CERTA-2007-ALE-015

Vulnerability from certfr_alerte - Published: - Updated:

Une vulnérabilité dans la gestion des URI dans Windows permet l'exécution de commandes arbitraires à distance.

Description

Une vulnérabilité dans le traitement des URI dans Windows permet l'exécution de commandes à distance. La présence d'Internet Explorer 7 (IE7) est nécessaire pour l'exploitation de cette vulnérabilité, car la gestion des URI est liée à ce programme. Cette alerte est une extension de l'alerte CERTA-2007-ALE-013, plusieurs applications étant concernées par cette vulnérabilité. Plus précisément, les chaînes de caractères passées en argument de certaines URI ne sont contrôlées ni par IE7 qui en assure le traitement, ni par un certain nombre d'applications (comme Acrobat Reader, Miranda, etc.) qui appellent la fonction vulnérable de Windows.

Il n'existe pour le moment aucun contournement provisoire pour ce problème qui n'ait de conséquences lourdes pour le fonctionnement du système et des applications. Il est toutefois possible que des éditeurs proposent des correctifs ou des contournements pour leur application, comme ce fut le cas pour Mozilla Firefox (voir alerte CERTA-2007-ALE-013) ou Adobe Reader (voir Documentation).

Mise à jour du 11 octobre 2007 :

Microsoft vient de publier l'avis de sécurité 943521 confirmant le problème.

Mise à jour du 24 octobre 2007 :

Adobe publie un correctif pour la version 8.1 des produits vulnérables.

Mise à jour du 14 novembre 2007 :

Microsoft publie un correctif décrit dans son bulletin MS07-061. Ce dernier est présenté dans l'avis CERTA-2007-AVI-489.

Contournements provisoires

Les contournements ne sont pas simples, comme il a été mentionné dans la section ci-dessus. Néanmoins, quelques mesures peuvent être entreprises pour limiter les risques :

  • des règles de filtrage concernant des liens suspects peuvent être mises en place au niveau des passerelles Web ou de messagerie qui inspectent le contenu. Par exemple, le champ mailto: ne doit pas être a priori suivi d'une chaîne de caractère contenant ../.. ou %, mais d'une adresse électronique valide. Des règles peuvent également être précisées pour les champs de type : http:, etc. De manière générale, tout type de liens qui n'est pas attendu ou explicitement autorisé doit être filtré.
  • les fichiers aux formats PDF peuvent être convertis dans d'autres formats (HTML, PS, TXT) ;
  • des clés de registre peuvent être modifiées au niveau des postes clients pour l'interprétation des champs protocolaires. Cette solution a été abordée dans une alerte publiée par Adobe. Elle est cependant assez radicale, et peut provoquer plusieurs dysfonctionnements.

Solution

Appliquer les correctifs décrits dans le bulletin de sécurité MS07-061 de Microsoft publié le 13 novembre 2007.

  • Windows XP SP 2 avec Internet Explorer 7 installé ;
  • Windows 2003 Server SP2 avec Internet Explorer 7 installé.

D'autres versions de Windows peuvent être affectées, le principal prérequis étant la présence d'Internet Explorer 7.

