CERTA-2009-AVI-064
Vulnerability from certfr_avis - Published: 2009-02-11 - Updated: 2009-02-11
Une vulnérabilité dans Microsoft Windows permet le contournement de la politique de sécurité et l'exécution de code arbitraire à distance.
Description
Une vulnérabilité dans l'interprétation des paramètres d'autorun dans Microsoft Windows permet le contournement de la politique de sécurité et l'exécution de code arbitraire à distance. En effet, les paramètres définis par la valeur de la clé NoDriveTypeAutorun ne sont pas correctement interprétés par le système. L'exécution automatique de codes malveillants au travers de clés USB (via le menu contextuel, ou un double-clic sur l'icône) ou lecteurs réseau, par exemple, est donc possible sur des sytèmes vulnérables même si la clé de registre est supposée désactiver cette fonctionnalité.
La vulnérabilité a été corrigée pour les systèmes Windows Vista et Windows Server 2008 dans le correctif MS08-038, puis pour les autres systèmes Windows dans une mise à jour non automatique.
Solution
Cette mise à jour n'est pas disponible en mise à jour automatique. Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation). Remarque : le correctif porte la référence kb950582 alors que le bulletin porte la référence kb953252.
None| Title | Publication Time | Tags | |||||||||||||||
|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|
|
|||||||||||||||||
{
"$ref": "https://www.cert.ssi.gouv.fr/openapi.json",
"affected_systems": [
{
"description": "Microsoft Windows XP ;",
"product": {
"name": "Windows",
"vendor": {
"name": "Microsoft",
"scada": false
}
}
},
{
"description": "Microsoft Windows Server 2003.",
"product": {
"name": "Windows",
"vendor": {
"name": "Microsoft",
"scada": false
}
}
},
{
"description": "Microsoft Windows 2000 ;",
"product": {
"name": "Windows",
"vendor": {
"name": "Microsoft",
"scada": false
}
}
}
],
"affected_systems_content": null,
"content": "## Description\n\nUne vuln\u00e9rabilit\u00e9 dans l\u0027interpr\u00e9tation des param\u00e8tres d\u0027autorun dans\nMicrosoft Windows permet le contournement de la politique de s\u00e9curit\u00e9 et\nl\u0027ex\u00e9cution de code arbitraire \u00e0 distance. En effet, les param\u00e8tres\nd\u00e9finis par la valeur de la cl\u00e9 NoDriveTypeAutorun ne sont pas\ncorrectement interpr\u00e9t\u00e9s par le syst\u00e8me. L\u0027ex\u00e9cution automatique de\ncodes malveillants au travers de cl\u00e9s USB (via le menu contextuel, ou un\ndouble-clic sur l\u0027ic\u00f4ne) ou lecteurs r\u00e9seau, par exemple, est donc\npossible sur des syt\u00e8mes vuln\u00e9rables m\u00eame si la cl\u00e9 de registre est\nsuppos\u00e9e d\u00e9sactiver cette fonctionnalit\u00e9.\n\nLa vuln\u00e9rabilit\u00e9 a \u00e9t\u00e9 corrig\u00e9e pour les syst\u00e8mes Windows Vista et\nWindows Server 2008 dans le correctif MS08-038, puis pour les autres\nsyst\u00e8mes Windows dans une mise \u00e0 jour non automatique.\n\n## Solution\n\nCette mise \u00e0 jour n\u0027est pas disponible en mise \u00e0 jour automatique. Se\nr\u00e9f\u00e9rer au bulletin de s\u00e9curit\u00e9 de l\u0027\u00e9diteur pour l\u0027obtention des\ncorrectifs (cf. section Documentation). Remarque : le correctif porte la\nr\u00e9f\u00e9rence kb950582 alors que le bulletin porte la r\u00e9f\u00e9rence kb953252.\n",
"cves": [
{
"name": "CVE-2008-0951",
"url": "https://www.cve.org/CVERecord?id=CVE-2008-0951"
}
],
"initial_release_date": "2009-02-11T00:00:00",
"last_revision_date": "2009-02-11T00:00:00",
"links": [
{
"title": "Bulletin de s\u00e9curit\u00e9 Microsoft KB953252 du 05 f\u00e9vrier 2009 :",
"url": "http://support.microsoft.com/kb/953252"
},
{
"title": "Note d\u0027information \u00ab Risques associ\u00e9s aux cl\u00e9s USB \u00bb :",
"url": "http://www.certa.ssi.gouv.fr/site/CERTA-2006-INF-006/index.html"
},
{
"title": "Alerte de s\u00e9curit\u00e9 de l\u0027US-CERT TA09-020A du 20 janvier 2009 :",
"url": "http://www.us-cert.gov/cas/techalerts/TA09-020A.html"
}
],
"reference": "CERTA-2009-AVI-064",
"revisions": [
{
"description": "version initiale.",
"revision_date": "2009-02-11T00:00:00.000000"
}
],
"risks": [
{
"description": "Ex\u00e9cution de code arbitraire \u00e0 distance"
},
{
"description": "Contournement de la politique de s\u00e9curit\u00e9"
}
],
"summary": "Une vuln\u00e9rabilit\u00e9 dans Microsoft Windows permet le contournement de la\npolitique de s\u00e9curit\u00e9 et l\u0027ex\u00e9cution de code arbitraire \u00e0 distance.\n",
"title": "Vuln\u00e9rabilit\u00e9 dans l\u0027Autorun sur Windows",
"vendor_advisories": [
{
"published_at": null,
"title": "Alerte TA09-020A de l\u0027US-CERT",
"url": null
},
{
"published_at": null,
"title": "Bulletin Microsoft KB953252 du 05 f\u00e9vrier 2009",
"url": null
}
]
}
Sightings
| Author | Source | Type | Date |
|---|
Nomenclature
- Seen: The vulnerability was mentioned, discussed, or observed by the user.
- Confirmed: The vulnerability has been validated from an analyst's perspective.
- Published Proof of Concept: A public proof of concept is available for this vulnerability.
- Exploited: The vulnerability was observed as exploited by the user who reported the sighting.
- Patched: The vulnerability was observed as successfully patched by the user who reported the sighting.
- Not exploited: The vulnerability was not observed as exploited by the user who reported the sighting.
- Not confirmed: The user expressed doubt about the validity of the vulnerability.
- Not patched: The vulnerability was not observed as successfully patched by the user who reported the sighting.