SGDSN AVIS DU CERTA Gestion du document 1 Risque 2

PREMIER MINISTRE
S.G.D.S.N
Paris, le 13 avril 2005
No CERTA-2005-AVI-140
Agence nationale de la sécurité
des systèmes d’information
CERTA
Affaire suivie par :
CERTA
AVIS DU CERTA
Objet : Vulnérabilité dans MSN Messenger
Conditions d’utilisation de ce document :
Dernière version de ce document :
http://www.certa.ssi.gouv.fr/certa/apropos.html
http://www.certa.ssi.gouv.fr/site/CERTA-2005-AVI-140
Gestion du document
Référence
Titre
Date de la première version
Date de la dernière version
Source(s)
Pièce(s) jointe(s)
CERTA-2005-AVI-140
Vulnérabilité dans MSN Messenger
13 avril 2005
–
Bulletin de sécurité Microsoft MS05-022 du 12 avril 2005
Aucune
TAB . 1 – Gestion du document
Une gestion de version détaillée se trouve à la fin de ce document.
1
Risque
Exécution de code arbitraire à distance.
2
Systèmes affectés
– MSN Messenger 6.2 ;
– MSN Messenger 7.0 beta.
3
Description
Une vulnérabilité a été découverte dans le traitement des images au format GIF (Graphic Interchange
Format) par MSN Messenger.
Un utilisateur mal intentionné peut, au moyen d’une image ou d’un emoticon habilement constitués, exécuter
du code arbitraire à distance. A noter que seul un utilisateur faisant partie de la liste des contacts de la victime peut
exploiter cette vulnérabilité.
4
Solution
Appliquer le correctif de l’éditeur (cf. Documentation).
Secrétariat général de la défense et de la sécurité nationale – ANSSI – COSSI – CERTA
51, bd de La Tour-Maubourg Tél.: 01 71 75 84 50
Web: http://www.certa.ssi.gouv.fr
75700 Paris 07 SP
Fax: 01 71 75 84 70
Mél : [email protected]
5
Documentation
– Bulletin de sécurité Microsoft MS05-022 du 12 avril 2005 :
http://www.microsoft.com/technet/security/bulletin/MS05-022.mspx
– Référence CVE CAN-2005-0562 :
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CAN-2005-0562
Gestion détaillée du document
13 avril 2005 version initiale.
2