La revue des failles du 23 mars au 9 avril 2009

Revue des principales failles du 23 mars au 9 avril 2009, avec VUPEN Security. Aujourd'hui : Microsoft Office PowerPoint 2000 à 2004, Adobe Reader et Acrobat, Microsoft Windows, Mozilla Firefox 3.x, SAP SAPgui 7.x.

Adobe Reader and Acrobat

Niveau de danger : Critique

Description de la faille : Une vulnérabilité a été identifiée dans Adobe Acrobat et Reader, elle pourrait être exploitée par des attaquants afin de compromettre un système vulnérable. Ce problème résulte d'un débordement de mémoire présent au niveau du traitement d'une méthode JavaScript "getIcon()" avec un paramètre malformé, ce qui pourrait être exploité par des attaquants afin d'altérer le fonctionnement d'une application vulnérable ou afin d'exécuter un code arbitraire en incitant un utilisateur à ouvrir un fichier PDF spécialement conçu.

Patch et/ou information : Lien
 
 

Microsoft Office PowerPoint 2000 à 2004

Niveau de danger : Critique

Description de la faille : Une vulnérabilité a été identifiée dans Microsoft Office PowerPoint, elle pourrait être exploitée par des attaquants afin de compromettre un système vulnérable. Ce problème résulte d'une erreur inconnue liée au traitement d'un document Powerpoint malformé, ce qui pourrait être exploité par des attaquants afin d'altérer le fonctionnement d'une application vulnérable ou afin d'exécuter un code arbitraire en incitant un utilisateur à ouvrir un fichier PPT spécialement conçu.

Patch et/ou information : Lien

 

Microsoft Windows

Niveau de danger : Critique

Description de la faille : Une vulnérabilité a été identifiée dans Microsoft Windows et les Services Windows pour UNIX, elle pourrait être exploitée par des attaquants afin de compromettre un système vulnérable. Ce problème résulte d'une erreur inconnue présente aux niveaux des librairies gzip (unlzh.c et unpack.c), ce qui pourrait permettre à un attaquant d'exécuter un code arbitraire. Aucun détail technique n'a été révélé. La vulnérabilité affecte les machines Windows Server 2008 ou les machines où ont été installés les Service Windows pour UNIX et le sous-système pour les Applications basées sur UNIX (SUA).

Patch et/ou information : Lien

 

Mozilla Firefox 3.x

Niveau de danger : Critique

Description de la faille : Une vulnérabilité a été identifiée dans Mozilla Firefox, elle pourrait être exploitée par des attaquants afin de compromettre un système vulnérable. Cette faille résulte d'une corruption de mémoire liée à la méthode XUL "_moveToEdgeShift" et le ramasse-miettes, ce qui pourrait permettre à un attaquant d'exécuter un code arbitraire en incitant un utilisateur à visiter une page web spécialement conçue.

Patch et/ou information : Lien

 

SAP SAPgui 7.x

Niveau de danger : Critique

Description de la faille : Une vulnérabilité a été identifiée dans SAP SAPgui, elle pourrait être exploitée par des attaquants distants afin de compromettre un système vulnérable. Ce problème résulte d'un débordement de mémoire présente au niveau du contrôleur ActiveX EAI WebViewer3D qui ne valide pas correctement les arguments passés à la méthode "SaveViewToSessionFile()", ce qui pourrait être exploité par des attaquants afin d'exécuter des commandes arbitraires en incitant un utilisateur à visiter une page web spécialement conçue.

Patch et/ou information : Lien*

*Accessible sur inscription uniquement.

 

Les éditions précédentes
Source : VUPEN Security
04/03/2009Adobe Flash Player 10 / 9, Adobe Reader & Acrobat 9 / 8 / 7, Microsoft Office Excel 2000 à 2008, Cisco Application Networking Manager (ANM).
17/02/2009Internet Explorer 7.x, HP OpenView Network Node Manager, RealNetworks RealPlayer 11.x et Microsoft Exchange Server 2000/2003/2007.
02/02/2009Apple QuickTime, EMC AutoStart, Cisco Security Manager, Fujitsu SystemcastWizard Lite et Cisco Unified Communications Manager.

Windows / Acrobat

Annonces Google