Vigil@nce : IE, vulnérabilités de multiples ActiveX de juin 2009
juin 2009 par Vigil@nce
Plusieurs ActiveX permettent à un attaquant distant de mener un
déni de service ou de faire exécuter du code.
Gravité : 2/4
Conséquences : accès/droits utilisateur
Provenance : document
Moyen d’attaque : 1 attaque
Compétence de l’attaquant : technicien (2/4)
Confiance : confirmé par l’éditeur (5/5)
Diffusion de la configuration vulnérable : élevée (3/3)
Nombre de vulnérabilités dans ce bulletin : 4
Date création : 10/06/2009
Date révision : 17/06/2009
PRODUITS CONCERNÉS
– Microsoft Internet Explorer
DESCRIPTION DE LA VULNÉRABILITÉ
Plusieurs ActiveX permettent à un attaquant distant de mener un
déni de service ou de faire exécuter du code.
Un attaquant peut employer une vulnérabilité de l’ActiveX
MSCOMM32.OCX ATL Loader afin d’exécuter du code sur la machine de
la victime. [grav:2/4 ; 969898, BID-35218, CVE-2008-0024]
Un attaquant peut employer une vulnérabilité de l’ActiveX Derivco
Microgaming FlashXControl afin d’exécuter du code sur la machine
de la victime. [grav:2/4 ; 969898, BID-35247]
Un attaquant peut employer une vulnérabilité de l’ActiveX eBay
Enhanced Picture Services afin d’exécuter du code sur la machine
de la victime. [grav:2/4 ; 969898, BID-35248, CVE-2008-2475,
VU#983731]
Un attaquant peut employer la méthode WriteTaskDataToIniFile() de
l’ActiveX McAfee Policy Manager naPolicyManager.dll afin de créer
un fichier sur la machine de la victime. [grav:1/4]
CARACTÉRISTIQUES
Références : 969898, BID-35218, BID-35247, BID-35248,
CVE-2008-0024, CVE-2008-2475, VIGILANCE-VUL-8785, VU#983731
http://vigilance.fr/vulnerabilite/IE-vulnerabilites-de-multiples-ActiveX-de-juin-2009-8785