S . G . D . S . N Agence nationale de la sécurité des systèmes d'information

Paris, le 14 octobre 2009 No CERTA-2009-AVI-437

Affaire suivie par :

CERTA

Objet : Vulnérabilité dans le service d'indexation de Windows

Gestion du document

Une gestion de version détaillée se trouve à la fin de ce document.

1 Risque

Exécution de code arbitraire à distance.

2 Systèmes affectés

• Microsoft Windows 2000 Service Pack 4 ;
• Windows XP Service Pack 2 et Service Pack 3 ;
• Windows XP Professional x64 Edition Service Pack 2 ;
• Windows Server 2003 Service Pack 2 ;
• Windows Server 2003 x64 Edition Service Pack 2 ;
• Windows Server 2003 for Itanium-based Systems Service Pack 2.

3 Résumé

Une vulnérabilité dans le service d'indexation de Windows permet d'exécuter du code arbitraire à distance.

4 Description

Une vulnérabilité a été découverte dans le service d'indexation de Windows. L'exploitation de cette vulnérabilité, via une page Web spécifique, permet l'exécution de code arbitraire à distance.

Le service d'indexation n'est pas installé par défaut.

5 Solution

Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).

6 Documentation

• Bulletin de sécurité Microsoft MS09-057 du 13 octobre 2009 :

  http://www.microsoft.com/france/technet/security/Bulletin/MS09-057.mspx
  

  http://www.microsoft.com/technet/security/Bulletin/MS09-057.mspx
  

• Référence CVE CVE-2009-2507 :

  http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2009-2507
  

Gestion détaillée du document

14 octobre 2009

version initiale.