CERTA-2008-AVI-194
Vulnerability from certfr_avis

Une vulnérabilité a été identifiée dans un contrôle ActiveX de Microsoft Windows. L'exploitation de cette dernière, par le biais d'une page Web spécialement construite par exemple, peut provoquer l'exécution de code arbitraire sur le système vulnérable ayant visité la page.

Description

Une vulnérabilité a été identifiée dans un contrôle ActiveX hxvz.dll de Microsoft Windows. Ce contrôle ActiveX est associé à l'application Yahoo! Music Jukebox.

L'exploitation de cette vulnérabilité, par le biais d'une page Web spécialement construite par exemple, peut provoquer l'exécution de code arbitraire sur le système vulnérable ayant visité la page.

Internet Explorer 7 ne serait pas affecté. Cependant, si le contrôle ActiveX a été utilisé dans des versions précédentes du navigateur sur le même système, celui-ci est activé et fonctionnel dans Internet Explorer 7, même si le client ne l'a pas approuvé explicitement à l'aide de la fonctionnalité « ActiveX Opt-in ».

Solution

Se référer au bulletin de sécurité MS08-023 de Microsoft pour l'obtention des correctifs (cf. section Documentation).

  • Microsoft Windows 2000 Service Pack 4 ;
  • Microsoft Windows XP Service Pack 2 ;
  • Microsoft Windows XP Professionnel Édition x64 ;
  • Microsoft Windows XP Professionnel Édition x64 Service Pack 2 ;
  • Microsoft Windows Server 2003 Service Pack 1 ;
  • Microsoft Windows Server 2003 Service Pack 2 ;
  • Microsoft Windows Server 2003 Édition x64 ;
  • Microsoft Windows Server 2003 Édition x64 Service Pack 2 ;
  • Microsoft Windows Server 2003 avec SP1 pour les systèmes Itanium ;
  • Microsoft Windows Server 2003 avec SP2 pour les systèmes Itanium ;
  • Microsoft Windows Vista ;
  • Microsoft Windows Vista Service Pack 1 ;
  • Microsoft Windows Vista Édition x64 ;
  • Microsoft Windows Vista Édition x64 Service Pack 1 ;
  • Microsoft Windows Server 2008 pour systèmes 32 bits ;
  • Microsoft Windows Server 2008 pour systèmes x64 ;
  • Microsoft Windows Server 2008 pour systèmes Itanium.

Il s'agit en particulier des versions Internet Explorer 5.01 Service Pack 4 et Internet Explorer 6 Service Pack 1.

