La revue des failles du 10 au 24 juillet 2009
Revue des principales failles du 10 au 24 juillet 2009, avec VUPEN Security. Aujourd'hui : Google Chrome 2.x, Microsoft Windows 2000 / XP / 2003 / Vista / 2008, Mozilla Firefox 3.5, Adobe Acrobat, Reader et Flash Player 9 / 10.
Adobe Acrobat, Reader et Flash Player 9 / 10
Niveau de danger : Critique
Description de la faille : Une vulnérabilité a été identifiée dans Adobe Acrobat, Reader et Flash Player, elle pourrait être exploitée par des attaquants distants afin de compromettre un système vulnérable. Ce problème résulte d'une corruption de mémoire présente aux niveaux des modules "flash9f.dll" et "authplay.dll" qui ne gèrent pas correctement certains objets et appels "MethodEnv::findproperty", ce qui pourrait permettre à un attaquant d'exécuter un code arbitraire en incitant un utilisateur à ouvrir un document PDF incluant une animation Flash, ou à visiter une page Web hébergeant une présentation SWF malicieuse.
Patch et/ou information : Lien
Google Chrome 2.x
Niveau de danger : Critique
Description de la faille : Deux vulnérabilités ont été identifiées dans Google Chrome, elles pourraient être exploitées par des attaquants distants afin de compromettre un système vulnérable. Le premier problème résulte d'un débordement de mémoire présent au niveau de l'évaluation de certaines expressions régulières en Javascript, ce qui pourrait permettre à un attaquant d'altérer le fonctionnement d'un navigateur vulnérable ou d'exécuter un code arbitraire au sein du bac à sable. La seconde faille est due à une erreur liée à la procédure d'allocation de la mémoire pour un processus de navigation. Elle pourrait permettre à un processus compromis (e.g. via la première vulnérabilité) d'exécuter un code arbitraire avec les privilèges de l'utilisateur connecté et passer outre les restrictions imposées par le bac à sable.
Patch et/ou information : Lien
Microsoft Windows 2000/XP/2003/Vista/2008
Niveau de danger : Critique
Description de la faille : Deux vulnérabilités ont été identifiées dans Microsoft Windows, elles pourraient être exploitées par des attaquants afin de compromettre un système vulnérable. Le premier problème résulte d'un débordement de mémoire présent au niveau du moteur de police EOT (Embeded OpenType) qui ne valide pas les tables de noms dans des fichiers et du contenu spécialement conçu avec des polices intégrées, ce qui pourrait permettre l'exécution d'un code arbitraire via un fichier de police EOT malicieux. La seconde faille est due à un débordement d'entier présent au niveau du moteur de police EOT (Embeded OpenType) qui ne valide pas les tables de noms dans des fichiers et du contenu spécialement conçus contenant des polices intégrées, ce qui pourrait permettre l'exécution d'un code arbitraire distant.
Patch et/ou information : Lien
Mozilla Firefox 3.5
Niveau de danger : Critique
Description de la faille : Une vulnérabilité a été identifiée dans Mozilla Firefox, elle pourrait être exploitée par des attaquants distants afin de compromettre un système vulnérable. Ce problème résulte d'une corruption de mémoire liée au traitement de certains éléments, ce qui pourrait être exploité par des attaquants afin d'exécuter des commandes arbitraires en incitant un utilisateur à visiter une page Web spécialement conçue.
Patch et/ou information : Lien
| Source : JDN | |
| 08/07/2009 | Foxit Reader 2.x, Google Chrome 2.x, IBM AIX 5.x - 6.x, VLC Media Player 0.x. |
| 22/06/2009 | Apple Safari 3.x, Google Chrome, Microsoft Internet Explorer 5/6/7/8, Microsoft Office 2000 / XP / 2003 / 2004 / 2007 / 2008, Microsoft Windows 2000 / XP / 2003. |
| 08/06/2009 | Apple iTunes 7.x, QuickTime 7.x, BlackBerry Enterprise Server 4.x, IBM WebSphere MQ 6.x - 7.x, Microsoft Windows 2000 / XP / 2003 - DirectX 7.x - 8.x - 9.x. |