 |
|
S . G . D . S . N
Agence nationale
de la sécurité des
systèmes d'information
|
 |
|
Paris, le 03 avril 2007
No CERTA-2007-AVI-156 |
Affaire suivie par :
CERTA
AVIS DU CERTA
Objet : Multiples
vulnérabilités dans des composants graphiques de
Microsoft Windows
Tableau 1: Gestion du document
| Référence |
CERTA-2007-AVI-156 |
| Titre |
Multiples
vulnérabilités dans des composants
graphiques de Microsoft Windows |
| Date de la première
version |
03 avril 2007 |
| Date de la dernière
version |
- |
| Source(s) |
Bulletin de
sécurité Microsoft MS07-017 du 03
avril 2007 |
| Pièce(s) jointe(s) |
Aucune |
|
Une gestion de version détaillée se trouve
à la fin de ce document.
- Exécution de code arbitraire à distance
;
- déni de service à distance ;
- élévation de privilèges.
- Microsoft Windows 2000 Service Pack 4 ;
- Microsoft Windows XP Service Pack 2 ;
- Microsoft Windows XP Professional x64 Edition (SP2
inclus) ;
- Microsoft Windows Server 2003 (SP1 et SP2 inclus, ainsi
que les versions pour les systèmes Itanium) ;
- Microsoft Windows Server 2003 x64 Edition (SP2 inclus)
;
- Microsoft Vista ;
- Microsoft Vista x64 Edition.
Plusieurs vulnérabilités ont été
identifiées dans des composants graphiques de Microsoft
Windows. Certaines sont largement exploitées
actuellement, et ont fait l'objet des alertes
CERTA-2007-ALE-002 et CERTA-2007-ALE-008. L'exploitation de ces
dernières peut entraîner une
élévation locale de privilèges, voire un
déni de service ou l'exécution de code arbitraire
à distance.
Plusieurs vulnérabilités ont été
identifiées dans des composants graphiques de Microsoft
Windows. Parmi celles-ci :
- Windows ne manipulerait pas correctement les fichiers de
formats de curseurs et d'icônes (reconnaissables par
l'extension .ani). Cette
vulnérabilité, largement exploitée, a
fait l'objet de l'alerte CERTA-2007-ALE-008.
- L'ensemble de fonctions GDI (pour Graphical Device Interface) servant au
traitement de fichiers graphiques, et plus
précisément, son moteur de rendu Windows
Graphics Rendering Engine, ne manipulerait pas
correctement certains fichiers graphiques de type
WMF (Windows Metafile
Format) et EMF (Enhanced
Metafile Format).
- GDI ne manipulerait pas correctement certaines
tailles de fenêtres d'affichage. Cette
vulnérabilité peut être exploitée
par le biais d'une application malveillante, permettant ainsi
une élévation de privilèges.
- GDI ne contrôlerait pas correctement
certains paramètres liés à la
coloration, ce qui pourrait provoquer un débordement
de mémoire.
- Certaines polices de caractères ne seraient pas
correctement interprétées par True Type
Font Rasterizer, permettant à un utilisateur
local de prendre le contrôle complet du système
vulnérable.
Se référer au bulletin de
sécurité MS07-017 de Microsoft pour l'obtention
des correctifs (cf. section Documentation).
- 03 avril 2007
- version initiale.
CERTA
2012-01-04
|
|
)
