L'équipe Vigil@nce veille les vulnérabilités publiques qui affectent votre parc informatique, puis propose des correctifs sécurité, une base et des outils pour y remédier.

Vulnérabilités informatiques de MOSS

vulnérabilité CVE-2013-1289

Microsoft SharePoint Server, InfoPath : Cross Site Scripting

Synthèse de la vulnérabilité

Un attaquant peut provoquer un Cross Site Scripting dans Microsoft SharePoint Server 2010, afin d'exécuter du code JavaScript dans le contexte du site web.
Produits concernés : Office, InfoPath, MOSS.
Gravité : 2/4.
Conséquences : accès/droits client.
Provenance : document.
Confiance : confirmé par l'éditeur (5/5).
Date création : 09/04/2013.
Références : 2821818, BID-58883, CERTA-2013-AVI-232, CVE-2013-1289, MS13-035, VIGILANCE-VUL-12640.

Description de la vulnérabilité

Le service web de Microsoft SharePoint Server héberge les données des utilisateurs.

Cependant, il ne filtre pas les données reçues avant de les insérer dans les documents HTML générés.

Un attaquant peut donc provoquer un Cross Site Scripting dans Microsoft SharePoint Server 2010, afin d'exécuter du code JavaScript dans le contexte du site web.

Note : Microsoft InfoPath 2010 contient le composant vulnérable, mais ne peut pas être utilisé comme vecteur d'attaque.
Bulletin Vigil@nce complet.... (Essai gratuit)

vulnérabilité informatique CVE-2013-1290

Microsoft SharePoint Server : obtention d'information

Synthèse de la vulnérabilité

Un attaquant authentifié peut accéder à certains documents de Microsoft SharePoint Server, qui sont normalement protégés par un contrôle d'accès.
Produits concernés : MOSS.
Gravité : 2/4.
Conséquences : lecture de données.
Provenance : compte utilisateur.
Confiance : confirmé par l'éditeur (5/5).
Date création : 09/04/2013.
Références : 2827663, BID-58844, CERTA-2013-AVI-227, CVE-2013-1290, MS13-030, VIGILANCE-VUL-12635.

Description de la vulnérabilité

Le service Microsoft SharePoint Server 2013 peut être installé à partir d'une migration de la version 2010.

Cependant, dans ce cas, les contrôles d'accès ne sont pas appliqués sur certaines listes.

Un attaquant authentifié peut donc accéder à certains documents de Microsoft SharePoint Server, qui sont normalement protégés par un contrôle d'accès.
Bulletin Vigil@nce complet.... (Essai gratuit)

bulletin de vulnérabilité CVE-2013-0080 CVE-2013-0083 CVE-2013-0084

Microsoft SharePoint Server 2010 : quatre vulnérabilités

Synthèse de la vulnérabilité

Un attaquant distant peut employer quatre vulnérabilités de Microsoft SharePoint Server 2010, afin d'élever ses privilèges.
Produits concernés : MOSS.
Gravité : 3/4.
Conséquences : accès/droits privilégié, accès/droits utilisateur, lecture de données, création/modification de données, effacement de données, déni de service du service.
Provenance : client internet.
Confiance : confirmé par l'éditeur (5/5).
Date création : 12/03/2013.
Références : 2780176, BID-58367, BID-58370, BID-58371, BID-58372, CERTA-2013-AVI-180, CVE-2013-0080, CVE-2013-0083, CVE-2013-0084, CVE-2013-0085, MS13-024, VIGILANCE-VUL-12513.

Description de la vulnérabilité

Quatre vulnérabilités ont été annoncées dans Microsoft SharePoint Server 2010.

