CERTA-2007-AVI-292

Vulnerability from certfr_avis - Published: - Updated:

None

Description

Une vulnérabilité a été identifiée dans l'application Publisher 2007, un composant disponible avec la suite bureautique Microsoft Office 2007.

Cette dernière n'effacerait pas de manière satisfaisante les ressources en mémoire, au cours de l'opération d'écriture de données entre le disque et la mémoire. Plus précisément, l'erreur proviendrait de la bibliothèque de conversion PUBCONV.DLL utilisée par Publisher pour « convertir » des documents produits par des versions antérieures de Publisher.

Une personne malveillante pourrait donc construire une page .pub particulière, exploitant cette vulnérabilité. A l'ouverture de cette page sur un système vulnérable, du code arbitraire pourrait être exécuter à l'insu de l'utilisateur.

Solution

Se référer au bulletin de sécurité MS07-037 de Microsoft pour l'obtention des correctifs (cf. section Documentation).

  • Vulnérabilité de Microsoft Office Publisher 2007 dans la suite bureautique Microsoft Office 2007.

Les versions précédentes de l'application ne seraient pas affectées par cette vulnérabilité.

Impacted products
Vendor Product Description
References

Show details on source website
To clipboard 

{
  "$ref": "https://www.cert.ssi.gouv.fr/openapi.json",
  "affected_systems": [],
  "affected_systems_content": "\u003cUL\u003e    \u003cLI\u003eVuln\u00e9rabilit\u00e9 de Microsoft Office Publisher 2007 dans la    suite bureautique Microsoft Office 2007.\u003c/LI\u003e  \u003c/UL\u003e  \u003cP\u003eLes versions pr\u00e9c\u00e9dentes de l\u0027application ne seraient pas  affect\u00e9es par cette vuln\u00e9rabilit\u00e9.\u003c/P\u003e",
  "content": "## Description\n\nUne vuln\u00e9rabilit\u00e9 a \u00e9t\u00e9 identifi\u00e9e dans l\u0027application Publisher 2007, un\ncomposant disponible avec la suite bureautique Microsoft Office 2007.\n\nCette derni\u00e8re n\u0027effacerait pas de mani\u00e8re satisfaisante les ressources\nen m\u00e9moire, au cours de l\u0027op\u00e9ration d\u0027\u00e9criture de donn\u00e9es entre le\ndisque et la m\u00e9moire. Plus pr\u00e9cis\u00e9ment, l\u0027erreur proviendrait de la\nbiblioth\u00e8que de conversion PUBCONV.DLL utilis\u00e9e par Publisher pour \u00ab\nconvertir \u00bb des documents produits par des versions ant\u00e9rieures de\nPublisher.\n\nUne personne malveillante pourrait donc construire une page .pub\nparticuli\u00e8re, exploitant cette vuln\u00e9rabilit\u00e9. A l\u0027ouverture de cette\npage sur un syst\u00e8me vuln\u00e9rable, du code arbitraire pourrait \u00eatre\nex\u00e9cuter \u00e0 l\u0027insu de l\u0027utilisateur.\n\n## Solution\n\nSe r\u00e9f\u00e9rer au bulletin de s\u00e9curit\u00e9 MS07-037 de Microsoft pour\nl\u0027obtention des correctifs (cf. section Documentation).\n",
  "cves": [
    {
      "name": "CVE-2007-1754",
      "url": "https://www.cve.org/CVERecord?id=CVE-2007-1754"
    }
  ],
  "links": [],
  "reference": "CERTA-2007-AVI-292",
  "revisions": [
    {
      "description": "version initiale.",
      "revision_date": "2007-07-11T00:00:00.000000"
    }
  ],
  "risks": [
    {
      "description": "Ex\u00e9cution de code arbitraire \u00e0 distance"
    }
  ],
  "summary": null,
  "title": "Vuln\u00e9rabilit\u00e9 de Microsoft Office Publisher 2007",
  "vendor_advisories": [
    {
      "published_at": null,
      "title": "Bulletin de s\u00e9curit\u00e9 Microsoft MS07-037 du 10 juillet 2007",
      "url": "http://www.microsoft.com/technet/security/Bulletin/MS07-037.mspx"
    }
  ]
}


Log in or create an account to share your comment.




Tags
Taxonomy of the tags.




Sightings

Author Source Type Date

Nomenclature

  • Seen: The vulnerability was mentioned, discussed, or observed by the user.
  • Confirmed: The vulnerability has been validated from an analyst's perspective.
  • Published Proof of Concept: A public proof of concept is available for this vulnerability.
  • Exploited: The vulnerability was observed as exploited by the user who reported the sighting.
  • Patched: The vulnerability was observed as successfully patched by the user who reported the sighting.
  • Not exploited: The vulnerability was not observed as exploited by the user who reported the sighting.
  • Not confirmed: The user expressed doubt about the validity of the vulnerability.
  • Not patched: The vulnerability was not observed as successfully patched by the user who reported the sighting.



Detection rules are retrieved from Rulezet.