L'équipe Vigil@nce veille les vulnérabilités publiques qui affectent votre parc informatique, puis propose des correctifs sécurité, une base et des outils pour y remédier.

Vulnérabilités informatiques de Google Chrome

alerte de vulnérabilité CVE-2016-1651 CVE-2016-1652 CVE-2016-1653

Google Chrome : multiples vulnérabilités

Synthèse de la vulnérabilité

Un attaquant peut employer plusieurs vulnérabilités de Google Chrome.
Produits concernés : Debian, Chrome, openSUSE, openSUSE Leap, Opera, RHEL, Ubuntu.
Gravité : 4/4.
Conséquences : accès/droits utilisateur, lecture de données, création/modification de données, déni de service du client.
Provenance : document.
Confiance : confirmé par l'éditeur (5/5).
Date création : 14/04/2016.
Références : CERTFR-2016-AVI-127, CVE-2016-1651, CVE-2016-1652, CVE-2016-1653, CVE-2016-1654, CVE-2016-1655, CVE-2016-1656, CVE-2016-1657, CVE-2016-1658, CVE-2016-1659, DSA-3549-1, openSUSE-SU-2016:1061-1, openSUSE-SU-2016:1135-1, openSUSE-SU-2016:1136-1, RHSA-2016:0638-01, USN-2955-1, VIGILANCE-VUL-19381, ZDI-16-243.

Description de la vulnérabilité

Plusieurs vulnérabilités ont été annoncées dans Google Chrome.

Un attaquant peut provoquer un Cross Site Scripting dans Extension Bindings, afin d'exécuter du code JavaScript dans le contexte du site web. [grav:2/4; CVE-2016-1652]

Un attaquant peut provoquer un buffer overflow dans V8, afin de mener un déni de service, et éventuellement d'exécuter du code. [grav:4/4; CVE-2016-1653]

Un attaquant peut forcer la lecture à une adresse invalide dans Pdfium JPEG2000, afin de mener un déni de service, ou d'obtenir des informations sensibles. [grav:2/4; CVE-2016-1651, ZDI-16-243]

Un attaquant peut lire un fragment de la mémoire de Media, afin d'obtenir des informations sensibles. [grav:2/4; CVE-2016-1654]

Un attaquant peut provoquer l'utilisation d'une zone mémoire libérée dans Extensions, afin de mener un déni de service, et éventuellement d'exécuter du code. [grav:3/4; CVE-2016-1655]

Une vulnérabilité inconnue a été annoncée dans File Path Restriction. [grav:2/4; CVE-2016-1656]

Un attaquant peut usurper la barre d'adresse. [grav:2/4; CVE-2016-1657]

Un attaquant peut contourner les mesures de sécurité dans Extensions, afin d'obtenir des informations sensibles. [grav:2/4; CVE-2016-1658]

Un attaquant peut provoquer une corruption de mémoire, afin de mener un déni de service, et éventuellement d'exécuter du code. [grav:4/4; CVE-2016-1659]
Bulletin Vigil@nce complet.... (Essai gratuit)

alerte de vulnérabilité informatique CVE-2016-3679

V8 : multiples vulnérabilités

Synthèse de la vulnérabilité

Un attaquant peut employer plusieurs vulnérabilités de V8.
Produits concernés : Chrome, openSUSE, openSUSE Leap, Opera, SUSE Linux Enterprise Desktop, SLES, Ubuntu.
Gravité : 2/4.
Conséquences : conséquence inconnue, accès/droits administrateur, accès/droits privilégié, accès/droits utilisateur, accès/droits client, lecture de données, création/modification de données, effacement de données, transit de données, déni de service du serveur, déni de service du service, déni de service du client, camouflage.
Provenance : document.
Confiance : confirmé par l'éditeur (5/5).
Date création : 30/03/2016.
Références : CVE-2016-3679, openSUSE-SU-2016:0929-1, openSUSE-SU-2016:0930-1, openSUSE-SU-2016:1059-1, USN-2955-1, VIGILANCE-VUL-19266.

Description de la vulnérabilité

Plusieurs vulnérabilités ont été annoncées dans V8.
Bulletin Vigil@nce complet.... (Essai gratuit)

bulletin de vulnérabilité CVE-2016-1646 CVE-2016-1647 CVE-2016-1648

Google Chrome : cinq vulnérabilités

Synthèse de la vulnérabilité

Un attaquant peut employer plusieurs vulnérabilités de Google Chrome.
Produits concernés : Debian, Chrome, openSUSE, openSUSE Leap, Opera, RHEL, SUSE Linux Enterprise Desktop, SLES, Ubuntu.
Gravité : 4/4.
Conséquences : accès/droits utilisateur, lecture de données, déni de service du client.
Provenance : document.
Confiance : confirmé par l'éditeur (5/5).
Date création : 25/03/2016.
Références : CERTFR-2016-AVI-109, CVE-2016-1646, CVE-2016-1647, CVE-2016-1648, CVE-2016-1649, CVE-2016-1650, DSA-3531-1, openSUSE-SU-2016:0929-1, openSUSE-SU-2016:0930-1, openSUSE-SU-2016:1059-1, RHSA-2016:0525-01, USN-2955-1, VIGILANCE-VUL-19243, ZDI-16-224.

