04/12/2007
BitDefender Online, Apple Leopard, Mozilla
Firefox 2...
|
Revue des principales
failles du 30 novembre au 4 décembre, avec FrSIRT. Aujourd'hui également
: Apple QuickTime et Symantec Backup Exec pour Serveurs Windows. |
|
Logiciel touché
|
Niveau de danger
|
Description de la faille
|
Patch
|
|
|
BitDefender Online Scanner 8.x
|
Très élevé
|
Une vulnérabilité a été identifiée dans le scanner en ligne
de BitDefender, elle pourrait être exploitée par des attaquants distants afin
de compromettre un système vulnérable. Ce problème résulte d'un débordement de
tampon présent aux niveaux des contrôleurs ActiveX OScan8.ocx et Oscan81.ocx qui
ne gèrent pas correctement une méthode "InitX()" malformée, ce qui pourrait être
exploité par des attaquants afin d'exécuter des commandes arbitraires en incitant
un utilisateur à visiter une page web spécialement conçue.
|
|
|
|
Apple Mac OS X (Leopard)
|
Très élevé
|
Une vulnérabilité a été identifiée dans Apple Mac OS X, elle
pourrait être exploitée par des attaquants distants ou des vers afin de compromettre
un système vulnérable. Ce problème résulte d'une erreur présente au niveau de
l'application Mail qui ne valide pas correctement les types de fichiers avant
ouverture, ce qui pourrait être exploité par un attaquant afin d'exécuter des
commandes arbitraires en incitant un utilisateur à ouvrir un fichier joint malicieux
avec une extension arbitraire (e.g. JPG).
|
|
|
|
Apple QuickTime 7.x
|
Très élevé
|
Une vulnérabilité a été identifiée dans Apple QuickTime, elle
pourrait être exploitée par des attaquants distants afin de compromettre un système
vulnérable. Ce problème résulte d'un débordement de tampon présent au niveau du
traitement d'une réponse RTSP avec une entête "Content-Type" excessivement longue,
ce qui pourrait être exploité par des attaquants afin d'exécuter des commandes
arbitraires en incitant un utilisateur à visiter une page web spécialement conçue.
|
|
|
|
Mozilla Firefox 2.x
|
Très élevé
|
Plusieurs vulnérabilités ont été identifiées dans Mozilla Firefox,
elles pourraient être exploitées par des attaquants afin de contourner les mesures
de sécurité, causer un déni de service ou compromettre un système vulnérable.
Le premier problème résulte d'erreurs de corruption de mémoire présentes au niveau
du traitement de données malformées, ce qui pourrait être exploité par des attaquants
afin d'altérer le fonctionnement d'un navigateur vulnérable ou afin d'exécuter
un code arbitraire en incitant un utilisateur à visiter une page web malicieuse.
La seconde vulnérabilité est causée par une erreur présente au niveau de la gestion
de la propriété "window.location", ce qui pourrait être exploité afin de conduire
des attaques de type CSRF (conduct cross-site request forgery). La troisième faille
se situe au niveau du gestionnaire de protocole "jar:".
|
|
|
|
Symantec Backup Exec pour Serveurs Windows 11.x
|
Peu élevé
|
Plusieurs vulnérabilités ont été identifiées dans Symantec Backup
Exec for Windows Servers, elles pourraient être exploitées par des attaquants
distants afin de causer un déni de service. Ces failles résultent d'erreurs présentes
au niveau du service "bengine.exe" (Job Engine) qui ne gère pas correctement certains
paquets malformés envoyés vers le port 5633/TCP, ce qui pourrait être exploité
afin d'altérer le fonctionnement d'une application vulnérable via des paquets
spécialement conçus.
|
|
|
|
SOMMAIRE
|
|
|
Novembre 2007 |
|
|
19/11 |
Oracle Database 10g, IBM Informix Dynamic Server, Mozilla Firefox
2, Apple QuickTime, AOL Radio AmpX et Cisco Unified MeetingPlace. |
|
|
06/11 |
IBM Lotus Notes, McAfee e-Business Server, Sun Java, Novell BorderManagern,
RealPlayer et Sun Java JDK-JRE-SDK. |
|
|
Octobre 2007 |
|
|
22/10 |
Windows Vista, Adobe Acrobat, Cisco IOS, Kaspersky Online Scanner
et Microsoft Windows 2000 / XP / 2003. |
|
|
08/10 |
Cisco Catalyst, Sun Solaris, IBM Rational ClearQuest, CA BrightStor
et Sun JDK JRE et SDK. |
|
|
Septembre 2007 |
|
|
22/09 |
OpenOffice.org 2, Microsoft Windows XP, Cisco IOS 12, Adobe Connect
Enterprise Server 6, Media Player Classic et Mozilla Firefox 2. |
|
|
11/09 |
Cisco CallManager, Oracle JInitiator, Microsoft MSN Messenger,
Apple iTunes et Yahoo! Messenger. |
|
|
Août 2007 |
|
|
28/08 |
Windows Vista, Norton AntiVirus 2006, Trend Micro ServerProtect,
Microsoft Windows 2000 - XP - 2003 et Opera 9. |
|
|