Ce bulletin a été rédigé par Vigil@nce : http://vigilance.fr/offre

SYNTHÈSE DE LA VULNÉRABILITÉ

Un attaquant peut inviter la victime à ouvrir un document
FrontPage utilisant des entités DTD, afin d’obtenir le contenu
d’un fichier de l’ordinateur de la victime.

– Produits concernés : Office, Microsoft FrontPage
– Gravité : 2/4
– Date création : 11/09/2013

DESCRIPTION DE LA VULNÉRABILITÉ

Les documents FrontPage utilisent des données XML. La DTD
(Document Type Definition) du document XML peut définir de
nouvelles entités (&entite;).

Cependant, ces entités peuvent pointer vers un fichier externe.
FrontPage ne fait pas cette vérification et accepte d’intégrer les
données du fichier externe à l’intérieur de son document.

Un attaquant peut donc inviter la victime à ouvrir un document
FrontPage utilisant des entités DTD, afin d’obtenir le contenu
d’un fichier de l’ordinateur de la victime.

ACCÈS AU BULLETIN VIGIL@NCE COMPLET

http://vigilance.fr/vulnerabilite/Microsoft-FrontPage-obtention-d-information-via-DTD-Entities-13408