Description de la vulnérabilité

Plusieurs vulnérabilités ont été annoncées dans Google Chrome.

Un attaquant peut forcer la lecture à une adresse invalide dans V8, afin de mener un déni de service, ou d'obtenir des informations sensibles. [grav:3/4; CVE-2016-1646]

Un attaquant peut provoquer l'utilisation d'une zone mémoire libérée dans Navigation, afin de mener un déni de service, et éventuellement d'exécuter du code. [grav:4/4; CVE-2016-1647]

Un attaquant peut provoquer l'utilisation d'une zone mémoire libérée dans Extensions, afin de mener un déni de service, et éventuellement d'exécuter du code. [grav:4/4; CVE-2016-1648]

Un attaquant peut provoquer un buffer overflow dans libANGLE, afin de mener un déni de service, et éventuellement d'exécuter du code. [grav:4/4; CVE-2016-1649, ZDI-16-224]

Un attaquant peut provoquer une corruption de mémoire, afin de mener un déni de service, et éventuellement d'exécuter du code. [grav:4/4; CVE-2016-1650]
Bulletin Vigil@nce complet.... (Essai gratuit)

annonce de vulnérabilité informatique CVE-2016-1643 CVE-2016-1644 CVE-2016-1645

Google Chrome : trois vulnérabilités

Synthèse de la vulnérabilité

Un attaquant peut employer plusieurs vulnérabilités de Google Chrome.
Produits concernés : Debian, Chrome, openSUSE, openSUSE Leap, Opera, RHEL, SUSE Linux Enterprise Desktop, SLES, Ubuntu.
Gravité : 3/4.
Conséquences : accès/droits utilisateur, déni de service du client.
Provenance : document.
Confiance : confirmé par l'éditeur (5/5).
Date création : 09/03/2016.
Références : CERTFR-2016-AVI-092, CVE-2016-1643, CVE-2016-1644, CVE-2016-1645, DSA-3513-1, openSUSE-SU-2016:0817-1, openSUSE-SU-2016:0818-1, openSUSE-SU-2016:0828-1, RHSA-2016:0429-01, USN-2920-1, VIGILANCE-VUL-19137, ZDI-16-197.

Description de la vulnérabilité

Plusieurs vulnérabilités ont été annoncées dans Google Chrome.

Un attaquant peut provoquer une corruption de mémoire dans Blink, afin de mener un déni de service, et éventuellement d'exécuter du code. [grav:3/4; CVE-2016-1643]

Un attaquant peut provoquer l'utilisation d'une zone mémoire libérée dans Blink, afin de mener un déni de service, et éventuellement d'exécuter du code. [grav:3/4; CVE-2016-1644]

Un attaquant peut provoquer un buffer overflow dans PDFium, afin de mener un déni de service, et éventuellement d'exécuter du code. [grav:3/4; CVE-2016-1645, ZDI-16-197]
Bulletin Vigil@nce complet.... (Essai gratuit)

bulletin de vulnérabilité CVE-2015-8126 CVE-2016-1630 CVE-2016-1631

Google Chrome : multiples vulnérabilités

Synthèse de la vulnérabilité

Un attaquant peut employer plusieurs vulnérabilités de Google Chrome.
Produits concernés : Debian, Chrome, openSUSE, openSUSE Leap, Opera, RHEL, SUSE Linux Enterprise Desktop, SLES, Ubuntu.
Gravité : 3/4.
Conséquences : accès/droits utilisateur, lecture de données, création/modification de données.
Provenance : document.
Confiance : confirmé par l'éditeur (5/5).
Date création : 03/03/2016.
Références : CERTFR-2016-AVI-078, CVE-2015-8126, CVE-2016-1630, CVE-2016-1631, CVE-2016-1632, CVE-2016-1633, CVE-2016-1634, CVE-2016-1635, CVE-2016-1636, CVE-2016-1637, CVE-2016-1638, CVE-2016-1639, CVE-2016-1640, CVE-2016-1641, CVE-2016-1642, CVE-2016-2843, CVE-2016-2844, CVE-2016-2845, DSA-3507-1, openSUSE-SU-2016:0664-1, openSUSE-SU-2016:0684-1, openSUSE-SU-2016:0729-1, RHSA-2016:0359-01, SUSE-SU-2016:0665-1, USN-2920-1, VIGILANCE-VUL-19093.

Description de la vulnérabilité

Plusieurs vulnérabilités ont été annoncées dans Google Chrome.

Un attaquant peut contourner les mesures de sécurité dans Blink, afin d'élever ses privilèges. [grav:3/4; CVE-2016-1630]

Un attaquant peut contourner les mesures de sécurité dans Pepper Plugin, afin d'élever ses privilèges. [grav:3/4; CVE-2016-1631]

Un attaquant peut provoquer une corruption de mémoire dans Extensions, afin de mener un déni de service, et éventuellement d'exécuter du code. [grav:3/4; CVE-2016-1632]

Un attaquant peut provoquer l'utilisation d'une zone mémoire libérée dans Blink, afin de mener un déni de service, et éventuellement d'exécuter du code. [grav:3/4; CVE-2016-1633]

Un attaquant peut provoquer l'utilisation d'une zone mémoire libérée dans Blink, afin de mener un déni de service, et éventuellement d'exécuter du code. [grav:3/4; CVE-2016-1634]

