La revue des failles du 13 octobre au 6 novembre 2009
Revue des principales failles du 13 octobre au 6 novembre 2009, avec VUPEN Security. Aujourd'hui : Adobe Shockwave 11, BlackBerry Desktop 5.x, Google Chrome 3.x, Mozilla Seamonkey, Symantec Altiris Deployment Solution versions 6.9.x.
Adobe Shockwave 11
Niveau de danger : Critique
Description de la faille : VUPEN a découvert plusieurs vulnérabilités critiques dans Adobe Shockwave Player, elles pourraient être exploitées par des attaquants distants afin de compromettre un système vulnérable. Le premier problème résulte d'une erreur d'index liée au traitement d'un contenu Shockwave malformé, ce qui pourrait permettre l'exécution d'un code arbitraire distant via une page web spécialement conçue. La deuxième faille est due à une erreur de pointeur liée à la gestion d'un contenu Shockwave malformé, ce qui pourrait permettre l'exécution d'un code arbitraire distant via une page web spécialement conçue. La troisième vulnérabilité est causée par une erreur de pointeur liée à la gestion d'un contenu Shockwave malformé, ce qui pourrait permettre l'exécution d'un code arbitraire distant via une page web spécialement conçue. La quatrième faille est due à une corruption de mémoire liée à la gestion des chaines de caractères, ce qui pourrait permettre l'exécution d'un code arbitraire distant via une page web spécialement conçue.
Patch et/ou information : Lien
BlackBerry Desktop 5.x
Niveau de danger : Critique
Description de la faille : Une vulnérabilité a été identifiée dans BlackBerry Desktop Software, elle pourrait être exploitée par des attaquants distants afin de compromettre un système vulnérable. Ce problème résulte d'une erreur présente au niveau du contrôleur ActiveX Lotus Notes Intellisync qui ne valide pas certaines données, ce qui pourrait être exploité par des attaquants afin d'exécuter des commandes arbitraires en incitant un utilisateur à visiter une page web spécialement conçue.
Patch et/ou information : Lien
Google Chrome 3.x
Niveau de danger : Modéré
Description de la faille : Deux vulnérabilités ont été identifiées dans Google Chrome, elles pourraient être exploitées par des atatquants afin d'obtenir des informations sensibles ou compromettre un système vulnérable. Le premier problème résulte d'une corruption de mémoire présente au niveau de l'API SQL Gears qui ne valide pas certaines données, ce qui pourrait permettre à un attaquant d'altérer le fonctionnement d'un navigateur vulnérable ou d'exécuter un code arbitraire distant. La seconde faille est due à une erreur présente au niveau du traitement de certains fichiers potentiellement dangereux tels que SVG, MHT et XML, ce qui pourrait pourrait permettre l'exécution d'un script malicieux dans le contexte local, permettant ainsi à un attaquant d'accéder à des ressources locales (e.g. fichiers).
Patch et/ou information : Lien
Mozilla Seamonkey
Niveau de danger : Critique
Description de la faille : Plusieurs vulnérabilités ont été identifiées dans Mozilla SeaMonkey, elles pourraient être exploitées par des attaquants afin de manipuler certaines informations, contourner les mesures de sécurité ou compromettre un système vulnérable. Le premier problème résulte d'une corruption de mémoire liée au traitement des expressions régulières utilisées dans les fichiers PAC (Proxy Auto-configuration), ce qui pourrait permettre l'exécution d'un code arbitraire au sein d'un système utilisant PAC avec des expressions régulières particulières. La deuxième faille est due à un débordement de mémoire présent au niveau du traitement d'une image GIF malformée, ce qui pourrait permettre l'exécution d'un code arbitraire via une page web spécialement conçue. La dernière vulnérabilité est due à une erreur liée au traitement des noms de fichiers à télécharger, ce qui pourrait être exploité afin de masquer le nom et l'extension d'un fichier malicieux à télécharger.
Patch et/ou information : Lien
Symantec Altiris Deployment Solution versions 6.9.x
Niveau de danger : Critique
Description de la faille : Une vulnérabilité a été identifiée dans Symantec Altiris Notification Server, Symantec Management Platform et Symantec Altiris Deployment Solution, elle pourrait être exploitée par des attaquants distants afin de compromettre un système vulnérable. Ce problème résulte d'un débordement de mémoire présente au niveau du contrôleur ActiveX "AeXNSConsoleUtilities.dll" qui ne valide pas correctement les arguments passés à la méthode "BrowseAndSaveFile()", ce qui pourrait être exploité par des attaquants afin d'exécuter des commandes arbitraires en incitant un utilisateur à visiter une page web spécialement conçue.
Patch et/ou information : Lien
| Source : JDN Solutions | |
| 12/10/2009 | Adobe Acrobat et Reader 9.x, IBM AIX 5.x - 6.x, Sun VirtualBox 3.x, Google Chrome 3.x, Novell NetWare 6.x |
| 25/09/2009 | Apple iTunes 9.x, Symantec Altiris Deployment Solution 6.x / 7.x, Internet Explorer 5/6/7/8, Windows 2000/XP/2003/Vista/2008, VLC Media Player 1.x, VMware Workstation Movie Decoder 6.x. |
| 25/07/2009 | Google Chrome 2.x, Microsoft Windows 2000 / XP / 2003 / Vista / 2008, Mozilla Firefox 3.5, Adobe Acrobat, Reader et Flash Player 9 / 10. |