L'équipe Vigil@nce veille les vulnérabilités publiques qui affectent votre parc informatique, puis propose des correctifs sécurité, une base et des outils pour y remédier.

Vulnérabilités informatiques de InfoPath

annonce de vulnérabilité informatique CVE-2016-0021 CVE-2016-0057 CVE-2016-0134

Microsoft Office : trois vulnérabilités

Synthèse de la vulnérabilité

Un attaquant peut employer plusieurs vulnérabilités de Microsoft Office.
Produits concernés : Office, InfoPath, MOSS, Word.
Gravité : 3/4.
Conséquences : accès/droits utilisateur, déni de service du client.
Provenance : document.
Confiance : confirmé par l'éditeur (5/5).
Date création : 08/03/2016.
Références : 3141806, CERTFR-2016-AVI-090, CVE-2016-0021, CVE-2016-0057, CVE-2016-0134, MS16-029, VIGILANCE-VUL-19127.

Description de la vulnérabilité

Plusieurs vulnérabilités ont été annoncées dans Microsoft Office.

Un attaquant peut inviter la victime à ouvrir un document Office malveillant, pour provoquer une corruption de mémoire, afin de mener un déni de service, et éventuellement d'exécuter du code. [grav:3/4; CVE-2016-0021]

Un attaquant peut contourner les mesures de sécurité, afin d'élever ses privilèges. [grav:2/4; CVE-2016-0057]

Un attaquant peut inviter la victime à ouvrir un document Office malveillant, pour provoquer une corruption de mémoire, afin de mener un déni de service, et éventuellement d'exécuter du code. [grav:3/4; CVE-2016-0134]
Bulletin Vigil@nce complet.... (Essai gratuit)

avis de vulnérabilité CVE-2015-2434 CVE-2015-2440 CVE-2015-2471

Windows, Office : trois vulnérabilités de XML Core Services

Synthèse de la vulnérabilité

Un attaquant peut employer plusieurs vulnérabilités de XML Core Services de Windows.
Produits concernés : Office, Access, Excel, InfoPath, OneNote, Outlook, PowerPoint, Project, Publisher, Visio, Word, Windows 2008 R0, Windows 2008 R2, Windows 2012, Windows 7, Windows 8, Windows RT, Windows Vista.
Gravité : 2/4.
Conséquences : lecture de données.
Provenance : document.
Confiance : confirmé par l'éditeur (5/5).
Date création : 11/08/2015.
Références : 3080129, CERTFR-2015-AVI-338, CVE-2015-2434, CVE-2015-2440, CVE-2015-2471, MS15-084, VIGILANCE-VUL-17634, ZDI-15-381.

Description de la vulnérabilité

Plusieurs vulnérabilités ont été annoncées dans XML Core Services utilisé par Windows/Office.

Un attaquant peut forcer l'utilisation de SSLv2, afin d'obtenir des informations sensibles. [grav:2/4; CVE-2015-2434]

Un attaquant peut deviner l'organisation de la mémoire d'un processus, pour contourner ASLR, afin de faciliter l'attaque suivante. [grav:2/4; CVE-2015-2440, ZDI-15-381]

Un attaquant peut forcer l'utilisation de SSLv2, afin d'obtenir des informations sensibles. [grav:2/4; CVE-2015-2471]
Bulletin Vigil@nce complet.... (Essai gratuit)

bulletin de vulnérabilité informatique CVE-2015-2431 CVE-2015-2435 CVE-2015-2455

Microsoft Office : six vulnérabilités de Graphics Component

Synthèse de la vulnérabilité

Un attaquant peut employer plusieurs vulnérabilités de Graphics Component de Microsoft Office.
Produits concernés : Office, Access, Office Communicator, Excel, InfoPath, OneNote, Outlook, PowerPoint, Project, Publisher, Visio, Word.
Gravité : 4/4.
Conséquences : accès/droits utilisateur.
Provenance : document.
Confiance : confirmé par l'éditeur (5/5).
Date création : 11/08/2015.
Références : 3078662, CERTFR-2015-AVI-334, CVE-2015-2431, CVE-2015-2435, CVE-2015-2455, CVE-2015-2456, CVE-2015-2463, CVE-2015-2464, MS15-080, VIGILANCE-VUL-17628, ZDI-15-387, ZDI-15-388.

Description de la vulnérabilité

Plusieurs vulnérabilités ont été annoncées dans Microsoft Office.

