La revue des failles du 15 novembre au 2 décembre 2009

Revue des principales failles du 15 novembre au 2 décembre 2009, avec VUPEN Security. Aujourd'hui : Symantec Altiris Deployment Solution 6 / 7, HP OpenView Operations 8.x, Opera 10.x, Google Chrome 3.x.

Symantec Altiris Deployment Solution 6 / 7

Niveau de danger : Critique

Description de la faille : Une vulnérabilité a été identifiée dans Symantec Altiris Notification Server, Symantec Management Platform et Symantec Altiris Deployment Solution, elle pourrait être exploitée par des attaquants distants afin de compromettre un système vulnérable. Ce problème résulte d'un débordement de mémoire présente au niveau du contrôleur ActiveX "AeXNSConsoleUtilities.dll" qui ne valide pas correctement les arguments passés à certaines méthodes, ce qui pourrait être exploité par des attaquants afin d'exécuter des commandes arbitraires en incitant un utilisateur à visiter une page web spécialement conçue.

Patch et/ou information : Lien

 

HP OpenView Operations 8.x

Niveau de danger : Critique

Description de la faille : Une vulnérabilité a été identifiée dans HP OpenView Operations, elle pourrait être exploitée par des attaquants distants afin de compromettre un système vulnérable. Cette faille est due à la présente d'un compte caché au sein du fichier XML des utilisateurs Tomcat, ce qui pourrait permettre à un attaquant d'accéder à la classe "org.apache.catalina.manager.HTMLManagerServlet" et charger un fichier malicieux via une requête POST vers "/manager/html/upload", ce qui pourrait permettre l'exécution d'un code arbitraire avec des privilèges SYSTEM.

Patch et/ou information : Lien

 

Opera 10.x

Niveau de danger : Critique

Description de la faille : Une vulnérabilité a été identifiée dans Opera, elle pourrait être exploitée par des attaquants distants afin de compromettre un système vulnérable. Ce problème résulte d'un débordement de mémoire présent au niveau du traitement des nombres flottants, ce qui pourrait permettre à un attaquant distant d'altérer le fonctionnement d'un navigateur vulnérable ou d'exécuter un code arbitraire distant en incitant un utilisateur à visiter une page web spécialement conçue.

Patch et/ou information : Lien

 

Google Chrome 3.x

Niveau de danger : Bas

Description de la faille : Une faiblesse a été identifiée dans Google Chrome, elle pourrait être exploitée par des attaquants afin de contourner les mesures de sécurité. Ce problème résulte d'une erreur présente au niveau de l'implémentation CORS (Cross-Origin Resource Sharing), ce qui pourrait faciliter des attaques par cross-site request forgery.

Patch et/ou information : Lien

 

Les éditions précédentes
Source : JDN Solutions
13/10/2009Adobe Acrobat et Reader 9.x, IBM AIX 5.x - 6.x, Sun VirtualBox 3.x, Google Chrome 3.x, Novell NetWare 6.x.
25/09/2009 Apple iTunes 9.x, Symantec Altiris Deployment Solution 6.x / 7.x, Internet Explorer 5/6/7/8, Windows 2000/XP/2003/Vista/2008, VLC Media Player 1.x, VMware Workstation Movie Decoder 6.x.
25/07/2009Google Chrome 2.x, Microsoft Windows 2000 / XP / 2003 / Vista / 2008, Mozilla Firefox 3.5, Adobe Acrobat, Reader et Flash Player 9 / 10.

Google / HTML