La revue des failles du 23 mars au 9 avril 2009
Revue des principales failles du 23 mars au 9 avril 2009, avec VUPEN Security. Aujourd'hui : Microsoft Office PowerPoint 2000 à 2004, Adobe Reader et Acrobat, Microsoft Windows, Mozilla Firefox 3.x, SAP SAPgui 7.x.
Adobe Reader and Acrobat
Niveau de danger : Critique
Description de la faille : Une vulnérabilité a été identifiée dans Adobe Acrobat et Reader, elle pourrait être exploitée par des attaquants afin de compromettre un système vulnérable. Ce problème résulte d'un débordement de mémoire présent au niveau du traitement d'une méthode JavaScript "getIcon()" avec un paramètre malformé, ce qui pourrait être exploité par des attaquants afin d'altérer le fonctionnement d'une application vulnérable ou afin d'exécuter un code arbitraire en incitant un utilisateur à ouvrir un fichier PDF spécialement conçu.
Patch et/ou information : Lien
Microsoft Office PowerPoint 2000 à 2004
Niveau de danger : Critique
Description de la faille : Une vulnérabilité a été identifiée dans Microsoft Office PowerPoint, elle pourrait être exploitée par des attaquants afin de compromettre un système vulnérable. Ce problème résulte d'une erreur inconnue liée au traitement d'un document Powerpoint malformé, ce qui pourrait être exploité par des attaquants afin d'altérer le fonctionnement d'une application vulnérable ou afin d'exécuter un code arbitraire en incitant un utilisateur à ouvrir un fichier PPT spécialement conçu.
Patch et/ou information : Lien
Microsoft Windows
Niveau de danger : Critique
Description de la faille : Une vulnérabilité a été identifiée dans Microsoft Windows et les Services Windows pour UNIX, elle pourrait être exploitée par des attaquants afin de compromettre un système vulnérable. Ce problème résulte d'une erreur inconnue présente aux niveaux des librairies gzip (unlzh.c et unpack.c), ce qui pourrait permettre à un attaquant d'exécuter un code arbitraire. Aucun détail technique n'a été révélé. La vulnérabilité affecte les machines Windows Server 2008 ou les machines où ont été installés les Service Windows pour UNIX et le sous-système pour les Applications basées sur UNIX (SUA).
Patch et/ou information : Lien
Mozilla Firefox 3.x
Niveau de danger : Critique
Description de la faille : Une vulnérabilité a été identifiée dans Mozilla Firefox, elle pourrait être exploitée par des attaquants afin de compromettre un système vulnérable. Cette faille résulte d'une corruption de mémoire liée à la méthode XUL "_moveToEdgeShift" et le ramasse-miettes, ce qui pourrait permettre à un attaquant d'exécuter un code arbitraire en incitant un utilisateur à visiter une page web spécialement conçue.
Patch et/ou information : Lien
SAP SAPgui 7.x
Niveau de danger : Critique
Description de la faille : Une vulnérabilité a été identifiée dans SAP SAPgui, elle pourrait être exploitée par des attaquants distants afin de compromettre un système vulnérable. Ce problème résulte d'un débordement de mémoire présente au niveau du contrôleur ActiveX EAI WebViewer3D qui ne valide pas correctement les arguments passés à la méthode "SaveViewToSessionFile()", ce qui pourrait être exploité par des attaquants afin d'exécuter des commandes arbitraires en incitant un utilisateur à visiter une page web spécialement conçue.
Patch et/ou information : Lien*
*Accessible sur inscription uniquement.
Source : VUPEN Security | |
04/03/2009 | Adobe Flash Player 10 / 9, Adobe Reader & Acrobat 9 / 8 / 7, Microsoft Office Excel 2000 à 2008, Cisco Application Networking Manager (ANM). |
17/02/2009 | Internet Explorer 7.x, HP OpenView Network Node Manager, RealNetworks RealPlayer 11.x et Microsoft Exchange Server 2000/2003/2007. |
02/02/2009 | Apple QuickTime, EMC AutoStart, Cisco Security Manager, Fujitsu SystemcastWizard Lite et Cisco Unified Communications Manager. |