Journal du Net > Solutions > Sécurité >  Failles > Failles du 4 au 18 janvier 2008
FAILLES
 
21/01/2008

Microsoft Excel (Mac), Cisco VPN Client, Apple QuickTime...

Revue des principales failles du 4 au 18 janvier 2008, avec FrSIRT. Aujourd'hui également : McAfee E-Business Server et Microsoft Windows 2000 / XP 2003 / Vista.
  Envoyer Imprimer  

 
Logiciel touché
Niveau de danger
Description de la faille
Patch
 
 
Apple QuickTime 7.x
Très élevé
Identifiée dans Apple QuickTime, elle pourrait être exploitée par des attaquants distants afin de causer un déni de service ou compromettre un système vulnérable. Ce problème résulte d'un débordement de tampon présent au niveau du traitement d'une réponse RTSP avec une chaine "Reason-Phrase" excessivement longue, ce qui pourrait être exploité par des attaquants afin d'exécuter des commandes arbitraires en incitant un utilisateur à visiter une page web spécialement conçue.
 
 
Cisco VPN Client 5.x
Peu élevé
Une vulnérabilité a été identifiée dans Cisco VPN Client, elle pourrait être exploitée par des attaquants locaux afin de causer un déni de service. Ce problème résulte d'une erreur de validation d'entrée présente au niveau du pilote "CVPNDRVA.sys" qui ne gère pas correctement certains IOCTLs, ce qui pourrait être exploité par un utilisateur malveillant afin de corrompre la mémoire et altérer le fonctionnement d'un système vulnérable.
 
 
McAfee E-Business Server 8.x
Très élevé
Une vulnérabilité a été identifiée dans McAfee E-Business Server, elle pourrait être exploitée par des attaquants distants afin de causer un déni de service ou compromettre un système vulnérable. Ce problème résulte d'un débordement de mémoire présent au niveau de l'interface d'administration (port 1718/TCP) qui ne gère pas correctement un paquet d'authentification excessivement long, ce qui pourrait permettre à un attaquant distant non-authentifié d'altérer le fonctionnement d'un serveur vulnérable ou exécuter un code arbitraire avec des privilèges SYSTEM.
 
 
Microsoft Windows 2000 / XP 2003 / Vista
Très élevé
Plusieurs vulnérabilités ont été identifiées dans Microsoft Windows, elles pourraient être exploitées par des attaquants afin de compromettre un système vulnérable ou causer un déni de service. Le premier problème résulte d'une erreur présente au niveau du noyau qui ne gère pas correctement certaines requêtes fragmentées d'annonce de routage ICMP, ce qui pourrait être exploité par des attaquants distants afin d'altérer le fonctionnement d'un système vulnérable. La seconde vulnérabilité est due à une erreur présente au niveau du noyau lorsqu'il mémorise l'état de certaines requêtes IGMP traitées par TCP/IP, ce qui pourrait être exploité par des attaquants distants afin d'altérer le fonctionnement d'un système vulnérable ou afin d'exécuter un code arbitraire via des paquets IGMPv3 et MLDv2 spécialement conçus.
 
 
Microsoft Excel 2000 / 2002 2003 / 2004 (Mac)
Très élevé

Une vulnérabilité a été identifiée dans Microsoft Office Excel, elle pourrait être exploitée par des attaquants afin de compromettre un système vulnérable. Ce problème résulte d'un débordement de mémoire présent au niveau du traitement des informations d'entête, ce qui pourrait être exploité par des attaquants afin d'exécuter des commandes arbitraires en incitant un utilisateur à ouvrir un document Excel spécialement conçu.

Note : Cette vulnérabilité est actuellement exploitée dans des attaques ciblées.

 

 

 
SOMMAIRE
 
  Janvier 2008  
  04/01 IBM Lotus, Apple Mac OS X, Adobe Flash Player, Opera 9 et RealPlayer 11.  
  Décembre 2007  
  17/12 Windows Vista, Skype 3, OpenOffice 2, Apple QuickTime, Microsoft DirectX, et Microsoft Internet Explorer 5 - 6 et 7.  
  04/12 BitDefender Online, Apple Leopard, Mozilla Firefox 2, Apple QuickTime et Symantec Backup Exec pour Serveurs Windows.  
  Novembre 2007  
  30/11 BitDefender Online, Apple Leopard, Mozilla Firefox 2, Apple QuickTime et Symantec Backup Exec pour Serveurs Windows.  
  19/11 Oracle Database 10g, IBM Informix Dynamic Server, Mozilla Firefox 2, Apple QuickTime, AOL Radio AmpX et Cisco Unified MeetingPlace.  
  06/11 IBM Lotus Notes, McAfee e-Business Server, Sun Java, Novell BorderManagern, RealPlayer et Sun Java JDK-JRE-SDK.  

 

 


JDN Solutions Envoyer Imprimer Haut de page

Sondage

Votre entreprise compte-elle recruter des profils IT en 2017 ?

Tous les sondages