L'équipe Vigil@nce veille les vulnérabilités publiques qui affectent votre parc informatique, puis propose des correctifs sécurité, une base et des outils pour y remédier.

Vulnérabilités informatiques de CheckPoint ZoneAlarm Pro

alerte de vulnérabilité 18671

Windows : exécution de code durant l'installation d'application

Synthèse de la vulnérabilité

Un attaquant peut inviter la victime à télécharger des bibliothèques illicites sous Windows, afin d'exécuter du code lors de l'installation d'une application nécessitant ces DLL.
Produits concernés : 7-Zip, ZoneAlarm, FileZilla Server, GIMP, Chrome, Kaspersky AV, Windows 10, Windows 2008 R0, Windows 2008 R2, Windows 2012, Windows 7, Windows 8, Windows (plateforme) ~ non exhaustif, Windows RT, Windows Vista, Opera, Panda AV, Panda Internet Security, PuTTY, OfficeScan, TrueCrypt, VLC.
Gravité : 2/4.
Conséquences : accès/droits administrateur, accès/droits privilégié, accès/droits utilisateur.
Provenance : document.
Date création : 11/01/2016.
Références : sk110055, VIGILANCE-VUL-18671.

Description de la vulnérabilité

Lorsqu'un utilisateur installe une nouvelle application sous Windows, il télécharge le programme d'installation (install.exe par exemple), puis l'exécute.

Cependant, de nombreux programmes d'installation chargent des DLL (par exemple graphique.dll) depuis le répertoire courant. Ainsi, si un attaquant a invité la victime à télécharger un fichier graphique.dll malveillant, avant qu'il exécute install.exe depuis le répertoire Téléchargement, le code situé dans la DLL est exécuté.

Le bulletin VIGILANCE-VUL-19558 décrit le même problème pour d'autres produits.

Un attaquant peut donc inviter la victime à télécharger des bibliothèques illicites sous Windows, afin d'exécuter du code lors de l'installation d'une application nécessitant ces DLL.
Bulletin Vigil@nce complet... (Essai gratuit)

avis de vulnérabilité 11064

Check Point UTM-1 : vulnérabilités de WebUI

Synthèse de la vulnérabilité

Un attaquant peut employer plusieurs vulnérabilités de l'interface WebUI de UTM-1 Edge et Safe@Office.
Produits concernés : CheckPoint UTM-1 Appliance, ZoneAlarm.
Gravité : 2/4.
Conséquences : accès/droits client, lecture de données.
Provenance : document.
Nombre de vulnérabilités dans ce bulletin : 4.
Date création : 17/10/2011.
Date révision : 02/11/2012.
Références : BID-50189, PR11-07, sk65460, VIGILANCE-VUL-11064.

Description de la vulnérabilité

L'interface WebUI de Check Point UTM-1 Edge et Safe@Office permet d'administrer l'appliance. Plusieurs vulnérabilités ont été annoncées dans WebUI.

Un attaquant peut provoquer plusieurs Cross Site Scripting. [grav:2/4]

Un attaquant peut provoquer plusieurs Cross Site Request Forgery. [grav:2/4]

Un attaquant peut provoquer une redirection web. [grav:1/4]

Un attaquant non authentifié peut obtenir de l'information. [grav:2/4]
Bulletin Vigil@nce complet... (Essai gratuit)

annonce de vulnérabilité informatique CVE-2007-5042 CVE-2007-5044 CVE-2007-5047

Norton Internet Security, Outpost, ZoneAlarm : corruption via SSDT hooking

Synthèse de la vulnérabilité

Un attaquant local peut provoquer un déni de service ou corrompre la mémoire de certains logiciels implémentant incorrectement le SSDT hooking.
Produits concernés : Outpost Firewall, ZoneAlarm, Norton Internet Security.
Gravité : 1/4.
Conséquences : accès/droits administrateur, déni de service du serveur.
Provenance : shell utilisateur.
Nombre de vulnérabilités dans ce bulletin : 3.
Date création : 19/09/2007.
Références : CVE-2007-5042, CVE-2007-5044, CVE-2007-5047, VIGILANCE-VUL-7177.

Description de la vulnérabilité

La table SSDT (System Service Descriptor Table) contient les références des appels système :
 - NtCreateKey : création d'une clé dans la base de registres
 - NtCreateThread : création d'un thread
 - NtDeleteFile : effacement d'un fichier
 - etc.

Les logiciels de sécurité redirigent les entrées de cette table vers des fonctions spécifiques. Cependant, ces fonctions ne vérifient pas correctement leur paramètres. Un attaquant local peut donc employer des attributs illicites afin de provoquer une erreur.

Cette vulnérabilité conduit à un déni de service, et éventuellement à l'exécution de code.

