CERTA-2007-AVI-292
Vulnerability from certfr_avis

None

Description

Une vulnérabilité a été identifiée dans l'application Publisher 2007, un composant disponible avec la suite bureautique Microsoft Office 2007.

Cette dernière n'effacerait pas de manière satisfaisante les ressources en mémoire, au cours de l'opération d'écriture de données entre le disque et la mémoire. Plus précisément, l'erreur proviendrait de la bibliothèque de conversion PUBCONV.DLL utilisée par Publisher pour « convertir » des documents produits par des versions antérieures de Publisher.

Une personne malveillante pourrait donc construire une page .pub particulière, exploitant cette vulnérabilité. A l'ouverture de cette page sur un système vulnérable, du code arbitraire pourrait être exécuter à l'insu de l'utilisateur.

Solution

Se référer au bulletin de sécurité MS07-037 de Microsoft pour l'obtention des correctifs (cf. section Documentation).

  • Vulnérabilité de Microsoft Office Publisher 2007 dans la suite bureautique Microsoft Office 2007.

Les versions précédentes de l'application ne seraient pas affectées par cette vulnérabilité.

Impacted products
Vendor Product Description
References

Show details on source website

To clipboard 

{
  "$ref": "https://www.cert.ssi.gouv.fr/openapi.json",
  "affected_systems": [],
  "affected_systems_content": "\u003cUL\u003e    \u003cLI\u003eVuln\u00e9rabilit\u00e9 de Microsoft Office Publisher 2007 dans la    suite bureautique Microsoft Office 2007.\u003c/LI\u003e  \u003c/UL\u003e  \u003cP\u003eLes versions pr\u00e9c\u00e9dentes de l\u0027application ne seraient pas  affect\u00e9es par cette vuln\u00e9rabilit\u00e9.\u003c/P\u003e",
  "content": "## Description\n\nUne vuln\u00e9rabilit\u00e9 a \u00e9t\u00e9 identifi\u00e9e dans l\u0027application Publisher 2007, un\ncomposant disponible avec la suite bureautique Microsoft Office 2007.\n\nCette derni\u00e8re n\u0027effacerait pas de mani\u00e8re satisfaisante les ressources\nen m\u00e9moire, au cours de l\u0027op\u00e9ration d\u0027\u00e9criture de donn\u00e9es entre le\ndisque et la m\u00e9moire. Plus pr\u00e9cis\u00e9ment, l\u0027erreur proviendrait de la\nbiblioth\u00e8que de conversion PUBCONV.DLL utilis\u00e9e par Publisher pour \u00ab\nconvertir \u00bb des documents produits par des versions ant\u00e9rieures de\nPublisher.\n\nUne personne malveillante pourrait donc construire une page .pub\nparticuli\u00e8re, exploitant cette vuln\u00e9rabilit\u00e9. A l\u0027ouverture de cette\npage sur un syst\u00e8me vuln\u00e9rable, du code arbitraire pourrait \u00eatre\nex\u00e9cuter \u00e0 l\u0027insu de l\u0027utilisateur.\n\n## Solution\n\nSe r\u00e9f\u00e9rer au bulletin de s\u00e9curit\u00e9 MS07-037 de Microsoft pour\nl\u0027obtention des correctifs (cf. section Documentation).\n",
  "cves": [
    {
      "name": "CVE-2007-1754",
      "url": "https://www.cve.org/CVERecord?id=CVE-2007-1754"
    }
  ],
  "initial_release_date": "2007-07-11T00:00:00",
  "last_revision_date": "2007-07-11T00:00:00",
  "links": [],
  "reference": "CERTA-2007-AVI-292",
  "revisions": [
    {
      "description": "version initiale.",
      "revision_date": "2007-07-11T00:00:00.000000"
    }
  ],
  "risks": [
    {
      "description": "Ex\u00e9cution de code arbitraire \u00e0 distance"
    }
  ],
  "summary": null,
  "title": "Vuln\u00e9rabilit\u00e9 de Microsoft Office Publisher 2007",
  "vendor_advisories": [
    {
      "published_at": null,
      "title": "Bulletin de s\u00e9curit\u00e9 Microsoft MS07-037 du 10 juillet 2007",
      "url": "http://www.microsoft.com/technet/security/Bulletin/MS07-037.mspx"
    }
  ]
}


Log in or create an account to share your comment.




Tags
Taxonomy of the tags.




Sightings

Author Source Type Date

Nomenclature

  • Seen: The vulnerability was mentioned, discussed, or seen somewhere by the user.
  • Confirmed: The vulnerability is confirmed from an analyst perspective.
  • Published Proof of Concept: A public proof of concept is available for this vulnerability.
  • Exploited: This vulnerability was exploited and seen by the user reporting the sighting.
  • Patched: This vulnerability was successfully patched by the user reporting the sighting.
  • Not exploited: This vulnerability was not exploited or seen by the user reporting the sighting.
  • Not confirmed: The user expresses doubt about the veracity of the vulnerability.
  • Not patched: This vulnerability was not successfully patched by the user reporting the sighting.