La revue des failles du 11 au 25 septembre 2009
Revue des principales failles du 11 au 25 septembre 2009, avec VUPEN Security. Aujourd'hui : Apple iTunes 9.x, Symantec Altiris Deployment Solution 6.x / 7.x, Internet Explorer 5/6/7/8, Windows 2000/XP/2003/Vista/2008, VLC Media Player 1.x, VMware Workstation Movie Decoder 6.x.
Apple iTunes 9.x
Niveau de danger : Critique
Description de la faille : Une vulnérabilité a été identifiée dans Apple iTunes, elle pourrait être exploitée par des attaquants distants afin de compromettre un système vulnérable. Ce problème résulte d'un débordement de mémoire présent au niveau du traitement d'une liste de lecture ".pls" contenant des données malformées, ce qui pourrait permettre à des attaquants d'altérer le fonctionnement d'une application vulnérable ou d'exécuter un code arbitraire via un fichier malicieux.
Patch et/ou information : Lien
Symantec Altiris Deployment Solution 6.x / 7.x
Niveau de danger : Critique
Description de la faille : Une vulnérabilité a été identifiée dans Symantec Altiris Deployment Solution, elle pourrait être exploitée par des attaquants afin de compromettre un système vulnérable. Ce problème résulte d'une erreur présente au niveau du contrôleur ActiveX eXpress NS SC Download (AeXNSPkgDLLib.dll) qui ne restreint pas l'accès à sa méthode insécurisée "DownloadAndInstall()", ce qui pourrait permettre à un attaquant de télécharger et exécuter un code malicieux en incitant un utilisateur à visiter une page web spécialement conçue.
Patch et/ou information : Lien
Microsoft Internet Explorer 5/6/7/8
Niveau de danger : Critique
Description de la faille : Une vulnérabilité a été identifiée dans Microsoft Internet Explorer, elle pourrait être exploitée par des attaquants afin de compromettre un système vulnérable. Ce problème résulte d'une corruption de mémoire présente au niveau du moteur Jscript qui ne gère pas correctement certains scripts malicieux, ce qui pourrait permettre à un attaquant d'altérer le fonctionnement d'un navigateur vulnérable en incitant un utilisateur à visiter une page web malicieuse.
Patch et/ou information : Lien
Microsoft Windows 2000/XP/2003/Vista/2008
Niveau de danger : Critique
Description de la faille : Deux vulnérabilités ont été identifiées dans Microsoft Windows Media Format Runtime, elles pourraient être exploitées par des attaquants afin de causer un déni de service ou compromettre un système vulnérable. Le premier problème résulte d'une mauvaise libération de pointeur présente au niveau du traitement de l'entête d'un fichier au format ASF, ce qui pourrait permettre à un attaquant d'altérer le fonctionnement d'une application vulnérable ou d'exécuter un code arbitraire via un fichier média malicieux. La seconde faille est due à une corruption de mémoire présente au niveau du traitement d'un fichier MP3 (MPEG-1 Audio Layer 3) malformé, ce qui pourrait permettre à un attaquant d'altérer le fonctionnement d'une application vulnérable ou d'exécuter un code arbitraire via un fichier média malicieux.
Patch et/ou information : Lien
VLC Media Player 1.x
Niveau de danger : Critique
Description de la faille : Plusieurs vulnérabilités ont été identifiées dans VLC Media Player, elles pourraient être exploitées par des attaquants distants afin de compromettre un système vulnérable. Ces failles résultent de débordements de mémoire présents aux niveaux des fonctions "ASF_ObjectDumpDebug()" [modules/demux/asf/libasf.c], "AVI_ChunkDumpDebug_level()" [modules/demux/avi/libavi.c] et "__MP4_BoxDumpStructure()" [modules/demux/mp4/libmp4.c] qui ne gèrent pas correctement un fichier ASF, AVI ou MP4 malformé, ce qui pourrait permettre à un attaquant d'altérer le fonctionnement d'une application vulnérable ou d'exécuter un code arbitraire en incitant un utilisateur à lire un fichier malicieux.
Patch et/ou information : Lien
VMware Workstation Movie Decoder 6.x
Niveau de danger : Critique
Description de la faille : Deux vulnérabilités ont été identifiées dans VMware Workstation Movie Decoder, elles pourraient être exploitées par des attaquants afin de compromettre un système vulnérable. Le premier problème résulte d'un débordement de mémoire présent au niveau du codec VMnc (vmnc.dll) qui ne gère pas correctement une vidéo avec des dimensions malformées, ce qui pourrait potentiellement permettre l'exécution d'un code arbitraire via une vidéo malicieuse. La seconde faille est due à une corruption de mémoire présente au niveau du codec VMnc (vmnc.dll) qui ne gère pas correctement une vidéo avec une hauteur inférieure à 8 pixels, ce qui pourrait potentiellement permettre l'exécution d'un code arbitraire via une vidéo spécialement conçue.
Patch et/ou information : Lien
| Source : JDN Solutions | |
| 28/07/2009 | Google Chrome 2.x, Microsoft Windows 2000 / XP / 2003 / Vista / 2008, Mozilla Firefox 3.5, Adobe Acrobat, Reader et Flash Player 9 / 10. |
| 08/07/2009 | Foxit Reader 2.x, Google Chrome 2.x, IBM AIX 5.x - 6.x, VLC Media Player 0.x. |
| 22/06/2009 | Apple Safari 3.x, Google Chrome, Microsoft Internet Explorer 5/6/7/8, Microsoft Office 2000 / XP / 2003 / 2004 / 2007 / 2008, Microsoft Windows 2000 / XP / 2003. |