Les logiciels suivants ont été identifiés comme vulnérables :
 - BlackICE PC Protection 3.6.cqn
 - G DATA InternetSecurity 2007
 - Ghost Security Suite beta 1.110 and alpha 1.200
 - Kaspersky Internet Security 7.0.0.125
 - Norton Internet Security 2008 15.0.0.60
 - Online Armor Personal Firewall 2.0.1.215
 - Outpost Firewall Pro 4.0.1025.7828
 - Privatefirewall 5.0.14.2
 - Process Monitor 1.22
 - ProcessGuard 3.410
 - ProSecurity 1.40 Beta 2
 - RegMon 7.04
 - ZoneAlarm Pro 7.0.362.000

Ces vulnérabilités sont différentes de VIGILANCE-VUL-6271, VIGILANCE-VUL-6704 et VIGILANCE-VUL-6742.
Bulletin Vigil@nce complet... (Essai gratuit)

alerte de vulnérabilité CVE-2005-2932 CVE-2007-4216

ZoneAlarm : deux vulnérabilités

Synthèse de la vulnérabilité

Un attaquant local peut employer deux vulnérabilités afin de mener un déni de service ou de faire exécuter du code.
Produits concernés : ZoneAlarm.
Gravité : 2/4.
Conséquences : accès/droits administrateur, déni de service du serveur, déni de service du service.
Provenance : compte utilisateur.
Nombre de vulnérabilités dans ce bulletin : 2.
Date création : 21/08/2007.
Références : BID-25365, BID-25377, CERTA-2007-AVI-370, CVE-2005-2932, CVE-2007-4216, VIGILANCE-VUL-7111.

Description de la vulnérabilité

Deux vulnérabilités de ZoneAlarm peuvent être employées par un attaquant local.

Les ACL sur les fichiers installés sont trop permissives. Un attaquant local peut remplacer les programmes afin de faire exécuter du code avec les privilèges du système. [grav:2/4; CERTA-2007-AVI-370, CVE-2005-2932]

Le driver vsdatant.sys ne vérifie pas les adresses indiquées par les IOCTL 0x8400000F et 0x84000013. Un attaquant local peut donc le forcer à corrompre la mémoire. [grav:2/4; CVE-2007-4216]

Ces vulnérabilités permettent donc à un attaquant local de mener un déni de service ou de faire exécuter du code.
Bulletin Vigil@nce complet... (Essai gratuit)

avis de vulnérabilité informatique CVE-2007-2467

ZoneAlarm : corruption de mémoire de vsdatant

Synthèse de la vulnérabilité

Un attaquant local peut corrompre la mémoire du système via le driver vsdatant.
Produits concernés : ZoneAlarm.
Gravité : 2/4.
Conséquences : accès/droits administrateur, déni de service du serveur.
Provenance : shell utilisateur.
Date création : 02/05/2007.
Références : BID-23733, CVE-2007-2467, VIGILANCE-VUL-6779.

Description de la vulnérabilité

Le driver \Device\vsdatant est utilisé par Zone Alarm Non Plug and Play Device.

Ce driver ne vérifie pas les paramètres qu'il reçoit à l'adresse 0x8400002B, ce qui corrompt sa mémoire.

Cette erreur permet à un attaquant local de mener un déni de service et éventuellement d'exécuter du code.
Bulletin Vigil@nce complet... (Essai gratuit)

annonce de vulnérabilité informatique CVE-2007-2174

ZoneAlarm : corruption de mémoire de srescan.sys

Synthèse de la vulnérabilité

Un attaquant local peut employer deux IOCTL afin de corrompre la mémoire via le driver srescan.sys.
Produits concernés : ZoneAlarm.
Gravité : 2/4.
Conséquences : accès/droits administrateur, déni de service du serveur.
Provenance : shell utilisateur.
Date création : 23/04/2007.
Date révision : 24/04/2007.
Références : BID-23579, CVE-2007-2174, VIGILANCE-VUL-6757.

Description de la vulnérabilité

Le driver srescan.sys est utilisé par ZoneAlarm Spyware Removal Engine (SRE).

Ce driver ne vérifie pas les paramètres de deux de ses IOCTL:
 - 0x22208F : l'attaquant peut écrire en mémoire la valeur 0x00030000
 - 0x22208F : l'attaquant peut écrire en mémoire le contenu d'un buffer de ZwQuerySystemInformation()

Ces erreurs permettent à un attaquant local de mener un déni de service et éventuellement d'exécuter du code.
Bulletin Vigil@nce complet... (Essai gratuit)

annonce de vulnérabilité CVE-2007-2083

ZoneAlarm : corruption de mémoire via NtCreateKey et NtDeleteFile

Synthèse de la vulnérabilité

Un attaquant local peut employer les fonctions NtCreateKey() et NtDeleteFile() afin de mener un déni de service, et éventuellement d'exécuter du code.
Produits concernés : ZoneAlarm.
Gravité : 1/4.
Conséquences : accès/droits privilégié, déni de service du serveur.
Provenance : shell utilisateur.
Date création : 16/04/2007.
Références : BID-23494, CVE-2007-2083, VIGILANCE-VUL-6742.

Description de la vulnérabilité

La table SSDT (System Service Descriptor Table) contient les références des appels système :
 - NtCreateKey : création d'une clé dans la base de registres
 - NtCreateThread : création d'un thread
 - NtDeleteFile : effacement d'un fichier
 - etc.

