 |
|
S . G . D . S . N
Agence nationale
de la sécurité des
systèmes d'information
|
 |
|
Paris, le 09 décembre
2009
No CERTA-2009-AVI-537 |
Affaire suivie par :
CERTA
AVIS DU CERTA
Objet : Multiples
vulnérabilités du service d'authentification
Internet de Microsoft
Tableau 1: Gestion du document
| Référence |
CERTA-2009-AVI-537 |
| Titre |
Multiples
vulnérabilités du service
d'authentification Internet de Microsoft |
| Date de la première
version |
09 décembre 2009 |
| Date de la dernière
version |
- |
| Source(s) |
Bulletin de
sécurité Microsoft numéro
MS09-071 du 08 décembre 2009 |
| Pièce(s) jointe(s) |
Aucune |
|
Une gestion de version détaillée se trouve
à la fin de ce document.
- Exécution de code arbitraire à distance
;
- élévation de privilèges.
- Microsoft Windows 2000 Service Pack 4 ;
- Windows XP Service Pack 2 et Service Pack 3 ;
- Windows XP Pro édition x64 Service Pack 2;
- Windows Server 2003 toutes versions ;
- Windows Vista toutes versions ;
- Windows 2008 versions antérieures à la
version R2.
De multiples vulnérabilités ont été
découvertes dans le service d'authentification Internet
de Microsoft. L'exploitation de ces
vulnérabilités permet entre autres
d'exécuter du code arbitraire à distance.
Deux vulnérabilités ont été
découvertes dans le service d'authentification Internet
de Microsoft :
- la première résulte d'une mauvaise
implémentation du protocole d'authentification
PAEP et permet l'exécution de code arbitraire
à distance ;
- la seconde résulte d'une mauvaise gestion des
requêtes d'authentification MS-CHAP v2 et
permet à un utilisateur mal intentionné d'avoir
accès à des ressources d'un utilisateur
privilégié.
Se référer au bulletin de
sécurité de l'éditeur pour l'obtention des
correctifs (cf. section Documentation).
- 09 décembre 2009
- version initiale.
CERTA
2012-01-04
|
|
)
