Risque(s)
- exécution de code arbitraire à distance
Systèmes affectés
- Microsoft Windows Vista
- Microsoft Windows Server 2008
- Microsoft Office 2003
- Microsoft Office 2007
- Microsoft Office 2010
- Microsoft Office Compatibility Pack
- Microsoft Lync 2010
- Microsoft Lync 2010 Attendee
- Microsoft Lync 2013
- Microsoft Lync Basic 2013
Résumé
Une vulnérabilité a été découverte dans un composant graphique de Microsoft. Elle permet à un attaquant de provoquer une exécution de code arbitraire à distance au moyen d'un fichier embarquant une image au format TIFF spécialement conçue. Ce fichier peut être intégré dans un document Microsoft Office, une page Web ou un message electronique.
Solution
Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).
Documentation
- Bulletin de sécurité Microsoft MS13-096 du 10 décembre 2013
https://technet.microsoft.com/en-us/security/bulletin/ms13-096
- Bulletin de sécurité Microsoft 2896666 du 05 novembre 2013
http://technet.microsoft.com/en-us/security/advisory/2896666
- Article blog Microsoft Security Research and Defense CVE-2013-3906
http://blogs.technet.com/b/srd/archive/2013/11/05/cve-2013-3906-a-graphics-vulnerability-exploited-through-word-documents.aspx
- EMET 4.0
http://www.microsoft.com/en-us/download/details.aspx?id=39273
- Référence CVE CVE-2013-3906
https://www.cve.org/CVERecord?id=CVE-2013-3906