Adobe Acrobat Reader 6.x

Cisco Collaboration Server 3.x - 4.x

Firefox v0.9.x
Mozilla v1.6.x

Une vulnérabilité a été identifiée dans Mozilla, Firefox et Thunderbird. Elle pourrait être exploitée par un attaquant distant afin de compromettre un système vulnérable. Le problème se situe au niveau du protocole "shell:", qui pourrait être exploité pour lancer un certain nombre d'exécutables (sous Windows). Il est possible de combiner cette faille avec d'autres vulnérabilités locales afin d'exécuter des commandes arbitraires (par exemple, exploitation d'un buffer overflow présent au niveau du fichier x:\WINDOWS\System32\grpconv.exe, qui ne gère pas correctement les longs noms de fichiers ".grp").

Microsoft Internet Explorer
5.01 - 5.5 - 6
 

Plusieurs vulnérabilités critiques ont été identifiées dans Microsoft Internet Explorer. Elles pourraient être exploitées par un attaquant distant afin de compromettre un système vulnérable. Le premier problème pourrait être exploité afin d'effectuer certaines actions à l'insu de l'utilisateur, comme par exemple l'ajout automatique d'un lien dans les favoris (il est possible de combiner cette vulnérabilité à la faille Windows shell: afin de compromettre un système vulnérable). La seconde vulnérabilité permet la redirection d'une fonction vers une autre, ce qui pourrait provoquer l'exécution d'un script arbitraire dans le contexte d'un autre site Web (ou dans d'autres zones de sécurité). Le dernier problème pourrait permettre de "spoofer" l'extension d'un fichier à télécharger en utilisant la fonction "Window.createPopup()".

Microsoft IIS 4.0

Une vulnérabilité a été identifiée dans Microsoft Internet Information Server (IIS) 4.0, elle pourrait être exploitée par un attaquant distant afin de compromettre un système vulnérable. Ce problème de type buffer Overrun se situe au niveau de la fonction de redirection qui ne gère pas correctement certaines longues requêtes, ce qui pourrait permettre l'exécution de commandes arbitraires distantes (cette fonction est normalement utilisée pour rediriger les requêtes vers un autre serveur/répertoire virtuel).

Microsoft Outlook Express
 

Une vulnérabilité de type déni de service a été identifiée dans Microsoft Outlook Express. Le problème résulte d'une erreur au niveau de la gestion des en-têtes malformés ce qui pourrait être exploité par un attaquant distant afin de faire s'arrêter Outlook (l'utilisateur devra supprimer l'email manuellement, puis redémarrer Outlook). Ce bulletin remplace le correctif MS04-013 Cumulative Update for Outlook Express.

Microsoft Windows 2000

Une vulnérabilité a été identifiée dans Microsoft Windows 2000, elle pourrait être exploitée par un attaquant local afin d'augmenter ses privilèges. Ce problème résulte d'une erreur présente au niveau de l'Utility Manager qui exécute des applications de manière non-securisée, ce qui pourrait permettre l'exécution d'applications avec les privilèges SYSTEM.

Microsoft Windows 2000/NT

Une vulnérabilité a été identifiée dans Microsoft Windows NT/2000, elle pourrait être exploitée par un attaquant local afin d'augmenter ses privilèges. Ce problème résulte d'une erreur présente au niveau de POSIX, ce qui pourrait être exploité par un attaquant afin d'ouvrir, modifier, exécuter n'importe quel fichier, ou ajouter des comptes utilisateurs.

Microsoft Windows 2000/XP

Une vulnérabilité critique a été identifiée dans Microsoft Windows 2000/XP. Elle pourrait être exploitée par un attaquant distant afin de compromettre un système vulnérable. Le problème se situe au niveau du planificateur de tâches (Task Scheduler), ce qui pourrait être exploité via une page Web corrompue (Internet Explorer) ou via un fichier .job malveillant.

Microsoft Windows
Toutes versions

Deux vulnérabilités critiques ont été identifiées dans Microsoft Windows et Internet Explorer, elles pourraient être exploitées par un attaquant distant afin de compromettre un système vulnérable. La première faille se situe au niveau de "showHelp", elle pourrait provoquer l'exécution d'un code malveillant dans la zone locale d'Internet Explorer (Local Machine security). Le second problème se situe au niveau de "HTML Help" et pourrait être exploité via une page Web corrompue afin d'exécuter des commandes arbitraires avec les privilèges de l'utilisateur connecté.

Microsoft Windows
Toutes versions

Une vulnérabilité a été identifiée dans toutes les versions Windows. Elle pourrait être exploitée par un attaquant distant afin de compromettre un système vulnérable. Le problème se situe au niveau du "Shell Windwos" qui lance des applications de manière non-securisée. Ce patch limite aussi la fonctionnalité du contrôle ActiveX Shell Automation Service (shell.application)

Nouvelles offres d'emploi

sur Emploi Center

Auralog - Tellmemore | Publicis Modem | L'Internaute / Journal du Net / Copainsdavant | Isobar | MEDIASTAY