annonce de vulnérabilité CVE-2009-2506

WordPad, Word : exécution de code via Word 97

Synthèse de la vulnérabilité

Un attaquant peut inviter la victime à ouvrir un fichier illicite au format Word 97, afin de faire exécuter du code lors de sa conversion par WordPad ou Word.

Gravité : 3/4. Date création : 09/12/2009.

Description de la vulnérabilité

Lorsque l'utilisateur ouvre un document dans un format ancien, les logiciels Microsoft Office Word et Windows WordPad le reconnaissent, et le convertissent automatiquement. Cependant, le convertisseur de format Word 97 ne gère pas correctement le champ DocumentSummaryInformation du document, ce qui corrompt la mémoire. Un attaquant peut donc inviter la victime à ouvrir un fichier illicite au format Word 97, afin de faire exécuter du code lors de sa conversion par WordPad ou Word.

Bulletin Vigil@nce complet

Accès au bulletin Vigil@nce complet

Caractéristiques

Titre : WordPad, Word : exécution de code via Word 97. Mots clés : DocumentSummaryInformation Microsoft Office Windows Word WordPad code exécution. Références : 975539, BID-37216, CVE-2009-2506, MS09-073, VIGILANCE-VUL-9247.

Sources d'information

Publications et annonces Exemple de source : MS09-073 - Vulnerability in WordPad and Office Text Converters Could Allow Remote Code Execution (975539)

Solutions pour cette vulnérabilité

Patch correctif ou contre-mesure

Service de veille sur les vulnérabilités informatiques

Le service de veille sur les vulnérabilités informatiques Vigil@nce alerte vos équipes des failles et des menaces qui concernent votre système d'information.
La base de vulnérabilités Vigil@nce contient plusieurs milliers de failles.
Ce bulletin a été rédigé par l'équipe Vigil@nce, qui surveille les vulnérabilités informatiques de systèmes et d'applications.
Service de veille sur les vulnérabilités informatiques