HSC : Multiples vulnérabilités dans les produits Microsoft
août 2009 par HSC
Date : 12-08-2009
Criticité HSC : 4/5 - haute
Avis public : Oui
Exploitation : Disponible mais non publique
Résumé : Cinq vulnérabilités critiques ont été corrigées dans les correctifs du mois d’Août de Microsoft.
Source : Microsoft
Objet : Microsoft IE 7, Microsoft IE6 SP2, Windows 2000 SP4, Windows 2003 SP2, Windows 2003 x64 SP2, Windows 2008, Windows Server 2008, Windows Server 2008 x64, Windows Vista SP2, Windows Vista x64 SP2, Windows XP SP3, Windows XP x64 Service Pack 3
Description :
Cinq vulnérabilités critiques ont été corrigées dans les correctifs du
mois d’Août.
Vulnérabilité MS09-037 :
Plusieurs vulnérabilités ont été corrigées dans le Microsoft Active
Template Library (ATL). Cette faille est exploitable au travers de la
navigation avec Internet Explorer sur la page WEB d’un site contenant un
ActiveX malveillant et permettra l’exécution de code sous l’identité de
l’utilisateur. Cette vulnérabilité touche toutes les versions de Windows
à part Windows 7 et Windows Server 2008 R2 x64 ou itanium.
L’exploitation n’est possible que sous Internet Explorer. Note : cette
vulnérabilité est activement exploitée.
Cette vulnérabilité est référencée sous les identifiants CVE suivants :
CVE-2008-0015, CVE-2008-0020, CVE-2009-0901, CVE-2009-2493, CVE-2009-
2494
Vulnérabilité MS09-038 :
Plusieurs vulnérabilités ont été corrigées dans la gestion des fichiers
vidéos de type AVI. Une vidéo possédant un entête spécialement forgé
pourrait permettre l’exécution de code sous l’identité de l’utilisateur
courant. Cette vulnérabilité touche toutes les versions de Windows
capables de lire des vidéos de type AVI.
Cette vulnérabilité est référencée sous les identifiants CVE suivants :
CVE-2009-1545, CVE-2009-1546
Vulnérabilité MS09-039 :
Deux vulnérabilités dans le serveur WINS permettent l’exécution de code
à distance donnant ainsi les droits du service à l’attaquant. Ces
vulnérabilités touchent les systèmes Windows 2000 et 2003, néanmoins ce
service n’est pas démarré par défaut.
Cette vulnérabilité est référencée sous les identifiants CVE suivants :
CVE-2009-1923, CVE-2009-1924
Vulnérabilité MS09-043 :
Une vulnérabilité touche le composant ActiveX Office Web Components
fournis par la solution Office. Cette vulnérabilité est exploitable au
travers de la navigation à l’aide d’Internet Explorer sur un site
malveillant et permet l’exécution de code sous l’identité de
l’utilisateur.
Cette vulnérabilité est référencée sous les identifiants CVE suivants :
CVE-2009-0562, CVE-2009-1136, CVE-2009-1534, CVE-2009-2496