certfr_avis - certa-2000-avi-002

CERTA-2000-AVI-002

Vulnerability from certfr_avis - Published: - Updated:

None

Description

Un contrôle ActiveX sous Office 2000 permet d'exécuter différentes fonctions dans l'environnement Office (par exemple : ouverture de fichiers, modification configuration de Word, Excel, etc.)

Dans le contrôle ActiveX, il est inexactement marqué « reconnu sur pour l'écriture de scripts (safe for scripting) ». Cette vulnérabilité peut permettre à un individu malveillant de désactiver à distance l'avertissement d'exécution de macro et d'exécuter du code arbitraire. Elle peut être exploitée par la visualisation d'un document HTML, dans un forum de discussion (newsgroups) ou un mél.

Solution

Il existe un correctif à l'adresse suivante :

http://officeupdate.microsoft.com/2000/downloadDetails/Uactlsec.htm

Comme il est mentionné dans la note d'information CERTA-2000-INF-002, il est préférable de désactiver les contrôles ActiveX dans internet Explorer :

Menu outils
Sous menu Options Internet
Onglet Sécurité
Personnaliser le niveau
Choix Contrôles ActiveX et Plugins
Tout désactiver.

Tous les systèmes équipés de Microsoft Internet Explorer et de composants Microsoft Office 2000 :

Word 2000
Excel 2000
PowerPoint 2000
Acces 2000
Photodraw 2000
FrontPage 2000
Project 2000
Outlook 2000
Publisher 2000
Works 2000 suite

Impacted products

	Vendor	Product	Description

References

Title

Publication Time

Tags

Avis CA-2000-07 du CERT/CC	None	vendor-advisory
<PRE><A name="tex2html1" href="http://www.cert.org/advisories/ca-2000-07.html" id="tex2html1">http://www.cert.org/advisories/ca-2000-07.html</A></PRE>	None	vendor-advisory

Show details on source website

JSON

To clipboard

{
  "$ref": "https://www.cert.ssi.gouv.fr/openapi.json",
  "affected_systems": [],
  "affected_systems_content": "\u003cP\u003eTous les syst\u00e8mes \u00e9quip\u00e9s de Microsoft Internet Explorer et de  composants Microsoft Office 2000 :\u003c/P\u003e  \u003cUL\u003e    \u003cLI\u003eWord 2000\u003c/LI\u003e    \u003cLI\u003eExcel 2000\u003c/LI\u003e    \u003cLI\u003ePowerPoint 2000\u003c/LI\u003e    \u003cLI\u003eAcces 2000\u003c/LI\u003e    \u003cLI\u003ePhotodraw 2000\u003c/LI\u003e    \u003cLI\u003eFrontPage 2000\u003c/LI\u003e    \u003cLI\u003eProject 2000\u003c/LI\u003e    \u003cLI\u003eOutlook 2000\u003c/LI\u003e    \u003cLI\u003ePublisher 2000\u003c/LI\u003e    \u003cLI\u003eWorks 2000 suite\u003c/LI\u003e  \u003c/UL\u003e",
  "content": "## Description\n\nUn contr\u00f4le ActiveX sous Office 2000 permet d\u0027ex\u00e9cuter diff\u00e9rentes\nfonctions dans l\u0027environnement Office (par exemple : ouverture de\nfichiers, modification configuration de Word, Excel, etc.)\n\nDans le contr\u00f4le ActiveX, il est inexactement marqu\u00e9 \u00ab reconnu sur pour\nl\u0027\u00e9criture de scripts (safe for scripting) \u00bb. Cette vuln\u00e9rabilit\u00e9 peut\npermettre \u00e0 un individu malveillant de d\u00e9sactiver \u00e0 distance\nl\u0027avertissement d\u0027ex\u00e9cution de macro et d\u0027ex\u00e9cuter du code arbitraire.\nElle peut \u00eatre exploit\u00e9e par la visualisation d\u0027un document HTML, dans\nun forum de discussion (newsgroups) ou un m\u00e9l.\n\n## Solution\n\nIl existe un correctif \u00e0 l\u0027adresse suivante :\n\n    http://officeupdate.microsoft.com/2000/downloadDetails/Uactlsec.htm\n\nComme il est mentionn\u00e9 dans la note d\u0027information CERTA-2000-INF-002, il\nest pr\u00e9f\u00e9rable de d\u00e9sactiver les contr\u00f4les ActiveX dans internet\nExplorer :\n\n1.  Menu outils\n2.  Sous menu Options Internet\n3.  Onglet S\u00e9curit\u00e9\n4.  Personnaliser le niveau\n5.  Choix Contr\u00f4les ActiveX et Plugins\n6.  Tout d\u00e9sactiver.\n",
  "cves": [],
  "links": [],
  "reference": "CERTA-2000-AVI-002",
  "revisions": [
    {
      "description": "version initiale.",
      "revision_date": "2000-05-25T00:00:00.000000"
    }
  ],
  "risks": [
    {
      "description": "Ex\u00e9cution de code arbitraire"
    }
  ],
  "summary": null,
  "title": "Vuln\u00e9rabilit\u00e9s dans Office 2000",
  "vendor_advisories": [
    {
      "published_at": null,
      "title": "Avis CA-2000-07 du CERT/CC",
      "url": null
    },
    {
      "published_at": null,
      "title": "\u003cPRE\u003e\u003cA name=\"tex2html1\" href=\"http://www.cert.org/advisories/ca-2000-07.html\" id=\"tex2html1\"\u003ehttp://www.cert.org/advisories/ca-2000-07.html\u003c/A\u003e\u003c/PRE\u003e",
      "url": null
    }
  ]
}

Sightings

Author	Source	Type	Date

Nomenclature

Seen: The vulnerability was mentioned, discussed, or observed by the user.
Confirmed: The vulnerability has been validated from an analyst's perspective.
Published Proof of Concept: A public proof of concept is available for this vulnerability.
Exploited: The vulnerability was observed as exploited by the user who reported the sighting.
Patched: The vulnerability was observed as successfully patched by the user who reported the sighting.
Not exploited: The vulnerability was not observed as exploited by the user who reported the sighting.
Not confirmed: The user expressed doubt about the validity of the vulnerability.
Not patched: The vulnerability was not observed as successfully patched by the user who reported the sighting.

Detection rules are retrieved from Rulezet.

Action not permitted