Un attaquant peut provoquer l'utilisation d'une zone mémoire libérée dans Blink, afin de mener un déni de service, et éventuellement d'exécuter du code. [grav:3/4; CVE-2016-1635]

Un attaquant peut contourner les mesures de sécurité dans SRI Validation, afin d'élever ses privilèges. [grav:3/4; CVE-2016-1636]

Un attaquant peut provoquer un buffer overflow dans libpng, afin de mener un déni de service, et éventuellement d'exécuter du code (VIGILANCE-VUL-18301). [grav:3/4; CVE-2015-8126]

Un attaquant peut contourner les mesures de sécurité dans Skia, afin d'obtenir des informations sensibles. [grav:2/4; CVE-2016-1637]

Un attaquant peut contourner les mesures de sécurité dans WebAPI, afin d'élever ses privilèges. [grav:2/4; CVE-2016-1638]

Un attaquant peut provoquer l'utilisation d'une zone mémoire libérée dans WebRTC, afin de mener un déni de service, et éventuellement d'exécuter du code. [grav:2/4; CVE-2016-1639]

Un attaquant peut contourner les mesures de sécurité dans Extensions UI, afin d'élever ses privilèges. [grav:2/4; CVE-2016-1640]

Un attaquant peut provoquer l'utilisation d'une zone mémoire libérée dans Favicon, afin de mener un déni de service, et éventuellement d'exécuter du code. [grav:2/4; CVE-2016-1641]

Un attaquant peut provoquer une corruption de mémoire, afin de mener un déni de service, et éventuellement d'exécuter du code. [grav:3/4; CVE-2016-1642]

Un attaquant peut provoquer une corruption de mémoire dans V8, afin de mener un déni de service, et éventuellement d'exécuter du code. [grav:3/4; CVE-2016-2843]

Un attaquant peut provoquer une erreur fatale dans Blink, afin de mener un déni de service. [grav:2/4; CVE-2016-2844]

Un attaquant peut contourner les mesures de sécurité dans Blink, afin d'obtenir des informations sensibles. [grav:2/4; CVE-2016-2845]
Bulletin Vigil@nce complet.... (Essai gratuit)

bulletin de vulnérabilité CVE-2016-1629

Google Chrome : élévation de privilèges via Blink/Sandbox

Synthèse de la vulnérabilité

Un attaquant peut contourner la sécurité de Blink/Sandbox de Google Chrome, afin d'exécuter du code sur l'ordinateur de la victime.
Produits concernés : Debian, Chrome, openSUSE, openSUSE Leap, Opera, RHEL, SUSE Linux Enterprise Desktop, SLES, Ubuntu.
Gravité : 4/4.
Conséquences : accès/droits utilisateur.
Provenance : document.
Confiance : confirmé par l'éditeur (5/5).
Date création : 19/02/2016.
Références : CERTFR-2016-AVI-068, CVE-2016-1629, DSA-3486-1, openSUSE-SU-2016:0520-1, openSUSE-SU-2016:0525-1, openSUSE-SU-2016:0529-1, RHSA-2016:0286-01, USN-2905-1, VIGILANCE-VUL-18983.

Description de la vulnérabilité

Le produit Google Chrome utilise le moteur de rendu HTML Blink

Cependant, un document peut contourner les restrictions de même origine de Blink, et ensuite sortir du bac à sable.

Un attaquant peut donc contourner la sécurité de Blink/Sandbox de Google Chrome, afin d'exécuter du code sur l'ordinateur de la victime.
Bulletin Vigil@nce complet.... (Essai gratuit)

annonce de vulnérabilité CVE-2016-1622 CVE-2016-1623 CVE-2016-1624

Google Chrome : sept vulnérabilités

Synthèse de la vulnérabilité

Un attaquant peut employer plusieurs vulnérabilités de Google Chrome.
Produits concernés : Debian, Chrome, openSUSE, Opera, RHEL, SUSE Linux Enterprise Desktop, SLES, Ubuntu.
Gravité : 4/4.
Conséquences : accès/droits utilisateur, accès/droits client, lecture de données, déni de service du client.
Provenance : document.
Confiance : confirmé par l'éditeur (5/5).
Date création : 10/02/2016.
Références : CERTFR-2016-AVI-053, CVE-2016-1622, CVE-2016-1623, CVE-2016-1624, CVE-2016-1625, CVE-2016-1626, CVE-2016-1627, CVE-2016-1628, DSA-3486-1, openSUSE-SU-2016:0491-1, openSUSE-SU-2016:0518-1, RHSA-2016:0241-01, USN-2895-1, VIGILANCE-VUL-18922, ZDI-16-171, ZDI-16-172.

Description de la vulnérabilité

Plusieurs vulnérabilités ont été annoncées dans Google Chrome.