Un attaquant peut lire ou effacer des données. [grav:3/4; BID-58371, CVE-2013-0080]

Un attaquant peut provoquer un Cross Site Scripting, afin d'effectuer des opérations sur le serveur, avec les privilèges de la victime. [grav:3/4; BID-58367, CVE-2013-0083]

Un attaquant peut employer une url spéciale, afin d'accéder au contenu d'autres répertoires. [grav:3/4; BID-58370, CVE-2013-0084]

Un attaquant peut employer une url spéciale, pour provoquer un buffer overflow, afin de stopper le processus W3WP. [grav:2/4; BID-58372, CVE-2013-0085]
Bulletin Vigil@nce complet.... (Essai gratuit)

bulletin de vulnérabilité CVE-2013-0393 CVE-2013-0418

Oracle Outside In Technology : multiples vulnérabilités de janvier 2013

Synthèse de la vulnérabilité

Plusieurs vulnérabilités de Oracle Outside In Technology sont corrigées dans le CPU de janvier 2013.
Produits concernés : McAfee Email and Web Security, GroupShield, McAfee Security for Email Servers, Exchange, MOSS, Oracle OIT, Symantec Enterprise Vault.
Gravité : 3/4.
Conséquences : accès/droits utilisateur, déni de service du service.
Provenance : document.
Confiance : confirmé par l'éditeur (5/5).
Date création : 16/01/2013.
Date révision : 18/01/2013.
Références : 2809279, BID-57357, BID-57364, CERTA-2013-AVI-041, CERTA-2013-AVI-116, cpujan2013, CVE-2013-0393, CVE-2013-0418, MS13-012, VIGILANCE-VUL-12333, ZDI-13-001.

Description de la vulnérabilité

Un Critical Patch Update corrige plusieurs vulnérabilités concernant Oracle Outside In Technology. Ces bibliothèques sont utilisées par plusieurs produits, qui sont donc aussi affectés par ces vulnérabilités.

Un attaquant peut créer des données Paradox illicites, afin de forcer la bibliothèque vspdx.dll à lire à une adresse mémoire invalide, ce qui conduit à un déni de service. [grav:2/4; BID-57357, CVE-2013-0393]

Un attaquant peut créer des données Paradox illicites, afin de provoquer un buffer overflow dans la bibliothèque vspdx.dll, ce qui peut conduire à l'exécution de code. [grav:3/4; BID-57364, CVE-2013-0418]
Bulletin Vigil@nce complet.... (Essai gratuit)

vulnérabilité CVE-2013-0006 CVE-2013-0007

Windows, IE, Office, SharePoint : exécution de code via Microsoft XML Core Services

Synthèse de la vulnérabilité

Un attaquant peut inviter la victime à ouvrir un document XML malformé, avec une application utilisant Microsoft XML Core Services, afin de corrompre la mémoire, et de faire exécuter du code.
Produits concernés : Office, Access, Excel, Microsoft FrontPage, InfoPath, OneNote, Outlook, PowerPoint, Project, Publisher, MOSS, Visio, Word, Windows 2003, Windows 2008 R0, Windows 2008 R2, Windows 2012, Windows 7, Windows 8, Windows RT, Windows Vista, Windows XP.
Gravité : 4/4.
Conséquences : accès/droits utilisateur.
Provenance : document.
Confiance : confirmé par l'éditeur (5/5).
Date création : 08/01/2013.
Références : 2756145, BID-57116, BID-57122, CERTA-2013-AVI-011, CVE-2013-0006, CVE-2013-0007, MS13-002, VIGILANCE-VUL-12310.

Description de la vulnérabilité

La bibliothèque Microsoft XML Core Services (MSXML) est utilisée par les applications Microsoft manipulant des données XML. Elle comporte deux vulnérabilités.

Un attaquant peut employer des données XML qui tronquent un entier, ce qui corrompt la mémoire. [grav:4/4; BID-57116, CVE-2013-0006]

Un attaquant peut employer des données XSLT (Extensible Stylesheet Language Transformations) qui corrompent la mémoire. [grav:4/4; BID-57122, CVE-2013-0007]