Impacted products
Vendor Product Description
References

Show details on source website
To clipboard 

{
  "$ref": "https://www.cert.ssi.gouv.fr/openapi.json",
  "affected_systems": [],
  "affected_systems_content": "\u003cUL\u003e    \u003cLI\u003eWindows XP SP 2 avec \u003cSPAN class=\"textit\"\u003eInternet Explorer    7\u003c/SPAN\u003e install\u00e9 ;\u003c/LI\u003e    \u003cLI\u003eWindows 2003 Server SP2 avec \u003cSPAN class=\"textit\"\u003eInternet    Explorer 7\u003c/SPAN\u003e install\u00e9.\u003c/LI\u003e  \u003c/UL\u003e  \u003cP\u003eD\u0027autres versions de Windows peuvent \u00eatre affect\u00e9es, le  principal pr\u00e9requis \u00e9tant la pr\u00e9sence d\u0027\u003cSPAN class=\n  \"textit\"\u003eInternet Explorer 7\u003c/SPAN\u003e.\u003c/P\u003e",
  "closed_at": "2007-11-14",
  "content": "## Description\n\nUne vuln\u00e9rabilit\u00e9 dans le traitement des URI dans Windows permet\nl\u0027ex\u00e9cution de commandes \u00e0 distance. La pr\u00e9sence d\u0027Internet Explorer 7\n(IE7) est n\u00e9cessaire pour l\u0027exploitation de cette vuln\u00e9rabilit\u00e9, car la\ngestion des URI est li\u00e9e \u00e0 ce programme. Cette alerte est une extension\nde l\u0027alerte CERTA-2007-ALE-013, plusieurs applications \u00e9tant concern\u00e9es\npar cette vuln\u00e9rabilit\u00e9. Plus pr\u00e9cis\u00e9ment, les cha\u00eenes de caract\u00e8res\npass\u00e9es en argument de certaines URI ne sont contr\u00f4l\u00e9es ni par IE7 qui\nen assure le traitement, ni par un certain nombre d\u0027applications (comme\nAcrobat Reader, Miranda, etc.) qui appellent la fonction vuln\u00e9rable de\nWindows.\n\nIl n\u0027existe pour le moment aucun contournement provisoire pour ce\nprobl\u00e8me qui n\u0027ait de cons\u00e9quences lourdes pour le fonctionnement du\nsyst\u00e8me et des applications. Il est toutefois possible que des \u00e9diteurs\nproposent des correctifs ou des contournements pour leur application,\ncomme ce fut le cas pour Mozilla Firefox (voir alerte\nCERTA-2007-ALE-013) ou Adobe Reader (voir Documentation).\n\nMise \u00e0 jour du 11 octobre 2007 :\n\nMicrosoft vient de publier l\u0027avis de s\u00e9curit\u00e9 943521 confirmant le\nprobl\u00e8me.\n\nMise \u00e0 jour du 24 octobre 2007 :\n\nAdobe publie un correctif pour la version 8.1 des produits vuln\u00e9rables.\n\nMise \u00e0 jour du 14 novembre 2007 :\n\nMicrosoft publie un correctif d\u00e9crit dans son bulletin MS07-061. Ce\ndernier est pr\u00e9sent\u00e9 dans l\u0027avis CERTA-2007-AVI-489.\n\n## Contournements provisoires\n\nLes contournements ne sont pas simples, comme il a \u00e9t\u00e9 mentionn\u00e9 dans la\nsection ci-dessus. N\u00e9anmoins, quelques mesures peuvent \u00eatre entreprises\npour limiter les risques :\n\n-   des r\u00e8gles de filtrage concernant des liens suspects peuvent \u00eatre\n    mises en place au niveau des passerelles Web ou de messagerie qui\n    inspectent le contenu. Par exemple, le champ mailto: ne doit pas\n    \u00eatre a priori suivi d\u0027une cha\u00eene de caract\u00e8re contenant ../.. ou %,\n    mais d\u0027une adresse \u00e9lectronique valide. Des r\u00e8gles peuvent \u00e9galement\n    \u00eatre pr\u00e9cis\u00e9es pour les champs de type : http:, etc. De mani\u00e8re\n    g\u00e9n\u00e9rale, tout type de liens qui n\u0027est pas attendu ou explicitement\n    autoris\u00e9 doit \u00eatre filtr\u00e9.\n-   les fichiers aux formats PDF peuvent \u00eatre convertis dans d\u0027autres\n    formats (HTML, PS, TXT) ;\n-   des cl\u00e9s de registre peuvent \u00eatre modifi\u00e9es au niveau des postes\n    clients pour l\u0027interpr\u00e9tation des champs protocolaires. Cette\n    solution a \u00e9t\u00e9 abord\u00e9e dans une alerte publi\u00e9e par Adobe. Elle est\n    cependant assez radicale, et peut provoquer plusieurs\n    dysfonctionnements.\n\n## Solution\n\nAppliquer les correctifs d\u00e9crits dans le bulletin de s\u00e9curit\u00e9 MS07-061\nde Microsoft publi\u00e9 le 13 novembre 2007.\n",