Impacted products
Vendor Product Description
References

Show details on source website

To clipboard 

{
  "$ref": "https://www.cert.ssi.gouv.fr/openapi.json",
  "affected_systems": [],
  "affected_systems_content": "\u003cUL\u003e    \u003cLI\u003eMicrosoft Windows 2000 Service Pack 4 ;\u003c/LI\u003e    \u003cLI\u003eMicrosoft Windows XP Service Pack 2 ;\u003c/LI\u003e    \u003cLI\u003eMicrosoft Windows XP Professionnel \u00c9dition x64 ;\u003c/LI\u003e    \u003cLI\u003eMicrosoft Windows XP Professionnel \u00c9dition x64 Service Pack    2 ;\u003c/LI\u003e    \u003cLI\u003eMicrosoft Windows Server 2003 Service Pack 1 ;\u003c/LI\u003e    \u003cLI\u003eMicrosoft Windows Server 2003 Service Pack 2 ;\u003c/LI\u003e    \u003cLI\u003eMicrosoft Windows Server 2003 \u00c9dition x64 ;\u003c/LI\u003e    \u003cLI\u003eMicrosoft Windows Server 2003 \u00c9dition x64 Service Pack 2    ;\u003c/LI\u003e    \u003cLI\u003eMicrosoft Windows Server 2003 avec SP1 pour les syst\u00e8mes    Itanium ;\u003c/LI\u003e    \u003cLI\u003eMicrosoft Windows Server 2003 avec SP2 pour les syst\u00e8mes    Itanium ;\u003c/LI\u003e    \u003cLI\u003eMicrosoft Windows Vista ;\u003c/LI\u003e    \u003cLI\u003eMicrosoft Windows Vista Service Pack 1 ;\u003c/LI\u003e    \u003cLI\u003eMicrosoft Windows Vista \u00c9dition x64 ;\u003c/LI\u003e    \u003cLI\u003eMicrosoft Windows Vista \u00c9dition x64 Service Pack 1 ;\u003c/LI\u003e    \u003cLI\u003eMicrosoft Windows Server 2008 pour syst\u00e8mes 32 bits ;\u003c/LI\u003e    \u003cLI\u003eMicrosoft Windows Server 2008 pour syst\u00e8mes x64 ;\u003c/LI\u003e    \u003cLI\u003eMicrosoft Windows Server 2008 pour syst\u00e8mes Itanium.\u003c/LI\u003e  \u003c/UL\u003e  \u003cP\u003eIl s\u0027agit en particulier des versions Internet Explorer 5.01  Service Pack 4 et Internet Explorer 6 Service Pack 1.\u003c/P\u003e",
  "content": "## Description\n\nUne vuln\u00e9rabilit\u00e9 a \u00e9t\u00e9 identifi\u00e9e dans un contr\u00f4le ActiveX hxvz.dll de\nMicrosoft Windows. Ce contr\u00f4le ActiveX est associ\u00e9 \u00e0 l\u0027application\nYahoo! Music Jukebox.\n\nL\u0027exploitation de cette vuln\u00e9rabilit\u00e9, par le biais d\u0027une page Web\nsp\u00e9cialement construite par exemple, peut provoquer l\u0027ex\u00e9cution de code\narbitraire sur le syst\u00e8me vuln\u00e9rable ayant visit\u00e9 la page.\n\nInternet Explorer 7 ne serait pas affect\u00e9. Cependant, si le contr\u00f4le\nActiveX a \u00e9t\u00e9 utilis\u00e9 dans des versions pr\u00e9c\u00e9dentes du navigateur sur le\nm\u00eame syst\u00e8me, celui-ci est activ\u00e9 et fonctionnel dans Internet Explorer\n7, m\u00eame si le client ne l\u0027a pas approuv\u00e9 explicitement \u00e0 l\u0027aide de la\nfonctionnalit\u00e9 \u00ab ActiveX Opt-in \u00bb.\n\n## Solution\n\nSe r\u00e9f\u00e9rer au bulletin de s\u00e9curit\u00e9 MS08-023 de Microsoft pour\nl\u0027obtention des correctifs (cf. section Documentation).\n",
  "cves": [
    {
      "name": "CVE-2008-1086",
      "url": "https://www.cve.org/CVERecord?id=CVE-2008-1086"
    }
  ],
  "initial_release_date": "2008-04-09T00:00:00",
  "last_revision_date": "2008-04-09T00:00:00",
  "links": [],
  "reference": "CERTA-2008-AVI-194",
  "revisions": [
    {
      "description": "version initiale.",
      "revision_date": "2008-04-09T00:00:00.000000"
    }
  ],
  "risks": [
    {
      "description": "Ex\u00e9cution de code arbitraire \u00e0 distance"
    }
  ],
  "summary": "Une vuln\u00e9rabilit\u00e9 a \u00e9t\u00e9 identifi\u00e9e dans un contr\u00f4le ActiveX de Microsoft\nWindows. L\u0027exploitation de cette derni\u00e8re, par le biais d\u0027une page Web\nsp\u00e9cialement construite par exemple, peut provoquer l\u0027ex\u00e9cution de code\narbitraire sur le syst\u00e8me vuln\u00e9rable ayant visit\u00e9 la page.\n",
  "title": "Vuln\u00e9rabilit\u00e9 dans un contr\u00f4le ActiveX de Microsoft Windows",
  "vendor_advisories": [
    {
      "published_at": null,
      "title": "Bulletin de s\u00e9curit\u00e9 Microsoft MS08-023 du 08 avril 2008",
      "url": "http://www.microsoft.com/technet/security/Bulletin/MS08-023.mspx"
    }
  ]
}


Log in or create an account to share your comment.




Tags
Taxonomy of the tags.




Sightings

Author Source Type Date

Nomenclature

  • Seen: The vulnerability was mentioned, discussed, or seen somewhere by the user.
  • Confirmed: The vulnerability is confirmed from an analyst perspective.
  • Published Proof of Concept: A public proof of concept is available for this vulnerability.
  • Exploited: This vulnerability was exploited and seen by the user reporting the sighting.
  • Patched: This vulnerability was successfully patched by the user reporting the sighting.
  • Not exploited: This vulnerability was not exploited or seen by the user reporting the sighting.
  • Not confirmed: The user expresses doubt about the veracity of the vulnerability.
  • Not patched: This vulnerability was not successfully patched by the user reporting the sighting.