Agence nationale
de la sécurité des
systèmes d'information
No CERTA-2004-AVI-401
| S . G . D . S . N Agence nationale de la sécurité des systèmes d'information |
|
Paris, le 16 décembre
2004 No CERTA-2004-AVI-401 |
Affaire suivie par :
CERTA
Objet : Vulnérabilité du
pare-feu Microsoft Windows XP SP2
| Conditions d'utilisation de ce document : | http://www.certa.ssi.gouv.fr/certa/apropos.html |
| Dernière version de ce document : | http://www.certa.ssi.gouv.fr/site/CERTA-2004-AVI-401 |
Une gestion de version détaillée se trouve à la fin de ce document.
Un défaut de configuration du pare-feu de Microsoft Windows XP Service Pack 2 permet à un utilisateur mal intentionné de contourner la politique de sécurité mise en place sur le système.
La configuration par défaut de Microsoft Windows XP autorise le partage de fichiers et d'imprimante.
Un système se connectant à l'Internet au moyen d'un modem et d'une ligne téléphonique standard ou RNIS, va engendrer une table routage qui sera interpréter de manière incorrecte par le pare-feu de Microsoft Windows XP Service Pack2.
Cette mauvaise gestion provoque une incohérence dans la définition des paramètres de sécurité, le pare-feu considère que la zone Internet fait partie de la zone Intranet local. Un utilisateur mal intentionné peut alors porter atteinte à la confidentialité et/ou à l'intégrité des données partagées par le système vulnérable.
Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. Documentation).
http://support.microsoft.com/kb/886185