CERTA-2002-AVI-081

Vulnerability from certfr_avis - Published: - Updated:

None

Description

Deux vulnérabilités ont été découvertes sous Internet Explorer et la suite Office pour Macintosh :

Une vulnérabilité dans l'interprétation des éléments HTML permet à un concepteur de site mal intentionné de réaliser un débordement de mémoire lors de la visite d'une page HTML judicieusement composée, pouvant entraîner l'exécution de code arbitraire sur la machine cible. La suite Office utilisant les éléments HTML est également concernée par cette vulnérabilité.

Un concepteur de site mal intentionné peut, par le biais d'une page web judicieusement composée, exécuter un script sur la machine cible en utilisant Apple Script local. Ce script sera exécuté avec les droits de l'utilisateur.

Cependant le script doit déja être présent sur la machine cible pour pouvoir être exécuté.

Solution

Appliquer les correctifs disponibles selon votre configuration :

  • MAC OS 8 et 9 :

    http://www.microsoft.com/mac/download

  • MAC OS X :

    http://www.apple.com/macosx/upgrade/softwareupdates.html
None
Impacted products
Vendor Product Description
Microsoft N/A Microsoft Excel 2001 pour Macintosh.
Microsoft N/A Microsoft PowerPoint 98 pour Macintosh ;
Microsoft N/A Microsoft Excel v.X pour Macintosh ;
Microsoft N/A Microsoft Outlook Express 5.0-5.03 pour Macintosh ;
Microsoft N/A Microsoft PowerPoint 2001 pour Macintosh ;
Microsoft N/A Microsoft Internet Explorer 5.1 pour Macintosh OS 8 et 9 ;
Microsoft N/A Microsoft PowerPoint v.X pour Macintosh ;
Microsoft N/A Microsoft Entourage v.X pour Macintosh ;
Microsoft N/A Microsoft Internet Explorer 5.1 pour Macintosh OS X ;
Microsoft N/A Microsoft Entourage 2001 pour Macintosh ;
References
Bulletin Microsoft MS02-019 None vendor-advisory
Bulletin Microsoft : - other