Un attaquant peut donc inviter la victime à ouvrir un document XML malformé, avec une application utilisant Microsoft XML Core Services (comme Internet Explorer), afin de corrompre la mémoire, et de faire exécuter du code.
Bulletin Vigil@nce complet.... (Essai gratuit)

alerte de vulnérabilité informatique CVE-2012-3214 CVE-2012-3217

Oracle Outside In Technology : multiples vulnérabilités d'octobre 2012

Synthèse de la vulnérabilité

Plusieurs vulnérabilités de Oracle Outside In Technology sont corrigées dans le CPU d'octobre 2012.
Produits concernés : McAfee Email and Web Security, GroupShield, McAfee Security for Email Servers, Exchange, MOSS, Oracle OIT, Symantec Enterprise Vault.
Gravité : 2/4.
Conséquences : accès/droits utilisateur, déni de service du service.
Provenance : document.
Confiance : confirmé par l'éditeur (5/5).
Date création : 17/10/2012.
Références : 2784242, BID-55977, BID-55993, CERTA-2012-AVI-578, CERTA-2013-AVI-117, cpuoct2012, CVE-2012-3214, CVE-2012-3217, MS13-013, PRL-2012-30, VIGILANCE-VUL-12076.

Description de la vulnérabilité

Un Critical Patch Update corrige plusieurs vulnérabilités concernant Oracle Outside In Technology. Ces bibliothèques sont utilisées par plusieurs produits, qui sont donc aussi affectés par ces vulnérabilités.

Un attaquant peut créer une image JPG illicite, provoquant une erreur dans le filtre ibjpg2.flt, afin de mener un déni de service. [grav:2/4; BID-55977, CVE-2012-3214, PRL-2012-30]

Un attaquant peut employer une vulnérabilité de Outside In HTML Export SDK, afin de mener un déni de service. [grav:2/4; BID-55993, CVE-2012-3217]
Bulletin Vigil@nce complet.... (Essai gratuit)

alerte de vulnérabilité informatique CVE-2012-2520

Microsoft InfoPath, Communicator, Lync, SharePoint : élévation de privilèges via HTML Sanitization

Synthèse de la vulnérabilité

Un attaquant peut inviter la victime à consulter un document HTML illicite avec Microsoft InfoPath, Communicator, Lync ou SharePoint, afin d'exécuter du code JavaScript avec les privilèges de la victime.
Produits concernés : Lync, Office, Office Communicator, InfoPath, MOSS.
Gravité : 3/4.
Conséquences : accès/droits client.
Provenance : document.
Confiance : confirmé par l'éditeur (5/5).
Date création : 09/10/2012.
Références : 2741517, BID-55797, CERTA-2012-AVI-556, CVE-2012-2520, MS12-066, VIGILANCE-VUL-12046.

Description de la vulnérabilité

Le composant HTML Sanitization épure le code HTML, afin de supprimer le code JavaScript par exemple. Un document HTML de provenance non sûre peut alors être affiché par un service. Ce composant est incorporé dans plusieurs produits Microsoft.

Cependant, dans certains cas, le code JavaScript n'est pas filtré. Il s'exécute alors dans le contexte du site web qui l'affiche, avec les privilèges de l'utilisateur connecté au site.

Un attaquant peut donc inviter la victime à consulter un document HTML illicite avec Microsoft InfoPath, Communicator, Lync ou SharePoint, afin d'exécuter du code JavaScript avec les privilèges de la victime.
Bulletin Vigil@nce complet.... (Essai gratuit)

avis de vulnérabilité CVE-2012-0182 CVE-2012-2528

Word : exécution de code via RTF

Synthèse de la vulnérabilité

Un attaquant peut inviter la victime à ouvrir un fichier RTF illicite avec Word, afin de faire exécuter du code sur sa machine.
Produits concernés : Office, MOSS, Word.
Gravité : 3/4.
Conséquences : accès/droits utilisateur.
Provenance : document.
Confiance : confirmé par l'éditeur (5/5).
Date création : 09/10/2012.
Références : 2742319, BID-55780, BID-55781, CERTA-2012-AVI-554, CVE-2012-0182, CVE-2012-2528, MS12-064, VIGILANCE-VUL-12044, ZDI-12-201.