Un attaquant peut contourner la politique de même origine dans des extensions. Cette politique définit à quoi un script a accès dans les pages. [grav:3/4; CVE-2016-1622]

Un attaquant peut contourner la politique de même origine dans l'interface DOM. Cette politique définit à quoi un script a accès dans les pages. [grav:3/4; CVE-2016-1623]

Un attaquant peut provoquer un buffer overflow dans Brotli, afin de mener un déni de service, et éventuellement d'exécuter du code. [grav:3/4; CVE-2016-1624]

Une vulnérabilité inconnue a été annoncée dans Chrome Instant. [grav:2/4; CVE-2016-1625]

Un attaquant peut forcer la lecture à une adresse invalide dans PDFium, afin de mener un déni de service. [grav:2/4; CVE-2016-1626, ZDI-16-171]

Un attaquant peut forcer la lecture à une adresse invalide dans PDFium, afin de mener un déni de service (VIGILANCE-VUL-24292). [grav:2/4; CVE-2016-1628, ZDI-16-172]

Un attaquant peut provoquer une corruption de mémoire, afin de mener un déni de service, et éventuellement d'exécuter du code. [grav:4/4; CVE-2016-1627]
Bulletin Vigil@nce complet.... (Essai gratuit)

avis de vulnérabilité informatique CVE-2015-8045 CVE-2015-8047 CVE-2015-8048

Adobe Flash Player : multiples vulnérabilités

Synthèse de la vulnérabilité

Un attaquant peut employer plusieurs vulnérabilités de Adobe Flash Player.
Produits concernés : Flash Player, Chrome, Edge, IE, openSUSE, Opera, RHEL, SUSE Linux Enterprise Desktop, SLES.
Gravité : 4/4.
Conséquences : accès/droits utilisateur, déni de service du client.
Provenance : document.
Confiance : confirmé par l'éditeur (5/5).
Date création : 08/12/2015.
Date révision : 05/02/2016.
Références : 2755801, 581, 611, APSB15-32, CERTFR-2015-AVI-536, CVE-2015-8045, CVE-2015-8047, CVE-2015-8048, CVE-2015-8049, CVE-2015-8050, CVE-2015-8051-ERROR, CVE-2015-8052-ERROR, CVE-2015-8053-ERROR, CVE-2015-8055, CVE-2015-8056, CVE-2015-8057, CVE-2015-8058, CVE-2015-8059, CVE-2015-8060, CVE-2015-8061, CVE-2015-8062, CVE-2015-8063, CVE-2015-8064, CVE-2015-8065, CVE-2015-8066, CVE-2015-8067, CVE-2015-8068, CVE-2015-8069, CVE-2015-8070, CVE-2015-8071, CVE-2015-8401, CVE-2015-8402, CVE-2015-8403, CVE-2015-8404, CVE-2015-8405, CVE-2015-8406, CVE-2015-8407, CVE-2015-8408, CVE-2015-8409, CVE-2015-8410, CVE-2015-8411, CVE-2015-8412, CVE-2015-8413, CVE-2015-8414, CVE-2015-8415, CVE-2015-8416, CVE-2015-8417, CVE-2015-8418, CVE-2015-8419, CVE-2015-8420, CVE-2015-8421, CVE-2015-8422, CVE-2015-8423, CVE-2015-8424, CVE-2015-8425, CVE-2015-8426, CVE-2015-8427, CVE-2015-8428, CVE-2015-8429, CVE-2015-8430, CVE-2015-8431, CVE-2015-8432, CVE-2015-8433, CVE-2015-8434, CVE-2015-8435, CVE-2015-8436, CVE-2015-8437, CVE-2015-8438, CVE-2015-8439, CVE-2015-8440, CVE-2015-8441, CVE-2015-8442, CVE-2015-8443, CVE-2015-8444, CVE-2015-8445, CVE-2015-8446, CVE-2015-8447, CVE-2015-8448, CVE-2015-8449, CVE-2015-8450, CVE-2015-8451, CVE-2015-8452, CVE-2015-8453, CVE-2015-8454, CVE-2015-8455, CVE-2015-8456, CVE-2015-8457, CVE-2015-8652, CVE-2015-8653, CVE-2015-8654, CVE-2015-8655, CVE-2015-8656, CVE-2015-8657, CVE-2015-8658, CVE-2015-8820, CVE-2015-8821, CVE-2015-8822, CVE-2015-8823, openSUSE-SU-2015:2239-1, RHSA-2015:2593-01, SUSE-SU-2015:2236-1, SUSE-SU-2015:2247-1, VIGILANCE-VUL-18479, ZDI-15-601, ZDI-15-602, ZDI-15-603, ZDI-15-604, ZDI-15-605, ZDI-15-606, ZDI-15-607, ZDI-15-608, ZDI-15-609, ZDI-15-610, ZDI-15-611, ZDI-15-612, ZDI-15-613, ZDI-15-614, ZDI-15-636.

Description de la vulnérabilité

Plusieurs vulnérabilités ont été annoncées dans Adobe Flash Player.

Un attaquant peut provoquer un buffer overflow, afin de mener un déni de service, et éventuellement d'exécuter du code. [grav:4/4; CVE-2015-8438, ZDI-15-605]

Un attaquant peut provoquer un buffer overflow, afin de mener un déni de service, et éventuellement d'exécuter du code. [grav:4/4; CVE-2015-8446, ZDI-15-609]

Un attaquant peut provoquer une corruption de mémoire, afin de mener un déni de service, et éventuellement d'exécuter du code. [grav:4/4; CVE-2015-8444]

Un attaquant peut provoquer une corruption de mémoire, afin de mener un déni de service, et éventuellement d'exécuter du code. [grav:4/4; CVE-2015-8443]

Un attaquant peut provoquer une corruption de mémoire, afin de mener un déni de service, et éventuellement d'exécuter du code. [grav:4/4; CVE-2015-8417]

