Vigil@nce : IE, vulnérabilités de multiples ActiveX de novembre 2009
novembre 2009 par Vigil@nce
Plusieurs ActiveX permettent à un attaquant distant de mener un
déni de service ou de faire exécuter du code.
– Gravité : 2/4
– Conséquences : accès/droits utilisateur, lecture de données,
création/modification de données, effacement de données
– Provenance : document
– Moyen d’attaque : 1 attaque
– Compétence de l’attaquant : technicien (2/4)
– Confiance : confirmé par l’éditeur (5/5)
– Diffusion de la configuration vulnérable : élevée (3/3)
– Nombre de vulnérabilités dans ce bulletin : 2
– Date création : 03/11/2009
PRODUITS CONCERNÉS
– Microsoft Internet Explorer
DESCRIPTION DE LA VULNÉRABILITÉ
Plusieurs ActiveX permettent à un attaquant distant de mener un
déni de service ou de faire exécuter du code.
Un attaquant peut employer la méthode BrowseAndSaveFile() de
l’ActiveX Symantec ConsoleUtilities AeXNSConsoleUtilities.dll afin
de faire exécuter du code sur la machine de la victime. [grav:2/4 ;
BID-36698, CVE-2009-3031, NSOADV-2009-001]
Un attaquant peut mener un déni de service dans l’ActiveX Novell
Client NWSETUP. [grav:1/4]
CARACTÉRISTIQUES
– Références : BID-36698, CVE-2009-3031, NSOADV-2009-001,
VIGILANCE-VUL-9147
– Url : http://vigilance.fr/vulnerabilite/IE-vulnerabilites-de-multiples-ActiveX-de-novembre-2009-9147