Microsoft Office / Visual Studio .NET - Exécution de Code Arbitraire dans msdds.dll
Date de publication: 18/08/2005
Auteur: Anonyme
Vulnérabilité: Débordement de mémoire
Impact: Accès au système
D'où: A distance
Risque: Critique
Solution: Aucun correctif
SE: Windows
Produits:

• Microsoft Internet Explorer
• Microsoft Office
• Microsoft Visual Studio .NET

Versions affectées:

• Microsoft Internet Explorer 5.01
• Microsoft Internet Explorer 5.5
• Microsoft Internet Explorer 6.x
• Microsoft Office 2003 Professional Edition
• Microsoft Office 2003 Small Business Edition
• Microsoft Office 2003 Standard Edition
• Microsoft Office 2003 Student and Teacher Edition
• Microsoft Office XP
• Microsoft Visual Studio .NET 2003

Détails:

Une vulnérabilité a été découverte dans Microsoft Office et Visual Studio .NET, celle-ci pourrait être exploitée par des personnes malicieuses afin de compromettre un système vulnérable.

La vulnérabilité est due à une erreur lorsque l'objet COM "msdds.dll" (Microsoft Design Tools - Diagram Surface) est instancié dans Internet Explorer.

Une exploitation réussie de la vulnérabilité permet l'exécution de code arbitraire, mais requiert que la victime soit incitée à ouvrir un site web malicieux.

L'objet COM est installé dans les produits suivants:

• Microsoft Visual Studio .NET 2003
• Microsoft Office Professional 2003
• Microsoft Office XP

D'autres produits pourraient aussi inclure l'objet COM affecté.
Note: Un exploit a été publié. Cependant la vulnérabilité n'a pas pu être confirmée dans toutes les versions de l'objet COM.

Solution:
Aucun correctif.

Restreindre l'utilisation des contrôles ActiveX aux sites de confiance seulement.

Source:
http://www.zone-h.fr/advisories/read/id=446