17/12/2007
Windows Vista, Skype 3, OpenOffice 2...
|
Revue des principales failles du 1 au 17 décembre, avec FrSIRT. Aujourd'hui également : Apple QuickTime, Microsoft DirectX, et Microsoft Internet Explorer 5 - 6 et 7. |
|
Logiciel touché
|
Niveau de danger
|
Description de la faille
|
Patch
|
|
|
Apple QuickTime 7.x
|
Très élevé
|
Plusieurs vulnérabilités ont été identifiées dans Apple QuickTime,
elles pourraient être exploitées par des attaquants distants afin de compromettre
un système vulnérable. Ces failles résultent de corruptions et débordements de
mémoire présents au niveau du traitement d'un fichier QTL ou SWF malformé, ce
qui pourrait être exploité par des attaquants afin d'exécuter des commandes arbitraires
en incitant un utilisateur à visiter une page web malicieuse.
|
|
|
|
Skype 3.x
|
Très élevé
|
Une vulnérabilité a été identifiée dans Skype, elle pourrait
être exploitée par des attaquants distants afin de causer un déni de service ou
compromettre un système vulnérable. Ce problème résulte d'une corruption de mémoire
présente au niveau du gestionnaire d'URI "skype4com" qui ne valide pas correctement
certaines données, ce qui pourrait être exploité par des attaquants afin d'altérer
le fonctionnement d'une application vulnérable ou afin d'exécuter un code arbitraire
en incitant un utilisateur à visiter une page web spécialement conçue.
|
|
|
|
Microsoft DirectX 7.x - 8.x - 9.x
|
Très élevé
|
Plusieurs vulnérabilités ont été identifiées dans Microsoft
DirectX, elles pourraient être exploitées par des attaquants distants afin de
causer un déni de service ou compromettre un système vulnérable. Ces problèmes
résultent d'erreurs présentes au niveau du traitement d'un fichier SAMI (Synchronized
Accessible Media Interchange), WAV ou AVI malformé, ce qui pourrait être exploité
afin d'exécuter un code arbitraire en incitant un utilisateur à ouvrir un fichier
spécialement conçu ou à visiter une page web malicieuse.
|
Lien
|
|
|
Microsoft Internet Explorer 5.x - 6.x - 7.x
|
Très élevé
|
Plusieurs vulnérabilités ont été identifiées dans Microsoft
Windows, elles pourraient être exploitées par des attaquants distants afin de
causer un déni de service ou compromettre un système vulnérable. Ces failles résultent
de corruption de mémoire présentes au niveau du traitement de certains objets
non-initialisés, supprimés ou inattendus, ce qui pourrait être exploité par des
attaquants afin d'altérer le fonctionnement d'un navigateur vulnérable ou afin
d'exécuter un code arbitraire en incitant un utilisateur à visiter une page web
spécialement conçue.
|
Lien
|
|
|
Microsoft Windows Vista
|
Très élevé
|
Une vulnérabilité a été identifiée dans Microsoft Windows Vista,
elle pourrait être exploitée par des attaquants distants afin de causer un déni
de service ou compromettre un système vulnérable. Ce problème résulte d'une erreur
présente au niveau de l'implémentation des signatures SMBv2 (Server Message Block
version 2), ce qui pourrait être exploité par un attaquant distant non-authentifié
afin de modifier un paquet SMBv2 et exécuter un code arbitraire avec les privilèges
de l'utilisateur connecté. Note : La signature SMB est désactivée par défaut dans
Windows Vista.
|
Lien
|
|
|
OpenOffice 2.x
|
Très élevé
|
Une vulnérabilité a été identifiée dans OpenOffice.org, elle
pourrait être exploitée par des attaquants afin de compromettre un système vulnérable.
Ce problème résulte d'une erreur présente au niveau du moteur HSQLDB qui ne valide
pas certaines données lues depuis une base de données, ce qui pourrait être exploité
par des attaquants afin d'exécuter un code Java statique en incitant un utilisateur
à ouvrir un document malicieux.
|
|
|
|
SOMMAIRE
|
|
|
Novembre 2007 |
|
|
30/11 |
BitDefender Online, Apple Leopard, Mozilla Firefox 2, Apple QuickTime
et Symantec Backup Exec pour Serveurs Windows. |
|
|
19/11 |
Oracle Database 10g, IBM Informix Dynamic Server, Mozilla Firefox
2, Apple QuickTime, AOL Radio AmpX et Cisco Unified MeetingPlace. |
|
|
06/11 |
IBM Lotus Notes, McAfee e-Business Server, Sun Java, Novell BorderManagern,
RealPlayer et Sun Java JDK-JRE-SDK. |
|
|
Octobre 2007 |
|
|
22/10 |
Windows Vista, Adobe Acrobat, Cisco IOS, Kaspersky Online Scanner
et Microsoft Windows 2000 / XP / 2003. |
|
|
08/10 |
Cisco Catalyst, Sun Solaris, IBM Rational ClearQuest, CA BrightStor
et Sun JDK JRE et SDK. |
|
|