|
|
|
FAILLES |
|
|
|
IBM AIX, Microsoft Windows XP, AOL 9... |
Revue des principales failles du 30 mars au 15 avril 2007, avec FrSIRT. Aujourd'hui également : Microsoft CMS
2001 - 2002, Microsoft Windows 2000 - 2003, Yahoo! Messenger 8...
16/04/2007 |
|
Logiciel touché
(par ordre alphabétique)
|
Niveau de danger
|
Description de la faille
|
Patch et/ou informations
|
AOL 9.x
|
Très
élevé
|
Une
vulnérabilité a été identifiée dans AOL, elle pourrait être exploitée par des
attaquants distants afin de compromettre un système vulnérable. Ce problème résulte
d'une erreur de conception présente au niveau du contrôleur ActiveX SuperBuddy
(sb.dll) qui ne valide pas les arguments soumis à la méthode "LinkSBIcons()",
ce qui pourrait être exploité par des attaquants distants afin d'exécuter des
commandes arbitraires en incitant un utilisateur à visiter une page malicieuse. |
|
IBM AIX 5.x
|
Peu
élevé
|
Une
vulnérabilité a été identifiée dans IBM AIX, elle pourrait être exploitée par
des attaquants locaux afin d'augmenter leurs privilèges. Ce problème résulte d'un
débordement de tampon présent au niveau de la commande "drmgr" qui ne
gère pas correctement des arguments excessivement longs, ce qui pourrait permettre
à un utilisateur malveillant d'exécuter des commandes arbitraires avec des privilèges
"root". |
|
Microsoft CMS
2001 - 2002
|
Très
élevé
|
Deux
vulnérabilités ont été identifiées dans Microsoft Content Management Server, elles
pourraient être exploitées par des attaquants distants afin d'exécuter un code
arbitraire. Le premier problème résulte d'une corruption de la mémoire présente
au niveau du traitement de certaines requêtes HTTP contenant des caractères inattendus,
ce qui pourrait être exploité par des attaquants distants afin de compromettre
un système vulnérable. La seconde faille est due à une erreur présente au niveau
de la gestion des requêtes de redirection HTML, ce qui pourrait être exploité
afin d'injecter un code HTML/Javascript malicieux coté client. |
|
Microsoft Windows 2000 - XP
- 2003
|
Très
élevé
|
Une
vulnérabilité a été identifiée dans Microsoft Windows XP, elle pourrait être exploitée
par des attaquants afin de compromettre un système vulnérable. Ce problème résulte
d'un débordement de tampon présent au niveau de l'Agent Microsoft qui ne gère
pas correctement des URLs malformées, ce qui pourrait être exploité par des attaquants
afin d'exécuter des commandes arbitraires en incitant un utilisateur à visiter
une page web malicieuse. |
|
Microsoft
Windows XP
|
Très
élevé
|
Une
vulnérabilité a été identifiée dans Microsoft Windows XP, elle pourrait être exploitée
par des attaquants afin de compromettre un système vulnérable. Ce problème résulte
d'un débordement de tampon présent au niveau du service UPnP (Universal Plug et
Play) qui ne gère pas correctement des requêtes HTTP malformées envoyées vers
les ports 1900/UDP et 2869/TCP, ce qui pourrait être exploité par des attaquants
afin d'exécuter des commandes arbitraires avec des privilèges élevés. |
|
Yahoo! Messenger 8.x
|
Très
élevé
|
Une
vulnérabilité a été identifiée dans Yahoo Messenger, elle pourrait être exploitée
par des attaquants distants afin de compromettre un système vulnérable. Ce problème
résulte d'un débordement de tampon présent au niveau du contrôleur ActiveX "AudioConf"
(yacscom.dll) qui ne gère pas correctement une méthode "createAndJoinConference()"
appelée avec des arguments excessivement longs, ce qui pourrait être exploité
par des attaquants afin d'exécuter des commandes arbitraires en incitant un utilisateur
à visiter une page web spécialement conçue. |
|
SOMMAIRE |
Avril |
|
Oracle Application Server, IBM Lotus,
Microsoft Windows XP, Mozilla Firefox, OpenOffice, Helix DNA Server, Windows 2000
- 2003 - Vista. |
Mars |
|
IBM WebSphere, Mozilla Firefox, Sun
Java System, Apple QuickTime, McAfee ePolicy Orchestrator, Novell Netmail. |
|
IBM DB2, Trend Micro ServerProtect,
Cisco Unified IP Phone, CA eTrust Intrusion Detection, Citrix Presentation Server
Client, VeriSign ConfigChk ActiveX. |
Février |
|
Cisco Firewall, Internet Explorer
7, Trend Micro Antivirus,Windows XP SP2, Microsoft Step-by-Step, uTorrent, Internet
Explorer 5 - 6 - 7. |
|
Cisco IOS, Microsoft Word 2000, Sun
Solaris, CA BrightStor ARCserve Backup. |
|
|
|