Un attaquant peut provoquer une corruption de mémoire, afin de mener un déni de service, et éventuellement d'exécuter du code. [grav:4/4; CVE-2015-8416]

Un attaquant peut provoquer une corruption de mémoire, afin de mener un déni de service, et éventuellement d'exécuter du code. [grav:4/4; CVE-2015-8451]

Un attaquant peut provoquer une corruption de mémoire, afin de mener un déni de service, et éventuellement d'exécuter du code. [grav:4/4; CVE-2015-8047]

Un attaquant peut provoquer une corruption de mémoire, afin de mener un déni de service, et éventuellement d'exécuter du code. [grav:4/4; CVE-2015-8053-ERROR, CVE-2015-8455]

Un attaquant peut provoquer une corruption de mémoire, afin de mener un déni de service, et éventuellement d'exécuter du code. [grav:4/4; CVE-2015-8045]

Un attaquant peut provoquer une corruption de mémoire, afin de mener un déni de service, et éventuellement d'exécuter du code. [grav:4/4; CVE-2015-8051-ERROR, CVE-2015-8418]

Un attaquant peut provoquer une corruption de mémoire, afin de mener un déni de service, et éventuellement d'exécuter du code. [grav:4/4; CVE-2015-8060]

Un attaquant peut provoquer une corruption de mémoire, afin de mener un déni de service, et éventuellement d'exécuter du code. [grav:4/4; CVE-2015-8419]

Un attaquant peut provoquer une corruption de mémoire, afin de mener un déni de service, et éventuellement d'exécuter du code. [grav:4/4; CVE-2015-8408]

Un attaquant peut contourner les mesures de sécurité, afin d'élever ses privilèges. [grav:2/4; CVE-2015-8453, ZDI-15-614]

Un attaquant peut contourner les mesures de sécurité, afin d'élever ses privilèges. [grav:2/4; CVE-2015-8440]

Un attaquant peut contourner les mesures de sécurité, afin d'élever ses privilèges. [grav:2/4; CVE-2015-8409]

Un attaquant peut provoquer un buffer overflow, afin de mener un déni de service, et éventuellement d'exécuter du code. [grav:4/4; CVE-2015-8407]

Un attaquant peut provoquer une corruption de mémoire, afin de mener un déni de service, et éventuellement d'exécuter du code. [grav:4/4; CVE-2015-8439, ZDI-15-606]

Un attaquant peut provoquer un débordement d'entier, afin de mener un déni de service, et éventuellement d'exécuter du code. [grav:4/4; CVE-2015-8445, ZDI-15-608]

Un attaquant peut provoquer un buffer overflow, afin de mener un déni de service, et éventuellement d'exécuter du code. [grav:4/4; CVE-2015-8415]

Un attaquant peut provoquer l'utilisation d'une zone mémoire libérée, afin de mener un déni de service, et éventuellement d'exécuter du code. [grav:4/4; CVE-2015-8050, ZDI-15-602]

Un attaquant peut provoquer l'utilisation d'une zone mémoire libérée, afin de mener un déni de service, et éventuellement d'exécuter du code. [grav:4/4; CVE-2015-8049, ZDI-15-601]

Un attaquant peut provoquer l'utilisation d'une zone mémoire libérée, afin de mener un déni de service, et éventuellement d'exécuter du code. [grav:4/4; CVE-2015-8437, ZDI-15-604]

Un attaquant peut provoquer l'utilisation d'une zone mémoire libérée, afin de mener un déni de service, et éventuellement d'exécuter du code. [grav:4/4; CVE-2015-8450, ZDI-15-613]

Un attaquant peut provoquer l'utilisation d'une zone mémoire libérée, afin de mener un déni de service, et éventuellement d'exécuter du code. [grav:4/4; CVE-2015-8449, ZDI-15-612]

Un attaquant peut provoquer l'utilisation d'une zone mémoire libérée, afin de mener un déni de service, et éventuellement d'exécuter du code. [grav:4/4; CVE-2015-8448, ZDI-15-611]

Un attaquant peut provoquer l'utilisation d'une zone mémoire libérée, afin de mener un déni de service, et éventuellement d'exécuter du code. [grav:4/4; CVE-2015-8436, ZDI-15-603]

Un attaquant peut provoquer l'utilisation d'une zone mémoire libérée, afin de mener un déni de service, et éventuellement d'exécuter du code. [grav:4/4; CVE-2015-8452]

Un attaquant peut provoquer l'utilisation d'une zone mémoire libérée, afin de mener un déni de service, et éventuellement d'exécuter du code. [grav:4/4; CVE-2015-8048]

Un attaquant peut provoquer l'utilisation d'une zone mémoire libérée, afin de mener un déni de service, et éventuellement d'exécuter du code. [grav:4/4; CVE-2015-8413]

Un attaquant peut provoquer l'utilisation d'une zone mémoire libérée, afin de mener un déni de service, et éventuellement d'exécuter du code. [grav:4/4; CVE-2015-8412]

Un attaquant peut provoquer l'utilisation d'une zone mémoire libérée, afin de mener un déni de service, et éventuellement d'exécuter du code. [grav:4/4; CVE-2015-8410]

