Orange Business Services
Vigil@nce Vigil@nce Vigil@nce
nous veillons pour votre sécurité depuis 1999
  accueil présentation vulnérabilités documentation contact  
espace abonné espace abonné
accès gratuit accès gratuit
L'équipe Vigil@nce veille les vulnérabilités qui affectent votre parc informatique, puis propose les correctifs, une base et les outils pour y remédier.
vulnérabilités récentes vulnérabilités récentes
produits suivis produits suivis
fil RSS fil RSS
vulnérabilité

bulletin de vulnérabilité CVE-2009-0562 CVE-2009-1136 CVE-2009-1534

Office Web Components : multiples vulnérabilités

Synthèse de la vulnérabilité

Un attaquant peut employer plusieurs vulnérabilités des ActiveX Office Web Components, afin de faire exécuter du code sur la machine de la victime.
Produits concernés : BizTalk Server, ISA, Office, Access, Excel, Outlook, PowerPoint, Project, Publisher, Visio, Word, Visual Studio.
Gravité : 4/4.
Date création : 12/08/2009.
Références : 957638, BID-35642, BID-35990, BID-35991, BID-35992, CERTA-2009-AVI-331, CVE-2009-0562, CVE-2009-1136, CVE-2009-1534, CVE-2009-2496, MS09-043, VIGILANCE-VUL-8943, VU#545228, ZDI-09-054, ZDI-09-055, ZDI-09-056.

Description de la vulnérabilité

Les Microsoft Office Web Components sont installés avec Office, BizTalk, Visual Studio et ISA, et fournissent des ActiveX permettant de publier des tableaux et des graphiques sur un site web. Ces ActiveX comportent quatre vulnérabilités.

Un attaquant peut provoquer une erreur lors de l'allocation de mémoire, suite au chargement et déchargement d'un ActiveX, conduisant à l'exécution de code. [grav:4/4; BID-35990, CERTA-2009-AVI-331, CVE-2009-0562, ZDI-09-055]

Un attaquant peut provoquer une corruption de la mémoire du tas dans BorderAround(). [grav:4/4; BID-35991, CVE-2009-2496, ZDI-09-056]

Un attaquant peut employer des paramètres invalides afin de corrompre la mémoire dans msDataSourceObject() (VIGILANCE-VUL-8854). [grav:4/4; BID-35642, CVE-2009-1136, VU#545228, ZDI-09-054]

Un attaquant peut provoquer un buffer overflow. [grav:4/4; BID-35992, CVE-2009-1534]

Un attaquant peut donc créer une page HTML contenant l'un de ces ActiveX afin de faire exécuter du code sur la machine de la victime.
Bulletin Vigil@nce complet.... (accès gratuit)

Partagez ce bulletin

Delicious Digg Facebook Google bookmarks LinkedIn Mail Reddit StumbleUpon Technorati Twitter 

Service de veille sur les vulnérabilités informatiques

Vigil@nce fournit une veille de vulnérabilité applicative. La veille sécurité Vigil@nce publie des bulletins de vulnérabilités pour les failles qui impactent le système d'information. Le service de veille sur les vulnérabilités informatiques Vigil@nce alerte vos équipes des failles et des menaces qui concernent votre système d'information. La cellule de veille technologique suit les menaces sécurité qui ciblent le parc informatique.



















Copyright 1999-2013 Vigil@nce. Vigil@nce est proposé par Orange Business Services. Plan du site. Mention légale. English version