Un attaquant peut provoquer une corruption de mémoire dans Office Graphics Library Font, afin de mener un déni de service, et éventuellement d'exécuter du code. [grav:4/4; CVE-2015-2431]

Un attaquant peut provoquer une corruption de mémoire dans TrueType, afin de mener un déni de service, et éventuellement d'exécuter du code. [grav:4/4; CVE-2015-2435, ZDI-15-387]

Un attaquant peut provoquer une corruption de mémoire dans TrueType, afin de mener un déni de service, et éventuellement d'exécuter du code. [grav:4/4; CVE-2015-2455, ZDI-15-388]

Un attaquant peut provoquer une corruption de mémoire dans TrueType, afin de mener un déni de service, et éventuellement d'exécuter du code. [grav:4/4; CVE-2015-2456]

Un attaquant peut provoquer une corruption de mémoire dans TrueType, afin de mener un déni de service, et éventuellement d'exécuter du code. [grav:4/4; CVE-2015-2463]

Un attaquant peut provoquer une corruption de mémoire dans TrueType, afin de mener un déni de service, et éventuellement d'exécuter du code. [grav:4/4; CVE-2015-2464]
Bulletin Vigil@nce complet.... (Essai gratuit)

annonce de vulnérabilité informatique CVE-2015-1682 CVE-2015-1683

Microsoft Office : deux vulnérabilités

Synthèse de la vulnérabilité

Un attaquant peut employer plusieurs vulnérabilités de Microsoft Office.
Produits concernés : Office, Access, Office Communicator, Excel, InfoPath, OneNote, Outlook, PowerPoint, Project, Publisher, MOSS, Visio, Word.
Gravité : 3/4.
Conséquences : accès/droits utilisateur, déni de service du client.
Provenance : document.
Confiance : confirmé par l'éditeur (5/5).
Date création : 12/05/2015.
Références : 3057181, CERTFR-2015-AVI-211, CVE-2015-1682, CVE-2015-1683, MS15-046, VIGILANCE-VUL-16887, ZDI-15-182.

Description de la vulnérabilité

Plusieurs vulnérabilités ont été annoncées dans Microsoft Office.

Un attaquant peut provoquer une corruption de mémoire, afin de mener un déni de service, et éventuellement d'exécuter du code. [grav:3/4; CVE-2015-1682, ZDI-15-182]

Un attaquant peut provoquer une corruption de mémoire, afin de mener un déni de service, et éventuellement d'exécuter du code. [grav:3/4; CVE-2015-1683]
Bulletin Vigil@nce complet.... (Essai gratuit)

bulletin de vulnérabilité CVE-2014-6362

Microsoft Office : contournement de ASLR

Synthèse de la vulnérabilité

Un attaquant peut contourner ASLR via Microsoft Office, afin de faciliter l'exploitation d'une autre vulnérabilité.
Produits concernés : Office, Access, Excel, InfoPath, OneNote, Outlook, PowerPoint, Project, Publisher, Visio, Word.
Gravité : 2/4.
Conséquences : accès/droits utilisateur.
Provenance : document.
Confiance : confirmé par l'éditeur (5/5).
Date création : 10/02/2015.
Références : 3033857, CERTFR-2015-AVI-064, CVE-2014-6362, MS15-013, VIGILANCE-VUL-16163.

Description de la vulnérabilité

Les systèmes utilisent ASLR afin de rendre aléatoire les adresses mémoire utilisées par les programmes et les bibliothèques.

Cependant, Microsoft Office permet à un attaquant de contourner cette mesure de sécurité.

Un attaquant peut donc contourner ASLR via Microsoft Office, afin de faciliter l'exploitation d'une autre vulnérabilité.
Bulletin Vigil@nce complet.... (Essai gratuit)

annonce de vulnérabilité CVE-2015-0063 CVE-2015-0064 CVE-2015-0065

Microsoft Office : trois vulnérabilités

Synthèse de la vulnérabilité

Un attaquant peut employer plusieurs vulnérabilités de Microsoft Office.
Produits concernés : Office, Access, Excel, InfoPath, OneNote, Outlook, PowerPoint, Project, Publisher, Visio, Word.
Gravité : 3/4.
Conséquences : accès/droits utilisateur.
Provenance : document.
Confiance : confirmé par l'éditeur (5/5).
Date création : 10/02/2015.
Références : 3032328, CERTFR-2015-AVI-063, CVE-2015-0063, CVE-2015-0064, CVE-2015-0065, MS15-012, VIGILANCE-VUL-16162.

Description de la vulnérabilité

Plusieurs vulnérabilités ont été annoncées dans Microsoft Office.

Un attaquant peut provoquer une corruption de mémoire dans Excel, afin de mener un déni de service, et éventuellement d'exécuter du code. [grav:3/4; CVE-2015-0063]

Un attaquant peut provoquer une corruption de mémoire dans Word, afin de mener un déni de service, et éventuellement d'exécuter du code. [grav:3/4; CVE-2015-0064]

Un attaquant peut provoquer une corruption de mémoire dans Word OneTableDocumentStream, afin de mener un déni de service, et éventuellement d'exécuter du code. [grav:3/4; CVE-2015-0065]
Bulletin Vigil@nce complet.... (Essai gratuit)

alerte de vulnérabilité informatique CVE-2014-6364

Microsoft Office : utilisation de mémoire libérée

Synthèse de la vulnérabilité

Un attaquant peut provoquer l'utilisation d'une zone mémoire libérée de Microsoft Office, afin de mener un déni de service, et éventuellement d'exécuter du code.
Produits concernés : Office, Excel, InfoPath, OneNote, Outlook, PowerPoint, Project, Publisher, Visio, Word.
Gravité : 3/4.
Conséquences : accès/droits utilisateur, déni de service du client.
Provenance : document.
Confiance : confirmé par l'éditeur (5/5).
Date création : 09/12/2014.
Références : 3017349, CERTFR-2014-AVI-520, CVE-2014-6364, MS14-082, VIGILANCE-VUL-15766.

