22/10/2007
Windows Vista, Adobe Acrobat, Cisco IOS...
|
Revue des principales failles du 8 au 22 octobre, avec FrSIRT. Aujourd'hui également : Kaspersky Online Scanner et Microsoft Windows 2000 / XP / 2003. |
|
Logiciel touché
|
Niveau de danger
|
Description de la faille
|
Patch
|
|
|
Adobe Acrobat / Reader 8.x
|
Très élevé
|
Une vulnérabilité a été identifiée dans Adobe Acrobat et Reader,
elle pourrait être exploitée par des attaquants afin de compromettre un système
vulnérable où a été installé Internet Explorer 7. Ce problème résulte d'une erreur
présente au niveau du traitement des arguments envoyés via certains protocoles
enregistrés (e.g. "mailto"), ce qui pourrait être exploité par des attaquants
afin d'exécuter des commandes arbitraires en incitant un utilisateur à ouvrir
un document PDF spécialement conçu.
|
|
|
|
Cisco IOS 12.x
|
Elevé
|
Une vulnérabilité a été identifiée dans Cisco IOS, elle pourrait
être exploitée par des attaquants afin de causer un déni de service ou compromettre
un système vulnérable. Ce problème résulte d'un débordement de tampon présent
au niveau du service LPD (Line Printer Daemon) qui utilise un appel "sprintf()"
afin d'afficher le nom d'hôte du périphérique dans certains messages d'erreurs,
ce qui pourrait permettre à un attaquant (capable de contrôler le nom d'hôte d'un
périphérique vulnérable) d'exécuter des commandes arbitraires avec des privilèges
élevés.
|
Lien
|
|
|
Kaspersky Online Scanner
|
Très élevé
|
Une vulnérabilité a été identifiée dans Kaspersky Online Scanner,
elle pourrait être exploitée par des attaquants distants afin de compromettre
un système vulnérable. Ce problème résulte d'une erreur de type chaine de format
présente au niveau du contrôleur ActiveX CKAVWebScan (kavwebscan.dll) qui ne gère
pas correctement des données malformées, ce qui pourrait être exploité par des
attaquants afin d'exécuter des commandes arbitraires en incitant un utilisateur
à visiter une page web spécialement conçue.
|
|
|
|
Microsoft Windows 2000 / XP / 2003 Vista
|
Très élevé
|
Une vulnérabilité a été identifiée dans Microsoft Outlook Express
et Windows Mail, elle pourrait être exploitée par des attaquants distants afin
de compromettre un système vulnérable. Ce problème résulte d'un débordement de
mémoire présent au niveau du traitement d'une réponse NNTP (Network News Transfer
Protocol) malformée, ce qui pourrait être exploité par des attaquants afin d'exécuter
des commandes arbitraires en incitant un utilisateur à visiter une page web spécialement
conçue.
|
Lien
|
|
|
Microsoft Windows 2000 / XP / 2003 Vista
|
Très élevé
|
Deux vulnérabilités ont été identifiées dans Microsoft Internet
Explorer, elles pourraient être exploitées par des attaquants distants afin d'usurper
l'identifié d'un site web ou compromettre un système vulnérable. Le premier problème
résulte d'une erreur présente au niveau du traitement de certaines données JavaScript,
ce qui pourrait être exploité par des sites web malveillants afin d'usurper d'adresse
d'un site authentique et conduire des attaques par phishing. La seconde vulnérabilité
est due à une corruption de mémoire présente au niveau du traitement d'une file
d'attente de fichiers à télécharger, ce qui pourrait être exploité par des attaquants
afin d'exécuter des commandes arbitraires en incitant un utilisateur à visiter
une page web spécialement conçue.
|
Lien
|
|
|
SOMMAIRE
|
|
|
Octobre 2007 |
|
|
08/10 |
Cisco Catalyst, Sun Solaris, IBM Rational ClearQuest, CA BrightStor
et Sun JDK JRE et SDK. |
|
|
Septembre 2007 |
|
|
22/09 |
OpenOffice.org 2, Microsoft Windows XP, Cisco IOS 12, Adobe Connect
Enterprise Server 6, Media Player Classic et Mozilla Firefox 2. |
|
|
11/09 |
Cisco CallManager, Oracle JInitiator, Microsoft MSN Messenger,
Apple iTunes et Yahoo! Messenger. |
|
|
Août 2007 |
|
|
28/08 |
Windows Vista, Norton AntiVirus 2006, Trend Micro ServerProtect,
Microsoft Windows 2000 - XP - 2003 et Opera 9. |
|
|
Juillet 2007 |
|
|
23/07 |
Adobe Flash, Microsoft Windows 2000, Opera 9, Microsoft Excel
2000 à 2007, Sun JRE 1 et Windows 2003. |
|
|
09/07 |
Apple Mac OS X, Trend Micro OfficeScan, HP Instant Support, Apple
Safari 3 pour Windows et RealPlayer 10. |
|
|