Description de la vulnérabilité

Le logiciel Microsoft Word supporte les documents RTF (Rich Text Format). Cependant, l'ouverture d'un document RTF illicite provoque deux vulnérabilités dans Word.

Un document avec une section PAPX illicite corrompt la mémoire. [grav:3/4; BID-55780, CVE-2012-0182, ZDI-12-201]

Un document avec un champ "listid" malformé provoque l'utilisation d'une zone mémoire libérée. [grav:3/4; BID-55781, CVE-2012-2528]

Un attaquant peut donc inviter la victime à ouvrir un fichier RTF illicite, afin de faire exécuter du code sur sa machine.
Bulletin Vigil@nce complet.... (Essai gratuit)

avis de vulnérabilité CVE-2012-1744 CVE-2012-1766 CVE-2012-1767

Oracle Outside In Technology : multiples vulnérabilités de juillet 2012

Synthèse de la vulnérabilité

Plusieurs vulnérabilités de Oracle Outside In Technology sont corrigées dans le CPU de juillet 2012.
Produits concernés : McAfee Email and Web Security, GroupShield, McAfee Security for Email Servers, Exchange, MOSS, Oracle OIT, Symantec Enterprise Vault.
Gravité : 3/4.
Conséquences : accès/droits utilisateur, déni de service du service, déni de service du client.
Provenance : document.
Confiance : confirmé par l'éditeur (5/5).
Date création : 25/07/2012.
Références : 2737111, 2740358, 2742321, BID-54497, BID-54500, BID-54504, BID-54506, BID-54511, BID-54531, BID-54536, BID-54541, BID-54543, BID-54546, BID-54548, BID-54550, BID-54552, BID-54554, CERTA-2012-ALE-004, CERTA-2012-AVI-393, CERTA-2012-AVI-441, CERTA-2012-AVI-541, CERTA-2012-AVI-557, cpujul2012, CVE-2012-1744, CVE-2012-1766, CVE-2012-1767, CVE-2012-1768, CVE-2012-1769, CVE-2012-1770, CVE-2012-1771, CVE-2012-1772, CVE-2012-1773, CVE-2012-3106, CVE-2012-3107, CVE-2012-3108, CVE-2012-3109, CVE-2012-3110, KB75998, MS12-058, MS12-067, PRL-2012-24, PRL-2012-25, PRL-2012-26, SYM12-015, VIGILANCE-VUL-11794, VU#118913.

Description de la vulnérabilité

Un Critical Patch Update corrige plusieurs vulnérabilités concernant Oracle Outside In Technology. Ces bibliothèques sont utilisées par plusieurs produits, qui sont donc aussi affectés par ces vulnérabilités.

Un attaquant peut employer une vulnérabilité du format CDR, afin d'obtenir des informations, d'altérer des informations, ou de mener un déni de service. [grav:3/4; BID-54531, CVE-2012-1766]

Un attaquant peut employer une vulnérabilité du format DOC, afin d'obtenir des informations, d'altérer des informations, ou de mener un déni de service. [grav:3/4; BID-54536, CVE-2012-1767]

Un attaquant peut employer une vulnérabilité du format DPT, afin d'obtenir des informations, d'altérer des informations, ou de mener un déni de service. [grav:3/4; BID-54511, CVE-2012-1768]

Un attaquant peut employer une vulnérabilité du format JP2, afin d'obtenir des informations, d'altérer des informations, ou de mener un déni de service. [grav:3/4; BID-54500, CVE-2012-1769]

Un attaquant peut employer une vulnérabilité du format LWP, afin d'obtenir des informations, d'altérer des informations, ou de mener un déni de service. [grav:3/4; BID-54541, CVE-2012-1770]

Un attaquant peut employer une vulnérabilité du format ODG, afin d'obtenir des informations, d'altérer des informations, ou de mener un déni de service. [grav:3/4; BID-54543, CVE-2012-1771]

Un attaquant peut employer une vulnérabilité du format PCX, afin d'obtenir des informations, d'altérer des informations, ou de mener un déni de service. [grav:3/4; BID-54497, CVE-2012-1772]

