La revue des failles du 24 février au 10 mars 2010

Revue des principales failles du 24 février au 10 mars 2010, avec Vupen Security. Aujourd'hui : Internet Explorer 7 et 6, Office Excel de 2002 à 2008, Windows Movie Maker, Energizer Duo USB Charger, Opera Browser 10.x.

Microsoft Internet Explorer 7 et 6

Niveau de danger : Critique

Description de la faille : Une vulnérabilité a été identifiée dans Microsoft Internet Explorer, elle pourrait être exploitée par des attaquants distants afin de compromettre un système vulnérable. Ce problème résulte d'une corruption de mémoire liée au traitement de certaines données, ce qui pourrait permettre à un attaquant distant d'exécuter un code arbitraire en incitant un utilisateur à visiter une page Web spécialement conçue.

Patch et/ou information : Lien

Microsoft Office Excel 2002 à 2008

Niveau de danger : Critique

Description de la faille : Plusieurs vulnérabilités ont été identifiées dans Microsoft Office Excel, elles pourraient être exploitées par des attaquants distants afin de compromettre un système vulnérable. Ces failles résultent de corruptions de mémoire présentes au niveau du traitement d'un document incluant un enregistrement "EntExU2", "BRAI" BIFF, "MDXTuple", "MDXSet", "ContinueFRT12", "FnGroupName", "BuiltInFnGroupCount", "FnGrp12" ou "DbOrParamQry" malformé, ce qui pourrait permettre à des attaquants d'exécuter un code arbitraire en incitant un utilisateur à ouvrir un document Excel spécialement conçu.

Patch et/ou information : Lien

Microsoft Windows Movie Maker

Niveau de danger : Elevé

Description de la faille : Une vulnérabilité a été identifiée dans Microsoft Windows, elle pourrait être exploitée par des attaquants distants afin de compromettre un système vulnérable. Ce problème résulte d'une corruption de mémoire présente au niveau du logiciel Movie Maker qui ne valide pas certaines données lues depuis un fichier de projet MS Windows Movie Maker (*.MSWMM), ce qui pourrait permettre à des attaquants d'exécuter un code arbitraire en incitant un utilisateur à ouvrir un fichier spécialement conçu.

Patch et/ou information : Lien

Energizer DUO USB Charger

Niveau de danger : Critique

Description de la faille : Un problème de sécurité a été identifié dans le chargeur de piles Energizer DUO USB Charger, il pourrait être exploité par un attaquant distant afin de compromettre un système vulnérable. Ce problème résulte de l'installation et l'exécution d'un cheval de Troie (Arucer.dll) suite à l'installation du logiciel du chargeur, ce qui pourrait permettre à un attaquant distant de prendre le contrôle d'un système infecté (lister des répertoires, envoyer et recevoir des fichiers ou exécuter des programmes) en se connectant au port 7777/TCP.

Patch et/ou information : Lien

Opera Browser 10.x

Niveau de danger : Critique

Description de la faille : Une vulnérabilité a été identifiée dans Opera, elle pourrait être exploitée par des attaquants distants afin de compromettre un système vulnérable. Ce problème résulte d'un débordement de mémoire présent au niveau du traitement de l'entête HTTP "Content-Length:", ce qui pourrait permettre à un attaquant d'altérer le fonctionnement d'un navigateur vulnérable ou d'exécuter un code arbitraire en incitant un utilisateur à visiter une page Web hébergée sur un serveur malicieux.

Patch et/ou information : Lien

 
Les éditions précédentes
Source : JDN Solutions
22/02/2010 Adobe Acrobat et Reader 9.x - 8.x, Google Chrome 4.x, Juniper Installer, Microsoft Windows, OpenOffice.org 3.x - 2.x.
03/02/2010 Adobe Shockwave Player 11.x, Google SketchUp 7.x, Microsoft Windows, Internet Explorer.
13/01/2010 Adobe Flash Media Server 3.x, Intel Chipsets, Microsoft IIS 6.0, Novell iManager 2.x et Sun Java System Directory Server Enterprise.