La revue des failles du 16 mai au 5 juin 2009
Revue des principales failles du 16 mai au 5 juin 2009, avec VUPEN Security. Aujourd'hui : Apple iTunes 7.x, QuickTime 7.x, BlackBerry Enterprise Server 4.x, IBM WebSphere MQ 6.x - 7.x, Microsoft Windows 2000 / XP / 2003 - DirectX 7.x - 8.x - 9.x.
Apple iTunes 7.x
Niveau de danger : Critique
Description de la faille : Une vulnérabilité a été identifiée dans Apple iTunes, elle pourrait être exploitée par des attaquants distants afin de causer un déni de service ou compromettre un système vulnérable. Ce problème résulte d'un débordement de mémoire présent au niveau du traitement d'une URI "itms", "itmss", "daap", "pcast" ou "itpc" excessivement longue, ce qui pourrait permettre à un attaquant d'altérer le fonctionnement d'une application vulnérable ou d'exécuter un code arbitraire en incitant un utilisateur à visiter une page web spécialement conçue.
Patch et/ou information : Lien
Apple QuickTime 7.x
Niveau de danger : Critique
Description de la faille : Plusieurs vulnérabilités ont été identifiées dans Apple QuickTime, elles pourraient être exploitées par des attaquants distants afin de compromettre un système vulnérable. Ces failles résultent de débordements et corruptions de mémoire présentes au niveau du traitement d'un fichier Sorenson 3, FLC, PSD, PICT, ou JP2, ainsi qu'au niveau de la gestion de données Clipping Region (CRGN), MS ADPCM et certains atoms, ce qui pourrait être exploité par des attaquants afin d'altérer le fonctionnement d'une application vulnérable ou d'exécuter un code arbitraire en incitant un utilisateur à visiter une page web malicieuse ou à lire une vidéo spécialement conçue.
Patch et/ou information : Lien
BlackBerry Enterprise Server 4.x
Niveau de danger : Critique
Description de la faille : Plusieurs vulnérabilités ont été identifiées dans différents produits BlackBerry, elles pourraient être exploitées par des attaquants afin de compromettre un périphérique vulnérable. Ces failles résultent de corruptions de mémoire présentes au niveau du distillateur PDF qui gère pas correctement certains fichiers malformés, ce qui pourrait permettre à un attaquant d'altérer le fonctionnement d'un service vulnérable ou d'exécuter un code arbitraire avec les privilèges SYSTEM en incitant un utilisateur à ouvrir un document PDF malicieux.
Patch et/ou information : Lien
IBM WebSphere MQ 6.x - 7.x
Niveau de danger : Critique
Description de la faille : Une vulnérabilité a été identifiée dans IBM WebSphere MQ, elle pourrait être exploitée par des attaquants afin de compromettre un système vulnérable. Ce problème résulte d'un débordement de mémoire présent au niveau du traitement des données envoyées par le client, ce qui pourrait permettre à un client malicieux d'altérer le fonctionnement d'un serveur vulnérable ou d'exécuter un code arbitraire distant.
Patch et/ou information : Lien
Microsoft Windows 2000 / XP / 2003 - DirectX 7.x - 8.x - 9.x
Niveau de danger : Critique
Description de la faille : Une vulnérabilité a été identifiée dans Microsoft DirectX, elle pourrait être exploitée par des attaquants afin de compromettre un système vulnérable. Ce problème résulte d'une corruption de mémoire présente au niveau de "quartz.dll" qui ne gère pas correctement un contenu QuickTime malformé , ce qui pourrait permettre à un attaquant d'exécuter un code arbitraire en incitant un utilisateur à ouvrir un fichier spécialement conçu ou à visiter une page web malicieuse. Note : Cette vulnérabilité est actuellement exploitée sur internet.
Patch et/ou information : Lien
| Source : JDN Solutions | |
| 19/05/2009 | IBM Tivoli Storage Manager 5.x, GrabIt 1.x, HP OpenView Network Node Manager (OV NNM) 7.x, Microsoft Office / Powerpoint. |
| 27/04/2009 | BlackBerry Enterprise Server / Professional 4.x, EMC RepliStor 6.x, HP StorageWorks Storage Mirroring 5.x, Microsoft Internet Explorer 5.x / 6.x / 7 et Microsoft Windows Wordpad |
| 14/04/2009 | Microsoft Office PowerPoint 2000 à 2004, Adobe Reader et Acrobat, Microsoft Windows, Mozilla Firefox 3.x, SAP SAPgui 7.x. |