Un attaquant peut employer une vulnérabilité du format PDF, afin d'obtenir des informations, d'altérer des informations, ou de mener un déni de service. [grav:3/4; BID-54548, CVE-2012-1773]

Un attaquant peut employer une vulnérabilité du format SAM, afin d'obtenir des informations, d'altérer des informations, ou de mener un déni de service. [grav:3/4; BID-54546, CVE-2012-3106]

Un attaquant peut employer une vulnérabilité du format SXD, afin d'obtenir des informations, d'altérer des informations, ou de mener un déni de service. [grav:3/4; BID-54504, CVE-2012-3107]

Un attaquant peut employer une vulnérabilité du format SXI, afin d'obtenir des informations, d'altérer des informations, ou de mener un déni de service. [grav:3/4; BID-54550, CVE-2012-3108]

Un attaquant peut employer une vulnérabilité du format VSD, afin d'obtenir des informations, d'altérer des informations, ou de mener un déni de service. [grav:3/4; BID-54554, CVE-2012-3109]

Un attaquant peut employer une vulnérabilité du format WSD, afin d'obtenir des informations, d'altérer des informations, ou de mener un déni de service. [grav:3/4; BID-54506, CVE-2012-3110]

Un attaquant peut employer une vulnérabilité de Oracle Outside In Technology, afin d'obtenir des informations, d'altérer des informations, ou de mener un déni de service. [grav:3/4; BID-54552, CVE-2012-1744]
Bulletin Vigil@nce complet.... (Essai gratuit)

avis de vulnérabilité informatique CVE-2012-1858 CVE-2012-1859 CVE-2012-1860

Microsoft SharePoint, InfoPath : six vulnérabilités

Synthèse de la vulnérabilité

Un attaquant peut employer six vulnérabilités de Microsoft SharePoint et InfoPath, la plus grave conduisant à l'exécution de commandes administratives.
Produits concernés : Office, InfoPath, MOSS.
Gravité : 3/4.
Conséquences : accès/droits privilégié, accès/droits utilisateur, accès/droits client, lecture de données.
Provenance : document.
Confiance : confirmé par l'éditeur (5/5).
Date création : 10/07/2012.
Références : 2695502, BID-53833, BID-53842, BID-54312, BID-54313, BID-54314, BID-54315, BID-54316, CERTA-2012-AVI-382, CVE-2012-1858, CVE-2012-1859, CVE-2012-1860, CVE-2012-1861, CVE-2012-1862, CVE-2012-1863, MS12-050, VIGILANCE-VUL-11759.

Description de la vulnérabilité

Six vulnérabilités ont été annoncées dans Microsoft SharePoint et InfoPath.

Un attaquant peut employer des chaînes HTML malformées, afin de contourner toStaticHTML, pour mener un Cross Site Scripting. [grav:2/4; BID-53833, BID-53842, CVE-2012-1858]

Un attaquant peut provoquer un Cross Site Scripting via scriptresx.ashx, afin d'exécuter du code JavaScript dans le contexte du site web. [grav:2/4; BID-54312, CVE-2012-1859]

Un attaquant peut obtenir des informations sur les recherches effectuées par les autres utilisateurs. [grav:1/4; BID-54314, CVE-2012-1860]

Un attaquant peut provoquer un Cross Site Scripting via un nom d'utilisateur afin d'exécuter du code JavaScript dans le contexte du site web. [grav:2/4; BID-54313, CVE-2012-1861]

Un attaquant peut rediriger la victime vers un autre site, afin de la tromper. [grav:2/4; BID-54315, CVE-2012-1862]

Un attaquant peut provoquer un Cross Site Scripting via une liste de paramètres afin d'exécuter du code JavaScript administratif dans le contexte du site web. [grav:3/4; BID-54316, CVE-2012-1863]
Bulletin Vigil@nce complet.... (Essai gratuit)
Notre base de données contient d'autres bulletins. Vous pouvez utiliser un essai gratuit pour les consulter.

Consulter les informations sur MOSS :