La revue des failles du 31 mars au 13 avril
Revue des principales failles du 31 mars au 13 avril 2010 avec Vupen Security. Aujourd'hui : Sun Java JRE/JDK, CA XOsoft, Foxit Reader 3.x, Mozilla Firefox 3.x, QuickTime 7.x,
Sun Java JRE/JDK
Niveau de danger : Critique
Description de la faille : une vulnérabilité a été identifiée dans Sun Java JRE/JDK, elle pourrait être exploitée par des attaquants distants afin de compromettre un système vulnérable. Ce problème résulte d'une erreur de validation d'entrée présente au niveau de Java Deployment Toolkit qui ne valide pas les arguments envoyés vers "javaw.exe", ce qui pourrait permettre à un attaquant de charger et d'exécuter automatiquement un fichier JAR malicieux hébergé sur un partage réseau en incitant un utilisateur à visiter une page Web spécialement conçue.
Patch et/ou information : Lien
CA XOsoft
Niveau de danger : Critique
Description de la faille : plusieurs vulnérabilités ont été identifiées dans CA XOsoft, elles pourraient être exploitées par des attaquants afin d'obtenir des informations sensibles ou compromettre un système vulnérable. Ces failles résultent d'erreurs de validation d'accès et d'entrées liées au traitement de certaines requêtes SOAP, ce qui pourrait permettre à un attaquant distant d'obtenir des informations sensibles, énumérer les identifiants ou exécuter un code arbitraire distant.
Patch et/ou information : Lien
Foxit Reader 3.x
Niveau de danger : Critique
Description de la faille : une vulnérabilité a été identifiée dans Foxit Reader, elle pourrait être exploitée par des attaquants distants afin de compromettre un système vulnérable. Ce problème résulte d'une erreur de conception liée à l'exécution automatique d'un programme embarqué au sein d'un document PDF, ce qui pourrait permettre à un attaquant d'exécuter un code arbitraire en incitant un utilisateur à ouvrir un PDF malicieux.
Patch et/ou information : Lien
Mozilla Firefox 3.x
Niveau de danger : Critique
Description de la faille : une vulnérabilité a été identifiée dans Mozilla Firefox, elle pourrait être exploitée par des attaquants afin de compromettre un système vulnérable. Ce problème résulte de l'utilisation d'un objet libéré lorsque des nœuds DOM sont transférés d'un document à un autre, ce qui pourrait permettre à un attaquant d'altérer le fonctionnement d'un navigateur vulnérable ou d'exécuter un code arbitraire en incitant un utilisateur à visiter une page Web spécialement conçue.
Patch et/ou information : Lien
QuickTime 7.x
Niveau de danger : Critique
Description de la faille : plusieurs vulnérabilités ont été identifiées dans Apple QuickTime, elles pourraient être exploitées par des attaquants distants afin de compromettre un système vulnérable. Ces failles résultent de débordements et corruptions de mémoire présents au niveau du traitement d'un fichier PICT, QDM2, QDMC, H.263, H.261, H.264, RLE, M-JPEG, Sorenson, FlashPix, FLC, MPEG ou BMP malformé, ce qui pourrait être exploité par des attaquants afin d'altérer le fonctionnement d'une application vulnérable ou d'exécuter un code arbitraire en incitant un utilisateur à visiter une page Web malicieuse ou à ouvrir un fichier spécialement conçu.
Patch et/ou information : Lien
| Source : JDN Solutions | |
| 29/03/2010 | Apple Safari 4.x, CA ARCserve Backup 11.x / 12.x, HP Compaq, Mozilla Firefox, Seamonkey et Thunderbird, et SAP MaxDB 7.x. |
| 12/03/2010 | Internet Explorer 7 et 6, Office Excel de 2002 à 2008, Windows Movie Maker, Energizer Duo USB Charger, Opera Browser 10.x. |
| 22/02/2010 | Adobe Acrobat et Reader 9.x - 8.x, Google Chrome 4.x, Juniper Installer, Microsoft Windows, OpenOffice.org 3.x - 2.x. |