  "cves": [
    {
      "name": "CVE-2007-3896",
      "url": "https://www.cve.org/CVERecord?id=CVE-2007-3896"
    },
    {
      "name": "CVE-2007-5020",
      "url": "https://www.cve.org/CVERecord?id=CVE-2007-5020"
    }
  ],
  "links": [
    {
      "title": "Bulletin de s\u00e9curit\u00e9 Adobe ASPB07-18 du 22 octobre 2007 :",
      "url": "http://www.adobe.com/support/security/bulletins/ASPB07-18.html"
    },
    {
      "title": "Bulletin de s\u00e9curit\u00e9 Microsoft MS07-061 du 13 novembre 2007    :",
      "url": "http://www.microsoft.com/technet/security/Bulletin/MS07-061.mspx"
    },
    {
      "title": "Bulletin de s\u00e9curit\u00e9 Microsoft MS07-061 du 13 novembre 2007    :",
      "url": "http://www.microsoft.com/france/technet/security/Bulletin/MS07-061.mspx"
    },
    {
      "title": "Avis CERTA-2007-AVI-489 du 14 novembre 2007 :",
      "url": "http://www.certa.ssi.gouv.fr/site/CERTA-2007-AVI-489/"
    },
    {
      "title": "Commentaires de Microsoft aux d\u00e9veloppeurs concernant la    gestion des manipulateurs de protocoles :",
      "url": "http://blogs.msdn.com/ie/archive/2007/07/18/enriching-the-web-safely-how-to-create-application-protocol-handlers.aspx"
    },
    {
      "title": "Document du CERTA CERTA-2007-AVI-455 du 24 octobre 2007 :",
      "url": "http://www.certa.ssi.gouv.fr/site/CERTA-2007-AVI-455/index.html"
    },
    {
      "title": "Avis de s\u00e9curit\u00e9 Microsoft 943521 du 10 octobre 2007 :",
      "url": "http://www.microsoft.com/technet/security/advisory/943521.mspx"
    },
    {
      "title": "Alerte CERTA-2007-ALE-013 du 31 juillet 2007 :",
      "url": "http://www.certa.ssi.gouv.fr/site/CERTA-2007-ALE-013/index.html"
    },
    {
      "title": "Bulletin de s\u00e9curit\u00e9 Adobe du 05 octobre 2007 :",
      "url": "http://www.adobe.com/support/security/advisories/apsa07-04.html"
    }
  ],
  "reference": "CERTA-2007-ALE-015",
  "revisions": [
    {
      "description": "version initiale.",
      "revision_date": "2007-10-10T00:00:00.000000"
    },
    {
      "description": "ajout de l\u0027avis 943521 de Microsoft et de la r\u00e9f\u00e9rence CVE associ\u00e9e.",
      "revision_date": "2007-10-11T00:00:00.000000"
    },
    {
      "description": "ajout de l\u0027avis ASPB07-18 d\u0027Adobe et de la r\u00e9f\u00e9rence CVE associ\u00e9e.",
      "revision_date": "2007-10-24T00:00:00.000000"
    },
    {
      "description": "ajout de la r\u00e9f\u00e9rence au bulletin MS07-061 de Microsoft.",
      "revision_date": "2007-11-14T00:00:00.000000"
    }
  ],
  "risks": [
    {
      "description": "Ex\u00e9cution de commandes arbitraires \u00e0 distance"
    }
  ],
  "summary": "Une vuln\u00e9rabilit\u00e9 dans la gestion des URI dans Windows permet\nl\u0027ex\u00e9cution de commandes arbitraires \u00e0 distance.\n",
  "title": "Vuln\u00e9rabilit\u00e9 dans le traitement des URI sous Windows",
  "vendor_advisories": []
}


Log in or create an account to share your comment.




Tags
Taxonomy of the tags.




Sightings

Author Source Type Date

Nomenclature

  • Seen: The vulnerability was mentioned, discussed, or observed by the user.
  • Confirmed: The vulnerability has been validated from an analyst's perspective.
  • Published Proof of Concept: A public proof of concept is available for this vulnerability.
  • Exploited: The vulnerability was observed as exploited by the user who reported the sighting.
  • Patched: The vulnerability was observed as successfully patched by the user who reported the sighting.
  • Not exploited: The vulnerability was not observed as exploited by the user who reported the sighting.
  • Not confirmed: The user expressed doubt about the validity of the vulnerability.
  • Not patched: The vulnerability was not observed as successfully patched by the user who reported the sighting.



Detection rules are retrieved from Rulezet.