Vigil@nce : Windows, déni de service via DirectWrite
mars 2012 par Vigil@nce
Ce bulletin a été rédigé par Vigil@nce : http://vigilance.fr/offre
SYNTHÈSE DE LA VULNÉRABILITÉ
Lorsqu’une application est compilée avec DirectWrite, un attaquant
peut employer une séquence spéciale de caractères Unicode, afin de
stopper l’application.
– Gravité : 1/4
– Date création : 13/03/2012
PRODUITS CONCERNÉS
– Microsoft Windows 2008
– Microsoft Windows 7
– Microsoft Windows Vista
DESCRIPTION DE LA VULNÉRABILITÉ
La fonctionnalité DirectWrite permet de développer des
applications supportant des polices de caractères complexes. Les
produits comme Windows Live Messenger sont compilés avec
DirectWrite.
Cependant, une séquence spéciale de caractères Unicode provoque
une erreur dans DirectWrite, et bloque ou stoppe l’application.
Lorsqu’une application est compilée avec DirectWrite, un attaquant
peut donc employer une séquence spéciale de caractères Unicode,
afin de stopper l’application. Par exemple, un attaquant peut
envoyer un message illicite vers un utilisateur de Windows Live
Messenger, afin de le bloquer.
ACCÈS AU BULLETIN VIGIL@NCE COMPLET
http://vigilance.fr/vulnerabilite/Windows-deni-de-service-via-DirectWrite-11435