La revue des failles du 24 novembre au 15 décembre 2008
Revue des principales failles du 24 novembre au 15 décembre 2008, avec VUPEN Security. Aujourd'hui : Microsoft Internet Explorer, CA ARCserve Backup, Office Excel, Microsoft Windows 2000 - XP - 2003 - Vista – 2008, BMC Patrol.
BMC PATROL
Niveau de danger : Elevé
Description de la faille : Une vulnérabilité a été identifiée dans BMC PATROL, elle pourrait être exploitée par des attaquants afin de compromettre un système vulnérable. Ce problème résulte d'une erreur de type chaîne de format présente au niveau du traitement et de la journalisation du numéro de version envoyé vers le port 3181/TCP, ce qui pourrait permettre à un attaquant non-authentifié d'exécuter un code arbitraire distant via un paquet spécialement conçu.
Patch et/ou information : Lien
CA ARCserve Backup 12.x - 11.x
Niveau de danger : Modéré
Description de la faille : Une vulnérabilité a été identifiée dans CA ARCserve Backup, elle pourrait être exploitée par des attaquants afin de compromettre un système vulnérable. Ce problème résulte d'une erreur présente au niveau de LDBserver qui ne valide pas les arguments "handle_t" via RPC, ce qui pourrait permettre l'exécution d'un code arbitraire.
Patch et/ou information : Lien
Microsoft Internet Explorer 5.x - 6.x - 7.x - 8.x
Niveau de danger : Critique
Description de la faille : Une vulnérabilité de type zero-day a été identifiée dans Microsoft Internet Explorer, elle pourrait être exploitée par des attaquants afin de compromettre un système vulnérable. Ce problème résulte d'une corruption de mémoire présente au niveau du traitement de certaines données (e.g. XML), ce qui pourrait permettre à un attaquant d'exécuter un code arbitraire en incitant un utilisateur à visiter une page web spécialement conçue.
Patch et/ou information : Lien
Microsoft Office Excel
Niveau de danger : Critique
Description de la faille : Plusieurs vulnérabilités ont été identifiées dans Microsoft Office Excel, elles pourraient être exploitées par des attaquants afin de compromettre un système vulnérable. Ces failles résultent d'erreurs présentes au niveau du traitement du format de feuille de calcul, ce qui pourrait permettre à un attaquant d'exécuter un code arbitraire en incitant un utilisateur à ouvrir un fichier Excel malicieux.
Patch et/ou information : Lien
Microsoft Windows 2000 - XP - 2003 - Vista - 2008
Niveau de danger : Critique
Description de la faille : Deux vulnérabilités ont été identifiées dans Microsoft Windows, elles pourraient être exploitées par des attaquants distants afin de compromettre un système vulnérable. Le premier problème résulte d'un débordement d'entier présent au niveau de la librairie GDI qui ne valide pas correctement l'entête d'une image WMF, ce qui pourrait permettre à un attaquant d'exécuter un code arbitraire. La seconde vulnérabilité est due à un débordement de mémoire présent au niveau de la librairie GDI qui ne valide pas correctement un paramètre de taille au sein d'une image WMF, ce qui pourrait permettre à un attaquant d'exécuter un code arbitraire.
Patch et/ou information : Lien
| Date | |
|---|---|
| Source : VUPEN Security | |
| 24/11 | Adobe AIR, Microsoft Windows, XML Core Services, Mozilla et Trend Micro ServerProtect |
| 11/11 | Adobe PageMaker, OpenOffice 2.x, VLC Media Player 0.x, Adobe Acrobat et Reader 8.x |
| 27/10 | Microsoft Windows 2000/XP/2003/Vista/2008, Opera, Trend Micro OfficeScan et VLC Media Player |