La revue des failles du 14 janvier au 2 février 2010

Revue des principales failles du 14 janvier au 2 février 2010, avec VUPEN Security. Aujourd'hui : Adobe Shockwave Player 11.x, Google SketchUp 7.x, Microsoft Windows, Internet Explorer.

Adobe Shockwave Player 11.x

Niveau de danger : Critique

Description de la faille : Plusieurs vulnérabilités ont été identifiées dans Adobe Shockwave Player, elles pourraient être exploitées par des attaquants distants afin de compromettre un système vulnérable. Ces failles résultent de débordements d'entier et de mémoire présents au niveau du traitement de certains fichiers Shockwave ou modèles 3D, ce qui pourrait permettre l'exécution d'un code arbitraire via une page web spécialement conçue.

Patch et/ou information : Lien

 

Google SketchUp 7.x

Niveau de danger : Critique

Description de la faille : Deux vulnérabilités ont été identifiées dans Google SketchUp, elles pourraient être exploitées par des attaquants afin de compromettre un système vulnérable. Le premier problème résulte d'une corruption de mémoire présente au niveau de la librairie "lib3ds" qui ne gère pas correctement des fichiers 3DS malformées, ce qui pourrait permettre à un attaquant d'altérer le fonctionnement d'une application vulnérable via un fichier malicieux. La seconde faille est due à un débordement d'entier présent au niveau du traitement d'un fichier SKP malformé, ce qui pourrait permettre à un attaquant d'altérer le fonctionnement d'une application vulnérable via un fichier malicieux.

Patch et/ou information : Lien

 

Microsoft Windows / Internet Explorer

Niveau de danger : Critique

Description de la faille : Plusieurs vulnérabilités ont été identifiées dans Microsoft Internet Explorer, elles pourraient être exploitées par des attaquants distants afin d'obtenir des informations sensibles ou compromettre un système vulnérable. Ces failles résultent de corruptions de mémoire présentes au niveau du traitement de certaines données, ce qui pourrait permettre à un attaquant d'exécuter un code arbitraire en incitant un utilisateur à visiter une page web spécialement conçue.

Patch et/ou information : Lien

 

Microsoft Windows

Niveau de danger : Critique

Description de la faille : Une vulnérabilité a été identifiée dans Microsoft Windows, elle pourrait être exploitée par des attaquants distants afin de compromettre un système vulnérable. Ce problème résulte d'un débordement d'entier présent au niveau du moteur Embeded OpenType Font (EOT) qui ne décompresse pas correctement certaines données de police, ce qui pourrait permettre à un attaquant d'exécuter un code arbitraire en incitant un utilisateur à visiter une page web spécialement conçue. Note : Cette vulnérabilité est exploitable uniquement sous Windows 2000. Les autres versions de Windows sont vulnérables mais aucun vecteur d'attaque n'a été identifié.

Patch et/ou information : Lien

 

Les éditions précédentes
Source : JDN Solutions
14/01/2010Adobe Flash Media Server 3.x, Intel Chipsets, Microsoft IIS 6.0, Novell iManager 2.x et Sun Java System Directory Server Enterprise.
22/12/2009Adobe Acrobat et Reader, Cisco WebEx WRF Player, HP OpenView Storage Data Protector et Sun Ray Server Software 4.x.
03/12/2009Symantec Altiris Deployment Solution 6 / 7, HP OpenView Operations 8.x, Opera 10.x, Google Chrome 3.x.

Google / Failles