Show details on source website
To clipboard 

{
  "$ref": "https://www.cert.ssi.gouv.fr/openapi.json",
  "affected_systems": [
    {
      "description": "Microsoft Excel 2001 pour Macintosh.",
      "product": {
        "name": "N/A",
        "vendor": {
          "name": "Microsoft",
          "scada": false
        }
      }
    },
    {
      "description": "Microsoft PowerPoint 98 pour Macintosh ;",
      "product": {
        "name": "N/A",
        "vendor": {
          "name": "Microsoft",
          "scada": false
        }
      }
    },
    {
      "description": "Microsoft Excel v.X pour Macintosh ;",
      "product": {
        "name": "N/A",
        "vendor": {
          "name": "Microsoft",
          "scada": false
        }
      }
    },
    {
      "description": "Microsoft Outlook Express 5.0-5.03 pour Macintosh ;",
      "product": {
        "name": "N/A",
        "vendor": {
          "name": "Microsoft",
          "scada": false
        }
      }
    },
    {
      "description": "Microsoft PowerPoint 2001 pour Macintosh ;",
      "product": {
        "name": "N/A",
        "vendor": {
          "name": "Microsoft",
          "scada": false
        }
      }
    },
    {
      "description": "Microsoft Internet Explorer 5.1 pour Macintosh OS 8 et 9 ;",
      "product": {
        "name": "N/A",
        "vendor": {
          "name": "Microsoft",
          "scada": false
        }
      }
    },
    {
      "description": "Microsoft PowerPoint v.X pour Macintosh ;",
      "product": {
        "name": "N/A",
        "vendor": {
          "name": "Microsoft",
          "scada": false
        }
      }
    },
    {
      "description": "Microsoft Entourage v.X pour Macintosh ;",
      "product": {
        "name": "N/A",
        "vendor": {
          "name": "Microsoft",
          "scada": false
        }
      }
    },
    {
      "description": "Microsoft Internet Explorer 5.1 pour Macintosh OS X ;",
      "product": {
        "name": "N/A",
        "vendor": {
          "name": "Microsoft",
          "scada": false
        }
      }
    },
    {
      "description": "Microsoft Entourage 2001 pour Macintosh ;",
      "product": {
        "name": "N/A",
        "vendor": {
          "name": "Microsoft",
          "scada": false
        }
      }
    }
  ],
  "affected_systems_content": null,
  "content": "## Description\n\nDeux vuln\u00e9rabilit\u00e9s ont \u00e9t\u00e9 d\u00e9couvertes sous Internet Explorer et la\nsuite Office pour Macintosh :\n\nUne vuln\u00e9rabilit\u00e9 dans l\u0027interpr\u00e9tation des \u00e9l\u00e9ments HTML permet \u00e0 un\nconcepteur de site mal intentionn\u00e9 de r\u00e9aliser un d\u00e9bordement de m\u00e9moire\nlors de la visite d\u0027une page HTML judicieusement compos\u00e9e, pouvant\nentra\u00eener l\u0027ex\u00e9cution de code arbitraire sur la machine cible. La suite\nOffice utilisant les \u00e9l\u00e9ments HTML est \u00e9galement concern\u00e9e par cette\nvuln\u00e9rabilit\u00e9.\n\nUn concepteur de site mal intentionn\u00e9 peut, par le biais d\u0027une page web\njudicieusement compos\u00e9e, ex\u00e9cuter un script sur la machine cible en\nutilisant Apple Script local. Ce script sera ex\u00e9cut\u00e9 avec les droits de\nl\u0027utilisateur.\n\nCependant le script doit d\u00e9ja \u00eatre pr\u00e9sent sur la machine cible pour\npouvoir \u00eatre ex\u00e9cut\u00e9.\n\n## Solution\n\nAppliquer les correctifs disponibles selon votre configuration :\n\n-   MAC OS 8 et 9 :\n\n        http://www.microsoft.com/mac/download\n\n-   MAC OS X :\n\n        http://www.apple.com/macosx/upgrade/softwareupdates.html\n",
  "cves": [],
  "links": [
    {
      "title": "Bulletin Microsoft :",
      "url": "http://www.microsoft.com/technet/security/bulletin/MS02-019.asp"
    }
  ],
  "reference": "CERTA-2002-AVI-081",
  "revisions": [
    {
      "description": "version initiale.",
      "revision_date": "2002-04-17T00:00:00.000000"
    }
  ],
  "risks": [
    {
      "description": "Ex\u00e9cution de code arbitraire"
    },
    {
      "description": "Ex\u00e9cution d\u0027apple script"
    }
  ],
  "summary": null,
  "title": "Vun\u00e9rabilit\u00e9s dans Internet Explorer sous Mac OS",
  "vendor_advisories": [
    {
      "published_at": null,
      "title": "Bulletin Microsoft MS02-019",
      "url": null
    }
  ]
}


Log in or create an account to share your comment.




Tags
Taxonomy of the tags.




Sightings

Author Source Type Date

Nomenclature

  • Seen: The vulnerability was mentioned, discussed, or observed by the user.
  • Confirmed: The vulnerability has been validated from an analyst's perspective.
  • Published Proof of Concept: A public proof of concept is available for this vulnerability.
  • Exploited: The vulnerability was observed as exploited by the user who reported the sighting.
  • Patched: The vulnerability was observed as successfully patched by the user who reported the sighting.
  • Not exploited: The vulnerability was not observed as exploited by the user who reported the sighting.
  • Not confirmed: The user expressed doubt about the validity of the vulnerability.
  • Not patched: The vulnerability was not observed as successfully patched by the user who reported the sighting.



Detection rules are retrieved from Rulezet.