La revue des failles du 14 au 24 octobre 2008
Revue des principales failles du 14 au 24 octobre 2008, avec FrSIRT. Aujourd'hui : Microsoft Windows 2000/XP/2003/Vista/2008, Opera, Trend Micro OfficeScan et VLC Media Player.
Microsoft Windows 2000/XP/2003/Vista/2008
Niveau de danger : Critique
Description de la faille : Une vulnérabilité a été identifiée dans Microsoft Windows, elle pourrait être exploitée par des attaquants afin de compromettre un système vulnérable. Ce problème résulte d'une erreur présente au niveau du service Server qui ne gère pas correctement certaines requêtes RPC spécialement conçues, ce qui pourrait permettre à un attaquant d'exécuter un code arbitraire via une requête RPC malicieuse. Sous Windows Vista et Windows Server 2008, cette vulnérabilité n'est exploitable que par des utilisateurs authentifiés.
Patch et/ou information : Lien
Microsoft Windows 2000/XP/2003/Vista/2008
Niveau de danger : Critique
Description de la faille : Plusieurs vulnérabilités ont été identifiées dans Microsoft Windows et Internet Explorer, elles pourraient être exploitées par des attaquants afin d'obtenir des informations sensibles ou compromettre un système vulnérable. Ces failles résultent de corruptions de mémoire et d'erreurs de validation d'origine présentes au niveau du traitement de certains objets, éléments ou scripts, ce qui pourrait permettre à un attaquant d'accéder à des données dans un autre domaine ou une autre zone d'Internet Explorer, ou d'exécuter un code arbitraire en incitant un utilisateur à visiter une page web malicieuse.
Patch et/ou information : Lien
Opera 9.x
Niveau de danger : Critique
Description de la faille : Plusieurs vulnérabilités ont été identifiées dans Opera, elles pourraient être exploitées par des attaquants afin de contourner les mesures de sécurité, obtenir des informations sensibles ou compromettre un système vulnérable. Le premier problème résulte d'une erreur présente au niveau de la fonctionnalité de recherche de l'historique, ce qui pourrait permettre l'injection d'un script malicieux et l'accès aux données de l'historique (e.g. les pages visitées) ou le téléchargement puis l'exécution d'un fichier arbitraire. La deuxième vulnérabilité résulte d'une erreur présente au niveau de la fonctionnalité Fast Forward, ce qui pourrait être exploité afin d'exécuter un script malicieux au sein d'une fenêtre arbitraire. La dernière faille est causée par une erreur présente au niveau du traitement des flux d'actualités, ce qui pourrait être exploité par des attaquants afin d'inscrire un utilisateur à un flux arbitraire ou afin d'accéder au contenu d'un flux enregistré par l'utilisateur.
Patch et/ou information : Lien
Trend Micro OfficeScan 7.x / 8.x
Niveau de danger : Critique
Description de la faille : Une vulnérabilité a été identifiée dans Trend Micro OfficeScan, elle pourrait être exploitée par des attaquants afin de compromettre un système vulnérable. Ce problème résulte d'un débordement de mémoire présent au niveau d'un exécutable CGI qui ne gère pas correctement des requêtes HTTP POST malformées, ce qui pourrait permettre à un attaquant d'altérer le fonctionnement d'une application vulnérable ou d'exécuter un code arbitraire distant.
Patch et/ou information : Lien
VLC Media Player 0.x
Niveau de danger : Critique
Description de la faille : Une vulnérabilité a été identifiée dans VLC Media Player, elle pourrait être exploitée par des attaquants distants afin de compromettre un système vulnérable. Ce problème résulte d'un débordement de mémoire présent au niveau du traitement de l'entête d'un fichier TY, ce qui pourrait permettre à un attaquant d'exécuter un code arbitraire en incitant un utilisateur à ouvrir un fichier malicieux.
Patch et/ou information : Lien
| Date | |
|---|---|
| Source : FrSIRT | |
| 14/10 | IBM Lotus Quickr, Novell eDirectory, Opera 9, Sun Java Web Proxy Server Trend Micro OfficeScan. |
| 29/09 | Adobe Illustrator CS2 pour Mac, Apple iPhone, LANDesk Management Suite 8.x et Mozilla Firefox 2.x - 3.x |
| 15/09 | Apple QuickTime, Microsoft Windows Media Encoder, Novell eDirectory et Microsoft Windows |