Description de la vulnérabilité

La suite Microsoft Office convertit les documents en objets placés en mémoire.

Cependant, une fonction libère une zone mémoire avant de la réutiliser.

Un attaquant peut donc provoquer l'utilisation d'une zone mémoire libérée de Microsoft Office, afin de mener un déni de service, et éventuellement d'exécuter du code.
Bulletin Vigil@nce complet.... (Essai gratuit)

bulletin de vulnérabilité CVE-2014-4077

Office 2007 : élévation de privilèges via IME Japanese

Synthèse de la vulnérabilité

Un attaquant peut utiliser une vulnérabilité de l'IME Japanese de Office 2007, afin d'élever ses privilèges.
Produits concernés : Office, Access, Office Communicator, Excel, InfoPath, OneNote, Outlook, PowerPoint, Project, Publisher, Visio, Word.
Gravité : 2/4.
Conséquences : accès/droits administrateur, accès/droits privilégié.
Provenance : document.
Confiance : confirmé par l'éditeur (5/5).
Date création : 12/11/2014.
Références : 2992719, CERTFR-2014-AVI-476, CVE-2014-4077, MS14-078, VIGILANCE-VUL-15623.

Description de la vulnérabilité

Le produit Office 2007 peut être configuré avec un IME (Input Method Editor) Japanese, afin de saisir des caractères Japonais.

Cependant, un fichier spécial permet de sortir du bac à sable.

Un attaquant peut donc utiliser une vulnérabilité de l'IME Japanese de Office 2007, afin d'élever ses privilèges.
Bulletin Vigil@nce complet.... (Essai gratuit)

annonce de vulnérabilité CVE-2014-1809

Microsoft Office : contournement de ASLR via MSCOMCTL

Synthèse de la vulnérabilité

Un attaquant peut obtenir des adresses mémoire, pour contourner ASLR, afin de faciliter le développement d'un outil d'attaque.
Produits concernés : Office, Access, Excel, InfoPath, OneNote, Outlook, PowerPoint, Project, Publisher, Visio, Word.
Gravité : 2/4.
Conséquences : lecture de données.
Provenance : document.
Confiance : confirmé par l'éditeur (5/5).
Date création : 13/05/2014.
Références : 2961033, CERTFR-2014-AVI-222, CVE-2014-1809, MS14-024, VIGILANCE-VUL-14742.

Description de la vulnérabilité

La fonctionnalité ASLR (Address Space Layout Randomization) charge les programmes à des adresses mémoire aléatoires, afin de rendre plus difficile l'exploitation de corruptions de mémoire.

Cependant, la bibliothèque Microsoft Office MSCOMCTL utilise des adresses fixe.

Un attaquant peut donc obtenir des adresses mémoire, pour contourner ASLR, afin de faciliter le développement d'un outil d'attaque.
Bulletin Vigil@nce complet.... (Essai gratuit)

alerte de vulnérabilité CVE-2014-1756 CVE-2014-1808

Microsoft Office : deux vulnérabilités

Synthèse de la vulnérabilité

Un attaquant peut employer plusieurs vulnérabilités de Microsoft Office.
Produits concernés : Office, Access, Excel, InfoPath, OneNote, Outlook, PowerPoint, Project, Publisher, Visio, Word.
Gravité : 3/4.
Conséquences : accès/droits utilisateur, lecture de données.
Provenance : document.
Confiance : confirmé par l'éditeur (5/5).
Date création : 13/05/2014.
Références : 2961037, CERTFR-2014-AVI-221, CVE-2014-1756, CVE-2014-1808, MS14-023, VIGILANCE-VUL-14741.

Description de la vulnérabilité

Plusieurs vulnérabilités ont été annoncées dans Microsoft Office.

Le vérificateur de grammaire pour le Chinois Simplifié accepte de charger une DLL depuis un chemin distant, ce qui permet à un attaquant d'exécuter du code. [grav:3/4; CVE-2014-1756]

Un attaquant peut réutiliser un token, afin d'obtenir des informations sensibles. [grav:2/4; CVE-2014-1808]
Bulletin Vigil@nce complet.... (Essai gratuit)
Notre base de données contient d'autres bulletins. Vous pouvez utiliser un essai gratuit pour les consulter.