Un attaquant peut provoquer l'utilisation d'une zone mémoire libérée, afin de mener un déni de service, et éventuellement d'exécuter du code. [grav:4/4; CVE-2015-8411]

Un attaquant peut provoquer l'utilisation d'une zone mémoire libérée, afin de mener un déni de service, et éventuellement d'exécuter du code. [grav:4/4; CVE-2015-8424]

Un attaquant peut provoquer l'utilisation d'une zone mémoire libérée, afin de mener un déni de service, et éventuellement d'exécuter du code. [grav:4/4; CVE-2015-8422]

Un attaquant peut provoquer l'utilisation d'une zone mémoire libérée, afin de mener un déni de service, et éventuellement d'exécuter du code. [grav:4/4; CVE-2015-8420]

Un attaquant peut provoquer l'utilisation d'une zone mémoire libérée, afin de mener un déni de service, et éventuellement d'exécuter du code. [grav:4/4; CVE-2015-8421]

Un attaquant peut provoquer l'utilisation d'une zone mémoire libérée, afin de mener un déni de service, et éventuellement d'exécuter du code. [grav:4/4; CVE-2015-8423]

Un attaquant peut provoquer l'utilisation d'une zone mémoire libérée, afin de mener un déni de service, et éventuellement d'exécuter du code. [grav:4/4; CVE-2015-8425]

Un attaquant peut provoquer l'utilisation d'une zone mémoire libérée, afin de mener un déni de service, et éventuellement d'exécuter du code. [grav:4/4; CVE-2015-8433]

Un attaquant peut provoquer l'utilisation d'une zone mémoire libérée, afin de mener un déni de service, et éventuellement d'exécuter du code. [grav:4/4; CVE-2015-8432]

Un attaquant peut provoquer l'utilisation d'une zone mémoire libérée, afin de mener un déni de service, et éventuellement d'exécuter du code. [grav:4/4; CVE-2015-8431]

Un attaquant peut provoquer l'utilisation d'une zone mémoire libérée, afin de mener un déni de service, et éventuellement d'exécuter du code. [grav:4/4; CVE-2015-8426]

Un attaquant peut provoquer l'utilisation d'une zone mémoire libérée, afin de mener un déni de service, et éventuellement d'exécuter du code. [grav:4/4; CVE-2015-8430]

Un attaquant peut provoquer l'utilisation d'une zone mémoire libérée, afin de mener un déni de service, et éventuellement d'exécuter du code. [grav:4/4; CVE-2015-8427]

Un attaquant peut provoquer l'utilisation d'une zone mémoire libérée, afin de mener un déni de service, et éventuellement d'exécuter du code. [grav:4/4; CVE-2015-8428]

Un attaquant peut provoquer l'utilisation d'une zone mémoire libérée, afin de mener un déni de service, et éventuellement d'exécuter du code. [grav:4/4; CVE-2015-8429]

Un attaquant peut provoquer l'utilisation d'une zone mémoire libérée, afin de mener un déni de service, et éventuellement d'exécuter du code. [grav:4/4; CVE-2015-8434]

Un attaquant peut provoquer l'utilisation d'une zone mémoire libérée, afin de mener un déni de service, et éventuellement d'exécuter du code. [grav:4/4; CVE-2015-8435]

Un attaquant peut provoquer l'utilisation d'une zone mémoire libérée, afin de mener un déni de service, et éventuellement d'exécuter du code. [grav:4/4; CVE-2015-8414]

Un attaquant peut provoquer l'utilisation d'une zone mémoire libérée, afin de mener un déni de service, et éventuellement d'exécuter du code. [grav:4/4; CVE-2015-8052-ERROR, CVE-2015-8454]

Un attaquant peut provoquer l'utilisation d'une zone mémoire libérée, afin de mener un déni de service, et éventuellement d'exécuter du code. [grav:4/4; CVE-2015-8059]

Un attaquant peut provoquer l'utilisation d'une zone mémoire libérée, afin de mener un déni de service, et éventuellement d'exécuter du code. [grav:4/4; CVE-2015-8058]

Un attaquant peut provoquer l'utilisation d'une zone mémoire libérée, afin de mener un déni de service, et éventuellement d'exécuter du code. [grav:4/4; CVE-2015-8055]

Un attaquant peut provoquer l'utilisation d'une zone mémoire libérée, afin de mener un déni de service, et éventuellement d'exécuter du code. [grav:4/4; CVE-2015-8057]

Un attaquant peut provoquer l'utilisation d'une zone mémoire libérée, afin de mener un déni de service, et éventuellement d'exécuter du code. [grav:4/4; CVE-2015-8056]

Un attaquant peut provoquer l'utilisation d'une zone mémoire libérée, afin de mener un déni de service, et éventuellement d'exécuter du code. [grav:4/4; CVE-2015-8061]

Un attaquant peut provoquer l'utilisation d'une zone mémoire libérée, afin de mener un déni de service, et éventuellement d'exécuter du code. [grav:4/4; CVE-2015-8067]

Un attaquant peut provoquer l'utilisation d'une zone mémoire libérée, afin de mener un déni de service, et éventuellement d'exécuter du code. [grav:4/4; CVE-2015-8066]

Un attaquant peut provoquer l'utilisation d'une zone mémoire libérée, afin de mener un déni de service, et éventuellement d'exécuter du code. [grav:4/4; CVE-2015-8062]

