Une vulnérabilité critique a été identifiée dans Microsoft Internet Explorer, elle pourrait être exploitée par des attaquants distants afin de compromettre un système vulnérable. Le problème résulte d'une erreur de type buffer overflow présente au niveau de l'initialisation de l'objet "Msdds.dll" en tant que contrôleur ActiveX, ce qui pourrait être exploité via un site web malicieux afin d'exécuter des commandes arbitraires avec les privilèges de l'utilisateur connecté.
Note : la librairie "Msdds.dll" est installée avec Microsoft Office et avec Microsoft Visual Studio. Seuls les systèmes contenant cette librairie sont potentiellement vulnérables.
Cette vulnérabilité a été confirmée sous Windows XP SP2 avec msdds.dll version 7.0.9064.9112.
Note : Un code d'exploitation a été publié.
Crédit
Vulnérabilité découverte par un anonyme
Historique
2005-08-17 : Version Initiale
2005-08-17 : MaJ des produits vulnérables (Microsoft Visual Studio)
2005-08-18 : MaJ des produits vulnérables (Microsoft Office)
2005-08-18 : Microsoft Security Advisory (906267)
2005-08-19 : MaJ des produits vulnérables
2005-08-25 : MaJ des produits vulnérables (7.0.9064.9143)
2005-10-11 : Solution officielle (MS05-052)
Recevez les bulletins FrSIRT
Le service FrSIRT VNS permet aux professionnels de la sécurité (RSSI, DSI, administrateurs et consultants) de recevoir en temps-réel, par email, SMS et flux RSS/XML, des bulletins de vulnérabilités complets, détaillés et personnalisés.
