La revue des failles du 16 au 29 septembre 2008
Revue des principales failles du 16 au 29 septembre 2008 avec FrSIRT. Aujourd'hui : Adobe Illustrator CS2 pour Mac, Apple iPhone, LANDesk Management Suite 8.x et Mozilla Firefox 2.x - 3.x.
Adobe Illustrator CS2 pour Mac
Niveau de danger : Critique
Description de la faille : Plusieurs vulnérabilités ont été identifiées dans Adobe Illustrator CS2 pour Mac, elles pourraient être exploitées par des attaquants afin de compromettre un système vulnérable. Ces failles résultent d'erreurs inconnues présentes au niveau du traitement d'un fichier AI malformé, ce qui pourrait permettre à des attaquants d'exécuter un code arbitraire en incitant un utilisateur à ouvrir un fichier malicieux.
Patch et/ou information : Lien
Apple iPhone
Niveau de danger : Critique
Description de la faille : Plusieurs vulnérabilités ont été identifiées dans Apple iPhone, elles pourraient être exploitées par des attaquants afin de contourner les mesures de sécurité, polluer le cache DNs, causer un déni de service ou compromettre un système vulnérable. Le premier problème résulte d'une erreur présente au niveau du bac à sable d'application qui ne vérifie pas correctement les restrictions d'accès entre applications, ce qui pourrait permettre à une application malicieuse de lire les fichiers présents au sein du bac à sable d'une autre application. La deuxième vulnérabilité résulte d'une erreur présente dans mDNSResponder, ce qui pourrait permettre à des attaquants de polluer le cache DNS. La troisième faille est due à erreur présente au niveau de la génération des numéros de séquence initiale TCP, ce qui pourrait permettre à un attaquant de manipuler les connexions TCP. La quatrième vulnérabilité résulte d'une erreur présente au niveau de WebKit qui ne gère pas correctement certaines règles CSS import, ce qui pourrait être exploité afin d'exécuter un code arbitraire. Le cinquième problème résulte d'une erreur d'implémentation présente au niveau de la fonctionnalité Passcode Lock, ce qui pourrait permettre à un attaquant (ayant un accès physique à périphérique vulnérable) de lancer une application arbitraire sans mot de passe.
Patch et/ou information : Lien
LANDesk Management Suite 8.x
Niveau de danger : Critique
Description de la faille : Une vulnérabilité a été identifiée dans des produits LANDesk, elle pourrait être exploitée par des attaquants distants afin de compromettre un système vulnérable. Ce problème résulte d'un débordement de mémoire présent au niveau du service "qipsrvr.exe" (QIP Server) qui ne gère pas correctement des requêtes "heal" malformées, ce qui pourrait permettre à des attaquants d'altérer le fonctionnement d'une application vulnérable ou d'exécuter un code arbitraire avec des privilèges SYSTEM.
Patch et/ou information : Lien
Mozilla Firefox 2.x - 3.x
Niveau de danger : Critique
Description de la faille : Plusieurs vulnérabilités ont été identifiées dans Mozilla Firefox, SeaMonkey et Thunderbird, elles pourraient être exploitées par des attaquants afin de contourner les mesures de sécurité, obtenir des informations sensibles, causer un déni de service ou compromettre un système vulnérable. Ces failles résultent de corruptions de mémoire et d'erreurs de validation d'entrée présentes au niveau du traitement de certaines données et fonctions JavaScript, ainsi qu'au niveau de la gestion des URLs et événements, ce qui pourrait permettre à des attaquants de contourner les filtres JavaScript, injecter un script malicieux, obtenir des données sensibles ou exécuter des commandes arbitraires distantes.
Patch et/ou information : Lien
| Date | |
|---|---|
| Source : JDN Solutions | |
| 15/09 | Apple QuickTime, Microsoft Windows Media Encoder, Novell eDirectory et Microsoft Windows |
| 02/09 | Novell iPrint Client, Opera 9, Sun Solaris 10 et VideoLAN VLC Media Player |
| 28/07 | BEA Weblogic Server 10.x - 9.x - 8.x, BlackBerry Enterprise Server 4.x, EMC Dantz Retrospect Backup et Mozilla Firefox 3.x pour Mac OS X |