ZoneAlarm redirige les entrées de cette table vers des fonctions spécifiques. Cependant, ces fonctions ne vérifient pas correctement les attributs des objets (paramètre de type OBJECT_ATTRIBUTES). Un attaquant local peut donc employer des attributs illicites afin de provoquer une erreur.

Cette vulnérabilité conduit à un déni de service, et éventuellement à l'exécution de code.
Bulletin Vigil@nce complet... (Essai gratuit)

bulletin de vulnérabilité informatique CVE-2006-3540

ZoneAlarm : déni de service via VETFDDNT\Enum

Synthèse de la vulnérabilité

Un attaquant local peut provoquer un déni de service lors de l'accès à la base de registre.
Produits concernés : CA Antivirus, ZoneAlarm, e-Trust Antivirus.
Gravité : 1/4.
Conséquences : déni de service du service.
Provenance : shell utilisateur.
Date création : 04/07/2006.
Références : Advisory 2006-07-01.01, BID-18789, CVE-2006-3540, VIGILANCE-VUL-5978.

Description de la vulnérabilité

Le produit ZoneAlarm Internet Security Suite est affecté par une vulnérabilité locale. Cette vulnérabilité pourrait aussi affecter l'antivirus Computer Associates eTrust, intégré à ce produit. Le produit ZoneAlarm Free/Pro ne semble pas affecté.

Les méthodes RegSaveKey, RegRestoreKey et RegDeleteKey sauvegardent, restorent et effacent une clé de la base de registre.

La clé HKLM\SYSTEM\CurrentControlSet\Services\VETFDDNT\Enum de la base de registre est utilisée par l'antivirus. Un attaquant local peut employer RegSaveKey, RegRestoreKey et RegDeleteKey pour perturber son driver afin de le stopper.

Cette vulnérabilité permet ainsi à un attaquant local de mener un déni de service.
Bulletin Vigil@nce complet... (Essai gratuit)

bulletin de vulnérabilité informatique CVE-2006-1221

ZoneAlarm : accroissement de privilèges avec TrueVector

Synthèse de la vulnérabilité

Un attaquant local peut accroître ses privilèges en forçant TrueVector à charger une DLL illicite.
Produits concernés : ZoneAlarm.
Gravité : 1/4.
Conséquences : accès/droits administrateur.
Provenance : shell utilisateur.
Date création : 09/03/2006.
Date révision : 10/03/2006.
Références : BID-17037, CVE-2006-1221, VIGILANCE-VUL-5678.

Description de la vulnérabilité

Le service TrueVector est utilisé par la majorité des produits Zone Labs. Ce service est exécuté sous le compte Local System.

Lors de son démarrage, ce service cherche à charger les bibliothèques suivantes :
 - VSUTIL_Loc0409_Oem8701.dll, VSUTIL_Oem8701.dll, VSUTIL_Loc0409.dll,
 - vsmon_Loc0409_Oem8701.dll, vsmon_Oem8701.dll, vsmon_Loc0409.dll
 - VSRULEDB_Loc0409_Oem8701.dll, VSRULEDB_Oem8701.dll, VSRULEDB_Loc0409.dll
 - av_Loc0409_Oem8701.dll, av_Oem8701.dll, av_Loc0409.dll
 - zlquarantine_Loc0409_Oem8701.dll, zlquarantine_Oem8701.dll, zlquarantine_Loc0409.dll
 - zlsre_Loc0409_Oem8701.dll, zlsre_Oem8701.dll, zlsre_Loc0409.dll
Cependant, le chemin complet des DLL n'est pas spécifié.

Ainsi, si l'attaquant peut déposer une DLL dans un des répertoires du path, le code qu'elle contient sera exécuté avec les droits Local System.

Cette vulnérabilité permet ainsi à un attaquant local d'accroître ses privilèges.
Bulletin Vigil@nce complet... (Essai gratuit)

annonce de vulnérabilité CVE-2005-3560

ZoneAlarm : contournement de "OS Firewall"

Synthèse de la vulnérabilité

Un attaquant local peut utiliser la méthode ShowHTMLDialog() pour envoyer des données sur un serveur externe, sans que la technologie "OS Firewall" ne le détecte.
Produits concernés : ZoneAlarm.
Gravité : 1/4.
Conséquences : transit de données.
Provenance : console utilisateur.
Date création : 08/11/2005.
Références : BID-15347, CVE-2005-3560, VIGILANCE-VUL-5342.

Description de la vulnérabilité

La technologie "OS Firewall" analyse les comportements des programmes et permet d'interdire à un programme d'envoyer des données à l'extérieur. Cela permet de bloquer les programmes illicites comme les virus, les backdoors, ou les vers.

La DLL mshtml.dll propose la méthode ShowHTMLDialog(). Cette méthode ouvre une page HTML. Cette page HTML peut par exemple contenir un programme JavaScript envoyant des données vers un serveur web.

Cependant, "OS Firewall" ne détecte pas ce type de connexion, et autorise donc le programme à envoyer des données sensibles sur un serveur externe.
Bulletin Vigil@nce complet... (Essai gratuit)
Notre base de données contient d'autres bulletins. Vous pouvez utiliser un essai gratuit pour les consulter.

Consulter les informations sur CheckPoint ZoneAlarm Pro :