25/06/2007
Apple Safari 3, Microsoft Outlook, OpenOffice
2...
|
Revue des principales
failles du 14 au 25 juin 2007, avec FrSIRT. Aujourd'hui également : Corel ActiveCGM,
Microsoft Windows 2000 - XP - 2003. |
|
Logiciel touché
|
Niveau de danger
|
Description de la faille
|
Patch
|
|
|
Apple Safari 3.x pour Windows
|
Très élevé
|
Plusieurs vulnérabilités ont été identifiées dans Apple Safari
pour Windows, elles pourraient être exploitées par des attaquants distants afin
de compromettre un système vulnérable ou accéder à des données sensibles. Le premier
problème résulte d'une erreur présente au niveau de la validation des URLs, ce
qui pourrait être exploité par des attaquants distants afin d'injecter des commandes
arbitraires en incitant un utilisateur à visiter une page web malicieuse. La seconde
faille est due à un débordement de tampon présent au niveau du traitement de certaines
données malformées, ce qui pourrait être exploité par des attaquants afin d'exécuter
un code arbitraire via une page web malicieuse. La troisième vulnérabilité est
causée par une erreur présente au niveau du moteur JavaScript, ce qui pourrait
être exploité par un site web malveillant afin d'accéder aux données transmises
par un autre site.
|
|
|
|
Corel ActiveCGM 7.x
|
Très élevé
|
Plusieurs vulnérabilités ont été identifiées dans Corel ActiveCGM,
elles pourraient être exploitées par des attaquants distants afin de compromettre
un système vulnérable. Ces failles sont dues à des débordements de tampon présents
au niveau du module "acgm.dll" qui ne gère pas correctement certaines propriétés
et méthodes malformées, ce qui pourrait être exploité par des attaquants afin
d'exécuter des commandes arbitraires en incitant un utilisateur à visiter une
page web spécialement conçue.
|
|
|
|
Microsoft Outlook Express 6
|
Très élevé
|
Plusieurs vulnérabilités ont été identifiées dans Microsoft
Outlook Express et Windows Mail, elles pourraient être exploitées par des attaquants
afin de compromettre un système vulnérable ou afin de contourner les mesures de
sécurité. Ces failles résultent d'erreurs présentes au niveau du traitement de
certaines URLs, redirections et balises spécialement conçues, ce qui pourrait
être exploité par des attaquants afin d'exécuter des commandes arbitraires ou
afin d'accéder, depuis un site malicieux, aux données transmises par un autre
site.
|
Lien
|
|
|
Microsoft Windows 2000 - XP - 2003
|
Très élevé
|
Une vulnérabilité a été identifiée dans Microsoft Windows, elle
pourrait être exploitée par des attaquants afin de compromettre un système vulnérable.
Ce problème résulte d'une erreur présente au niveau de l'API Win32 qui ne valide
pas correctement les paramètres soumis via certaines fonctions, ce qui pourrait
être exploité par des attaquants afin d'exécuter des commandes arbitraires en
incitant un utilisateur à visiter une page web spécialement conçue.
|
Lien
|
|
|
Microsoft Windows 2000 - XP - 2003
|
Très élevé
|
Une vulnérabilité a été identifiée dans Microsoft Windows, elle
pourrait être exploitée par des attaquants distants afin de compromettre un système
vulnérable. Ce problème résulte d'une corruption de mémoire présente au niveau
du module Schannel (Secure Channel) qui ne gère pas correctement certaines signatures
malformées envoyées pendant la négociation SSL, ce qui pourrait être exploité
par des attaquants afin d'exécuter des commandes arbitraires en incitant un utilisateur
à visiter une page web malicieuse.
|
Lien
|
|
|
OpenOffice 2.x
|
Très élevé
|
Une vulnérabilité a été identifiée dans OpenOffice.org, elle
pourrait être exploitée par des attaquants afin de causer un déni de service ou
exécuter des commandes arbitraires. Ce problème résulte d'un débordement de tampon
présent au niveau de la fonction "SwRTFParser::ReadPrtData()" [filter/rtf/swparrtf.cxx]
qui ne gère pas correctement certaines données malformées, ce qui pourrait être
exploité par des attaquants afin de compromettre un système vulnérable en incitant
un utilisateur à ouvrir un document RTF spécialement conçu.
|
Lien
|
|
|
SOMMAIRE
|
|
|
Juin 2007 |
|
|
14/06 |
Internet Explorer 7, Apple QuickTime, Logitech VideoCall, Avira
AntiVir,Yahoo! Messenger 8, Internet Explorer 6. |
|
|
Mai 2007 |
|
|
28/05 |
Internet Explorer 7, Apple QuickTime, Logitech VideoCall. |
|
|
14/05 |
Cisco PIX 500, Microsoft Exchange 2003, Norton AntiVirus, Cisco
ASA 5500, Microsoft CAPICOM, Trend Micro ServerProtect, Microsoft Exchange 2000
et 2007. |
|
|
Avril 2007 |
|
|
30/04 |
Adobe Photoshop, IBM Tivoli, McAfee VirusScan, Novell GroupWise,
Sun Java Web Console. |
|
|
16/04 |
IBM AIX, Microsoft Windows XP, AOL 9, Microsoft CMS 2001 - 2002,
Microsoft Windows 2000 - 2003, Yahoo! Messenger 8. |
|
|
02/04 |
Oracle Application Server, IBM Lotus, Microsoft Windows XP, Mozilla
Firefox, OpenOffice, Helix DNA Server, Windows 2000 - 2003 - Vista. |
|
|