CERTA-2002-AVI-201
Vulnerability from certfr_avis

Un utilisateur mal intentionné peut lancer à distance le logiciel Visual FoxPro 6.0 (s'il est installé sur la machine cible) ainsi qu'une application qui y est associée au moyen d'une page HTML habilement conçue.

Description

Il est possible, lors de l'installation d'un logiciel sur le système Windows, d'indiquer la façon dont Internet Explorer traitera les applications qui y sont associées. Lors de son installation, Visual FoxPro 6.0 n'indique pas à Internet Explorer la façon dont seront traités les fichiers qui lui sont associés (extension en .app).

Par conséquent, il est possible de lancer automatiquement Visual FoxPro 6.0, voire d'exécuter un fichier dont l'extension est .app au moyen d'un fichier HTML habilement conçu (dans un message au format HTML ou sur un serveur web malicieux par exemple).

Solution

Appliquer le correctif comme indiqué dans le bulletin de sécurité MS02-049 de Microsoft (consulter le paragraphe Documentation).

Microsoft Windows avec Visual FoxPro 6.0 installé.

Impacted products
Vendor Product Description
References

Show details on source website

To clipboard 

{
  "$ref": "https://www.cert.ssi.gouv.fr/openapi.json",
  "affected_systems": [],
  "affected_systems_content": "\u003cP\u003eMicrosoft Windows avec Visual FoxPro 6.0 install\u00e9.\u003c/P\u003e",
  "content": "## Description\n\nIl est possible, lors de l\u0027installation d\u0027un logiciel sur le syst\u00e8me\nWindows, d\u0027indiquer la fa\u00e7on dont Internet Explorer traitera les\napplications qui y sont associ\u00e9es. Lors de son installation, Visual\nFoxPro 6.0 n\u0027indique pas \u00e0 Internet Explorer la fa\u00e7on dont seront\ntrait\u00e9s les fichiers qui lui sont associ\u00e9s (extension en .app).\n\nPar cons\u00e9quent, il est possible de lancer automatiquement Visual FoxPro\n6.0, voire d\u0027ex\u00e9cuter un fichier dont l\u0027extension est .app au moyen d\u0027un\nfichier HTML habilement con\u00e7u (dans un message au format HTML ou sur un\nserveur web malicieux par exemple).\n\n## Solution\n\nAppliquer le correctif comme indiqu\u00e9 dans le bulletin de s\u00e9curit\u00e9\nMS02-049 de Microsoft (consulter le paragraphe Documentation).\n",
  "cves": [],
  "initial_release_date": "2002-09-05T00:00:00",
  "last_revision_date": "2002-09-05T00:00:00",
  "links": [],
  "reference": "CERTA-2002-AVI-201",
  "revisions": [
    {
      "description": "version initiale.",
      "revision_date": "2002-09-05T00:00:00.000000"
    }
  ],
  "risks": [
    {
      "description": "Ex\u00e9cution de code arbitraire \u00e0 distance"
    }
  ],
  "summary": "Un utilisateur mal intentionn\u00e9 peut lancer \u00e0 distance le logiciel Visual\nFoxPro 6.0 (s\u0027il est install\u00e9 sur la machine cible) ainsi qu\u0027une\napplication qui y est associ\u00e9e au moyen d\u0027une page HTML habilement\ncon\u00e7ue.\n",
  "title": "Ex\u00e9cution \u00e0 distance de Visual FoxPro 6.0 ou des documents associ\u00e9s",
  "vendor_advisories": [
    {
      "published_at": null,
      "title": "Bulletin de s\u00e9curit\u00e9 MS02-049 de Microsoft",
      "url": "http://www.microsoft.com/technet/security/bulletin/MS02-049.asp"
    }
  ]
}


Log in or create an account to share your comment.




Tags
Taxonomy of the tags.




Sightings

Author Source Type Date

Nomenclature

  • Seen: The vulnerability was mentioned, discussed, or seen somewhere by the user.
  • Confirmed: The vulnerability is confirmed from an analyst perspective.
  • Published Proof of Concept: A public proof of concept is available for this vulnerability.
  • Exploited: This vulnerability was exploited and seen by the user reporting the sighting.
  • Patched: This vulnerability was successfully patched by the user reporting the sighting.
  • Not exploited: This vulnerability was not exploited or seen by the user reporting the sighting.
  • Not confirmed: The user expresses doubt about the veracity of the vulnerability.
  • Not patched: This vulnerability was not successfully patched by the user reporting the sighting.