Un attaquant peut provoquer l'utilisation d'une zone mémoire libérée, afin de mener un déni de service, et éventuellement d'exécuter du code. [grav:4/4; CVE-2015-8068]

Un attaquant peut provoquer l'utilisation d'une zone mémoire libérée, afin de mener un déni de service, et éventuellement d'exécuter du code. [grav:4/4; CVE-2015-8064]

Un attaquant peut provoquer l'utilisation d'une zone mémoire libérée, afin de mener un déni de service, et éventuellement d'exécuter du code. [grav:4/4; CVE-2015-8065]

Un attaquant peut provoquer l'utilisation d'une zone mémoire libérée, afin de mener un déni de service, et éventuellement d'exécuter du code. [grav:4/4; CVE-2015-8063]

Un attaquant peut provoquer l'utilisation d'une zone mémoire libérée, afin de mener un déni de service, et éventuellement d'exécuter du code. [grav:4/4; CVE-2015-8405]

Un attaquant peut provoquer l'utilisation d'une zone mémoire libérée, afin de mener un déni de service, et éventuellement d'exécuter du code. [grav:4/4; CVE-2015-8404]

Un attaquant peut provoquer l'utilisation d'une zone mémoire libérée, afin de mener un déni de service, et éventuellement d'exécuter du code. [grav:4/4; CVE-2015-8402]

Un attaquant peut provoquer l'utilisation d'une zone mémoire libérée, afin de mener un déni de service, et éventuellement d'exécuter du code. [grav:4/4; CVE-2015-8403]

Un attaquant peut provoquer l'utilisation d'une zone mémoire libérée, afin de mener un déni de service, et éventuellement d'exécuter du code. [grav:4/4; CVE-2015-8071]

Un attaquant peut provoquer l'utilisation d'une zone mémoire libérée, afin de mener un déni de service, et éventuellement d'exécuter du code. [grav:4/4; CVE-2015-8401]

Un attaquant peut provoquer l'utilisation d'une zone mémoire libérée, afin de mener un déni de service, et éventuellement d'exécuter du code. [grav:4/4; CVE-2015-8406]

Un attaquant peut provoquer l'utilisation d'une zone mémoire libérée, afin de mener un déni de service, et éventuellement d'exécuter du code. [grav:4/4; CVE-2015-8069]

Un attaquant peut provoquer l'utilisation d'une zone mémoire libérée, afin de mener un déni de service, et éventuellement d'exécuter du code. [grav:4/4; CVE-2015-8070]

Un attaquant peut provoquer l'utilisation d'une zone mémoire libérée, afin de mener un déni de service, et éventuellement d'exécuter du code. [grav:4/4; CVE-2015-8441]

Un attaquant peut provoquer l'utilisation d'une zone mémoire libérée, afin de mener un déni de service, et éventuellement d'exécuter du code. [grav:4/4; CVE-2015-8442, ZDI-15-607]

Un attaquant peut provoquer l'utilisation d'une zone mémoire libérée, afin de mener un déni de service, et éventuellement d'exécuter du code. [grav:4/4; CVE-2015-8447, ZDI-15-610]

Un attaquant peut provoquer une corruption de mémoire, afin de mener un déni de service, et éventuellement d'exécuter du code. [grav:4/4; CVE-2015-8456]

Un attaquant peut provoquer un buffer overflow, afin de mener un déni de service, et éventuellement d'exécuter du code. [grav:4/4; CVE-2015-8457, ZDI-15-636]

Un attaquant peut provoquer une corruption de mémoire, afin de mener un déni de service, et éventuellement d'exécuter du code. [grav:4/4; CVE-2015-8652]

Un attaquant peut provoquer une corruption de mémoire, afin de mener un déni de service, et éventuellement d'exécuter du code. [grav:4/4; CVE-2015-8654]

Un attaquant peut provoquer une corruption de mémoire, afin de mener un déni de service, et éventuellement d'exécuter du code. [grav:4/4; CVE-2015-8656]

Un attaquant peut provoquer une corruption de mémoire, afin de mener un déni de service, et éventuellement d'exécuter du code. [grav:4/4; CVE-2015-8657]

Un attaquant peut provoquer une corruption de mémoire, afin de mener un déni de service, et éventuellement d'exécuter du code. [grav:4/4; CVE-2015-8658]

Un attaquant peut provoquer l'utilisation d'une zone mémoire libérée, afin de mener un déni de service, et éventuellement d'exécuter du code. [grav:4/4; CVE-2015-8653]

Un attaquant peut provoquer l'utilisation d'une zone mémoire libérée, afin de mener un déni de service, et éventuellement d'exécuter du code. [grav:4/4; CVE-2015-8655]

Un attaquant peut provoquer une corruption de mémoire, afin de mener un déni de service, et éventuellement d'exécuter du code. [grav:4/4; CVE-2015-8820]

Un attaquant peut provoquer l'utilisation d'une zone mémoire libérée, afin de mener un déni de service, et éventuellement d'exécuter du code. [grav:4/4; CVE-2015-8821]

Un attaquant peut provoquer l'utilisation d'une zone mémoire libérée, afin de mener un déni de service, et éventuellement d'exécuter du code. [grav:4/4; CVE-2015-8822]

