La revue des failles du 16 décembre 2008 au 12 janvier 2009
Revue des principales failles du 16 décembre 2008 au 12 janvier 2009, avec VUPEN Security. Aujourd'hui : Adobe Flash Player for Linux 10.x, HP OpenView Network Node Manager, Mozilla Firefox 2.x et 3.x, RealNetworks Helix Server / Mobile Server, Trend Micro HouseCall 6.x.
Adobe Flash Player for Linux 10.x
Niveau de danger : Critique
Description de la faille : Une vulnérabilité a été identifiée dans Adobe Flash Player pour Linux, elle pourrait être exploitée par des attaquants afin de compromettre un système vulnérable. Ce problème résulte d'une erreur présente au niveau du traitement d'une fonction "ASnative" via un appel "system()", ce qui pourrait permettre à un attaquant d'injecter des commandes arbitraires via un fichier SWF malformé.
Patch et/ou information : Lien
HP OpenView Network Node Manager (NNM) 7.x
Niveau de danger : Critique
Description de la faille : Plusieurs vulnérabilités ont été identifiées dans HP OpenView Network Node Manager (NNM), elles pourraient être exploitées par des attaquants afin de causer un déni de service ou compromettre un système vulnérable. Ces failles résultent de débordements de mémoire présents aux niveaux des applications CGI "OpenView5.exe", "getcvdata.exe", "ovlaunch.exe" et "Toolbar.exe" qui ne gèrent pas correctement des paramètres excessivement longs, ce qui pourrait permettre à un attaquant d'altérer le fonctionnement d'une application vulnérable ou d'exécuter un code arbitraire.
Patch et/ou information : Lien
Mozilla Firefox 2.x et 3.x
Niveau de danger : Critique
Description de la faille : Plusieurs vulnérabilités ont été identifiées dans Mozilla Firefox, elles pourraient être exploitées par des attaquants afin de contourner les mesures de sécurité, obtenir des informations sensibles, causer un déni de service ou compromettre un système vulnérable. Ces failles résultent de corruptions de mémoire et d'erreurs de validation d'entrées et d'origine présentes au niveau du traitement de certaines données et fonctions JavaScript, ainsi qu'au niveau de la gestion des URLs, balises et éléments, ce qui pourrait permettre à des attaquants de contourner les mesures de sécurité, injecter un script malicieux, obtenir des données sensibles ou exécuter des commandes arbitraires distantes.
Patch et/ou information : Lien
RealNetworks Helix Server / Mobile Server 11.x et 12.x
Niveau de danger : Critique
Description de la faille : Plusieurs vulnérabilités ont été identifiées dans RealNetworks Helix Server, elles pourraient être exploitées par des attaquants afin de causer un déni de service ou compromettre un système vulnérable. Le premier problème résulte d'un débordement de mémoire présent au niveau du traitement d'une requête RTSP DESCRIBE malformée, ce qui pourrait permettre à un attaquant d'altérer le fonctionnement d'un serveur vulnérable ou d'exécuter un code arbitraire. La deuxième vulnérabilité est due à un débordement de mémoire présent au niveau du traitement d'une requête RTSP SETUP malformée, ce qui pourrait permettre à un attaquant d'altérer le fonctionnement d'un serveur vulnérable ou d'exécuter un code arbitraire. La troisième faille résulte d'un débordement de mémoire inconnu liée à DataConvertBuffer, ce qui pourrait permettre à un attaquant d'altérer le fonctionnement d'un serveur vulnérable ou d'exécuter un code arbitraire. La dernière vulnérabilité est due à un débordement de mémoire présent au niveau du traitement d'une requête d'authentification NTLM Base64 malformée, ce qui pourrait permettre à un attaquant d'altérer le fonctionnement d'un serveur vulnérable ou d'exécuter un code arbitraire.
Patch et/ou information : Lien
Trend Micro HouseCall 6.x
Niveau de danger : Critique
Description de la faille : Deux vulnérabilités ont été identifiées dans Trend Micro HouseCall, elles pourraient être exploitées par des attaquants afin de compromettre un système vulnérable. Le premier problème résulte d'une erreur présente au niveau du contrôleur ActiveX "Housecall_ActiveX.dll" qui ne gère pas correctement un appel "notifyOnLoadNative()" spécialement conçu, ce qui pourrait permettre à un attaquant d'exécuter un code arbitraire en incitant un utilisateur à visiter une page web malicieuse. La seconde faille résulte d'une erreur d'implémentation pouvant permettre le téléchargement et le chargement d'une librairie malicieuse, ce qui pourrait être exploité afin d'exécuter un code arbitraire.
Patch et/ou information : Lien
| Date | |
|---|---|
| Source : VUPEN Security | |
| 15/12/08 | Microsoft Internet Explorer, CA ARCserve Backup, Office Excel, Microsoft Windows 2000 - XP - 2003 - Vista – 2008, BMC Patrol. |
| 24/11/08 | Adobe AIR, Microsoft Windows, XML Core Services, Mozilla et Trend Micro ServerProtect. |
| 11/11/08 | Adobe PageMaker, OpenOffice 2.x, VLC Media Player 0.x, Adobe Acrobat et Reader 8.x. |