Journal du Net > Solutions > Sécurité >  Failles > Failles du 1 au 15 février 2008
FAILLES
 
18/02/2008

Microsoft IIS, Symantec Backup Exec, Clam AntiVirus...

Revue des principales failles du 1 au 15 février 2008, avec FrSIRT. Aujourd'hui également : Adobe Reader, Facebook Photo Uploader, Microsoft Internet Explorer 5.x - 6.x - 7.x.
  Envoyer Imprimer  

 
Logiciel touché
Niveau de danger
Description de la faille
Patch
 
 
Adobe Reader 8.x
Très élevé
Plusieurs vulnérabilités ont été identifiées dans Adobe Reader, elles pourraient être exploitées par des attaquants afin de contourner les mesures de sécurité ou compromettre un système vulnérable. Ces failles résultent d'erreurs de validation d'entrées et débordements de mémoire présents au niveau du traitement de certaines données malformées, ce qui pourrait être exploité afin d'exécuter un code arbitraire en incitant un utilisateur à ouvrir un document spécialement conçu.
 
 
Clam AntiVirus (ClamAV) 0.x
Très élevé
Plusieurs vulnérabilités ont été identifiées dans Clam AntiVirus (ClamAV), elles pourraient être exploitées par des attaquants distants ou des vers afin de causer un déni de service ou compromettre un système vulnérable. Le premier problème résulte d'un débordement d'entier présent au niveau du fichier "libclamav/pe.c" qui ne gère pas correctement des fichiers malformés, ce qui pourrait être exploité par des attaquants afin d'exécuter des commandes arbitraires via un fichier malicieux. La seconde vulnérabilité résulte d'une corruption de mémoire présente au niveau du fichier "libclamav/mew.c", ce qui pourrait être exploité par des attaquants afin d'exécuter des commandes arbitraires via un fichier malicieux.
 
 
Facebook Photo Uploader 4.x
Très élevé
Plusieurs vulnérabilités ont été identifiées dans Facebook Photo Uploader, elles pourraient être exploitées par des attaquants distants afin de compromettre un système vulnérable. Ces failles sont dues à des débordements de tampon présents au niveau du contrôleur ActiveX "ImageUploader4.ocx" qui ne gère pas correctement des propriétés malformées (e.g. "ExtractExif" ou "ExtractIptc"), ce qui pourrait être exploité par des attaquants afin d'exécuter des commandes arbitraires en incitant un utilisateur à visiter une page web spécialement conçue.
 
 
Microsoft IIS 5.x - 6.x
Très élevé
Une vulnérabilité a été identifiée dans Microsoft Internet Information Services (IIS), elle pourrait être exploitée par des attaquants distants afin de compromettre un système vulnérable. Ce problème résulte d'une erreur de validation d'entrée présente au niveau du traitement des données envoyées vers une page ASP, ce qui pourrait être exploité par des attaquants afin d'exécuter des commandes arbitraires distantes avec les privilèges de WPI (Worker Process Identity).
Lien
 
 
Microsoft Internet Explorer 5.x - 6.x - 7.x
Très élevé

Plusieurs vulnérabilités ont été identifiées dans Microsoft Internet Explorer, elles pourraient être exploitées par des attaquants distants afin de causer un déni de service ou compromettre un système vulnérable. Ces failles résultent de corruptions de mémoire présentes au niveau du traitement de certains données, ce qui pourrait être exploité par des attaquants afin d'altérer le fonctionnement d'un navigateur vulnérable ou afin d'exécuter un code arbitraire en incitant un utilisateur à visiter une page web spécialement conçue.

Lien
 
 
Symantec Backup Exec System Recovery Manager 7.x
Très élevé

Une vulnérabilité a été identifiée dans Symantec Backup Exec System Recovery Manager, elle pourrait être exploitée par des attaquants afin de compromettre un système vulnérable. Ce problème résulte d'une erreur présente au niveau de la classe FileUpload installée avec le serveur Symantec LiveState Apache Tomcat, ce qui pourrait être exploité par des attaquants afin de charger et placer un fichier malicieux au sein d'un serveur vulnérable puis exécuter un code arbitraire avec des privilèges SYSTEM.

 

 

 
SOMMAIRE
 
  Février 2008  
  01/02 IBM AIX, HP Virtual Rooms, Toshiba Surveillix, IBM Informix Dynamic Server et IBM WebSphere Business Modeler.  
  Janvier 2008  
  18/01 Microsoft Excel (Mac), Cisco VPN Client, Apple QuickTime, McAfee E-Business Server et Microsoft Windows 2000 / XP 2003 / Vista.  
  04/01 IBM Lotus, Apple Mac OS X, Adobe Flash Player, Opera 9 et RealPlayer 11.  
  Décembre 2007  
  17/12 Windows Vista, Skype 3, OpenOffice 2, Apple QuickTime, Microsoft DirectX, et Microsoft Internet Explorer 5 - 6 et 7.  
  04/12 BitDefender Online, Apple Leopard, Mozilla Firefox 2, Apple QuickTime et Symantec Backup Exec pour Serveurs Windows.  

 

 


JDN Solutions Envoyer Imprimer Haut de page

Sondage

Les bases de données open source sont-elles désormais à la hauteur pour les systèmes d'entreprise ?

Tous les sondages