La revue des failles du 15 au 28 avril 2008

Revue des principales failles du 15 au 28 avril 2008, avec FrSIRT. Aujourd'hui : Adobe Photoshop, Apple Safari, Cisco NAC, Microsoft Windows XP - 2003 - Vista - 2008 et OpenOffice 2.

 Adobe Photoshop Album Starter Edition 3.x

Niveau de danger : Très élevé

Description de la faille : Une vulnérabilité a été identifiée dans Adobe Photoshop Album Starter, elle pourrait être exploitée par des attaquants afin de compromettre un système vulnérable. Ce problème résulte d'un débordement de mémoire présent au niveau du traitement d'une image BMP malformée, ce qui pourrait être exploité par des attaquants afin d'exécuter des commandes arbitraires en incitant un utilisateur à ouvrir un fichier spécialement conçu.

Patch et/ou information : Lien

 

 Apple Safari 3.x

Niveau de danger : Très élevé

Description de la faille : Plusieurs vulnérabilités ont été identifiées dans Apple Safari, elles pourraient être exploitées par des attaquants afin d'obtenir des informations sensibles, causer un déni de service ou compromettre un système vulnérable. Le premier problème résulte d'une erreur présente au niveau de WebKit qui ne valide pas correctement certaines URLs, ce qui pourrait être exploité afin de conduire des attaques par cross site scripting. La seconde vulnérabilité est due à un débordement de mémoire présent au niveau de WebKit qui ne gère pas correctement certaines expressions réguliers JavaScript malformées, ce qui pourrait être exploité afin d'altérer le fonctionnement d'un navigateur vulnérable ou afin d'exécuter un code arbitraire en incitant un utilisateur à visiter une page web spécialement conçue.

Patch et/ou information : Lien

 

 Cisco Network Admission Control 3.x - 4.x

Niveau de danger : Très élevé

Description de la faille : Une vulnérabilité a été identifiée dans Cisco Network Admission Control (NAC), elle pourrait être exploitée par des attaquants afin d'obtenir des informations sensibles et compromettre un système vulnérable. Ce problème résulte d'une erreur inconnue pouvant permettre à un attaquant d'obtenir, via les données de journalisation des erreurs, le secret partagé utilisé par Cisco Clean Access Server (CAS) et Cisco Clean Access Manager (CAM), et prendre le contrôle d'un système CAS affecté.

Patch et/ou information : Lien

 

 Microsoft Windows XP - 2003 - Vista - 2008

Niveau de danger : Elevé

Description de la faille : Une vulnérabilité a été identifiée dans Microsoft Windows, elle pourrait être exploitée par des attaquants authentifiés afin d'obtenir des privilèges élevés. Ce problème résulte d'une erreur présente au niveau de l'interaction entre processus exécutés en tant que NetworkService ou LocalService, ce qui pourrait permettre à un processus d'accéder aux ressources d'un autre processus capable d'augmenter ses privilèges à LocalSystem, obtenant ainsi des privilèges élevés. L'exploitation de cette vulnérabilité nécessite un accès au système vulnérable en écriture via IIS, ISAPI, ASP.NET ou SQL Server.

Patch et/ou information : Lien

 

 OpenOffice 2.x

Niveau de danger : Très élevé

Description de la faille : Plusieurs vulnérabilités ont été identifiées dans OpenOffice.org, elles pourraient être exploitées par des attaquants distants afin de causer un déni de service ou compromettre un système vulnérable. Ces failles résultent de corruptions et débordements de mémoire présents au niveau du traitement d'un fichier ODF, Quattro Pro, EMF ou OLE spécialement conçu, ce qui pourrait permettre à un attaquant d'altérer le fonctionnement d'une application vulnérable ou d'exécuter un code arbitraire en incitant un utilisateur à ouvrir un document malicieux.

Patch et/ou information : Lien

 

 

Sommaire
  15/04 Apple QuickTime, Cisco UCM, Microsoft Visio 2002 - 2003 - 2007, EMC DiskXtender et Microsoft Windows 2000 - XP - 2003 - Vista - 2008.  
  31/03 Apple Safari, Apple Aperture, Apple iPhoto, CA ARCserve Backup, Internet Explorer 7 et F-Secure Anti-Virus.  
  14/03 McAfeeePolicy Orchestrator 4.x, SAP MaxDB 7.x, RealPlayer 10.x - 11.x,Microsoft Office 2000/XP/2003, Sun Java JDK/JRE/SDK et Sun SPARCEnterprise T5120/T5220.  
Source : JDN Solutions

Failles