Un attaquant peut provoquer l'utilisation d'une zone mémoire libérée, afin de mener un déni de service, et éventuellement d'exécuter du code. [grav:4/4; CVE-2015-8823]
Bulletin Vigil@nce complet.... (Essai gratuit)

vulnérabilité informatique CVE-2016-1612 CVE-2016-1613 CVE-2016-1614

Google Chrome : multiples vulnérabilités

Synthèse de la vulnérabilité

Un attaquant peut employer plusieurs vulnérabilités de Google Chrome.
Produits concernés : Debian, Chrome, openSUSE, openSUSE Leap, Opera, RHEL, SUSE Linux Enterprise Desktop, SLES, Ubuntu.
Gravité : 4/4.
Conséquences : accès/droits utilisateur, lecture de données.
Provenance : document.
Confiance : confirmé par l'éditeur (5/5).
Date création : 21/01/2016.
Références : CVE-2016-1612, CVE-2016-1613, CVE-2016-1614, CVE-2016-1615, CVE-2016-1616, CVE-2016-1617, CVE-2016-1618, CVE-2016-1619, CVE-2016-1620, CVE-2016-2051, CVE-2016-2052, DSA-3456-1, openSUSE-SU-2016:0249-1, openSUSE-SU-2016:0250-1, openSUSE-SU-2016:0271-1, RHSA-2016:0072-01, USN-2877-1, VIGILANCE-VUL-18785.

Description de la vulnérabilité

Plusieurs vulnérabilités ont été annoncées dans Google Chrome.

Un attaquant peut provoquer une corruption de mémoire dans V8, afin de mener un déni de service, et éventuellement d'exécuter du code. [grav:4/4; CVE-2016-1612]

Un attaquant peut provoquer l'utilisation d'une zone mémoire libérée dans PDFium, afin de mener un déni de service, et éventuellement d'exécuter du code. [grav:4/4; CVE-2016-1613]

Un attaquant peut contourner les mesures de sécurité dans Blink, afin d'obtenir des informations sensibles. [grav:2/4; CVE-2016-1614]

Un attaquant peut contourner les mesures de sécurité dans Omnibox, afin d'obtenir des informations sensibles. [grav:2/4; CVE-2016-1615]

Un attaquant peut usurper une url, afin de tromper la victime. [grav:2/4; CVE-2016-1616]

Un attaquant peut utiliser HSTS et CSP, afin d'obtenir des informations sensibles de l'historique. [grav:2/4; CVE-2016-1617]

Un attaquant peut prédire les aléas dans Blink. [grav:2/4; CVE-2016-1618]

Un attaquant peut forcer la lecture à une adresse invalide dans PDFium, afin de mener un déni de service. [grav:2/4; CVE-2016-1619]

Un attaquant peut provoquer une corruption de mémoire, afin de mener un déni de service, et éventuellement d'exécuter du code. [grav:4/4; CVE-2016-1620]

Un attaquant peut provoquer une corruption de mémoire dans V8, afin de mener un déni de service, et éventuellement d'exécuter du code. [grav:4/4; CVE-2016-2051]

Un attaquant peut provoquer une corruption de mémoire dans HarfBuzz, afin de mener un déni de service, et éventuellement d'exécuter du code (VIGILANCE-VUL-20398). [grav:3/4; CVE-2016-2052]
Bulletin Vigil@nce complet.... (Essai gratuit)

alerte de vulnérabilité 18671

Windows : exécution de code durant l'installation d'application

Synthèse de la vulnérabilité

Un attaquant peut inviter la victime à télécharger des bibliothèques illicites sous Windows, afin d'exécuter du code lors de l'installation d'une application nécessitant ces DLL.
Produits concernés : 7-Zip, ZoneAlarm, FileZilla Server, GIMP, Chrome, Kaspersky AV, Windows 10, Windows 2008 R0, Windows 2008 R2, Windows 2012, Windows 7, Windows 8, Windows (plateforme) ~ non exhaustif, Windows RT, Windows Vista, Opera, Panda AV, Panda Internet Security, OfficeScan, TrueCrypt, VLC.
Gravité : 2/4.
Conséquences : accès/droits administrateur, accès/droits privilégié, accès/droits utilisateur.
Provenance : document.
Confiance : confirmé par l'éditeur (5/5).
Date création : 11/01/2016.
Références : sk110055, VIGILANCE-VUL-18671.

Description de la vulnérabilité

Lorsqu'un utilisateur installe une nouvelle application sous Windows, il télécharge le programme d'installation (install.exe par exemple), puis l'exécute.

Cependant, de nombreux programmes d'installation chargent des DLL (par exemple graphique.dll) depuis le répertoire courant. Ainsi, si un attaquant a invité la victime à télécharger un fichier graphique.dll malveillant, avant qu'il exécute install.exe depuis le répertoire Téléchargement, le code situé dans la DLL est exécuté.

Le bulletin VIGILANCE-VUL-19558 décrit le même problème pour d'autres produits.

Un attaquant peut donc inviter la victime à télécharger des bibliothèques illicites sous Windows, afin d'exécuter du code lors de l'installation d'une application nécessitant ces DLL.
Bulletin Vigil@nce complet.... (Essai gratuit)
Notre base de données contient d'autres bulletins. Vous pouvez utiliser un essai gratuit pour les consulter.

Consulter les informations sur Google Chrome :