CERTA-2002-AVI-201
Vulnerability from certfr_avis - Published: - Updated:
Un utilisateur mal intentionné peut lancer à distance le logiciel Visual FoxPro 6.0 (s'il est installé sur la machine cible) ainsi qu'une application qui y est associée au moyen d'une page HTML habilement conçue.
Description
Il est possible, lors de l'installation d'un logiciel sur le système Windows, d'indiquer la façon dont Internet Explorer traitera les applications qui y sont associées. Lors de son installation, Visual FoxPro 6.0 n'indique pas à Internet Explorer la façon dont seront traités les fichiers qui lui sont associés (extension en .app).
Par conséquent, il est possible de lancer automatiquement Visual FoxPro 6.0, voire d'exécuter un fichier dont l'extension est .app au moyen d'un fichier HTML habilement conçu (dans un message au format HTML ou sur un serveur web malicieux par exemple).
Solution
Appliquer le correctif comme indiqué dans le bulletin de sécurité MS02-049 de Microsoft (consulter le paragraphe Documentation).
Microsoft Windows avec Visual FoxPro 6.0 installé.
| Vendor | Product | Description |
|---|
| Title | Publication Time | Tags | |||
|---|---|---|---|---|---|
|
|||||
{
"$ref": "https://www.cert.ssi.gouv.fr/openapi.json",
"affected_systems": [],
"affected_systems_content": "\u003cP\u003eMicrosoft Windows avec Visual FoxPro 6.0 install\u00e9.\u003c/P\u003e",
"content": "## Description\n\nIl est possible, lors de l\u0027installation d\u0027un logiciel sur le syst\u00e8me\nWindows, d\u0027indiquer la fa\u00e7on dont Internet Explorer traitera les\napplications qui y sont associ\u00e9es. Lors de son installation, Visual\nFoxPro 6.0 n\u0027indique pas \u00e0 Internet Explorer la fa\u00e7on dont seront\ntrait\u00e9s les fichiers qui lui sont associ\u00e9s (extension en .app).\n\nPar cons\u00e9quent, il est possible de lancer automatiquement Visual FoxPro\n6.0, voire d\u0027ex\u00e9cuter un fichier dont l\u0027extension est .app au moyen d\u0027un\nfichier HTML habilement con\u00e7u (dans un message au format HTML ou sur un\nserveur web malicieux par exemple).\n\n## Solution\n\nAppliquer le correctif comme indiqu\u00e9 dans le bulletin de s\u00e9curit\u00e9\nMS02-049 de Microsoft (consulter le paragraphe Documentation).\n",
"cves": [],
"links": [],
"reference": "CERTA-2002-AVI-201",
"revisions": [
{
"description": "version initiale.",
"revision_date": "2002-09-05T00:00:00.000000"
}
],
"risks": [
{
"description": "Ex\u00e9cution de code arbitraire \u00e0 distance"
}
],
"summary": "Un utilisateur mal intentionn\u00e9 peut lancer \u00e0 distance le logiciel Visual\nFoxPro 6.0 (s\u0027il est install\u00e9 sur la machine cible) ainsi qu\u0027une\napplication qui y est associ\u00e9e au moyen d\u0027une page HTML habilement\ncon\u00e7ue.\n",
"title": "Ex\u00e9cution \u00e0 distance de Visual FoxPro 6.0 ou des documents associ\u00e9s",
"vendor_advisories": [
{
"published_at": null,
"title": "Bulletin de s\u00e9curit\u00e9 MS02-049 de Microsoft",
"url": "http://www.microsoft.com/technet/security/bulletin/MS02-049.asp"
}
]
}
Sightings
| Author | Source | Type | Date |
|---|
Nomenclature
- Seen: The vulnerability was mentioned, discussed, or observed by the user.
- Confirmed: The vulnerability has been validated from an analyst's perspective.
- Published Proof of Concept: A public proof of concept is available for this vulnerability.
- Exploited: The vulnerability was observed as exploited by the user who reported the sighting.
- Patched: The vulnerability was observed as successfully patched by the user who reported the sighting.
- Not exploited: The vulnerability was not observed as exploited by the user who reported the sighting.
- Not confirmed: The user expressed doubt about the validity of the vulnerability.
- Not patched: The vulnerability was not observed as successfully patched by the user who reported the sighting.