTRES Carrière GS Days Guide THEMA Agences Presse CONTACTS Contact A propos Mentions légales identifier ADMIN

Global Security Mag Copyright 2011