L'équipe Vigil@nce veille les vulnérabilités publiques qui affectent votre parc informatique, puis propose des correctifs sécurité, une base et des outils pour y remédier.

Vulnérabilités informatiques de MSIE

annonce de vulnérabilité informatique CVE-2013-3344 CVE-2013-3345 CVE-2013-3347

Adobe Flash Player : multiples vulnérabilités

Synthèse de la vulnérabilité

Plusieurs vulnérabilités d'Adobe Flash Player permettent à un attaquant d'exécuter du code.
Produits concernés : Flash Player, IE, openSUSE, RHEL, SUSE Linux Enterprise Desktop.
Gravité : 4/4.
Conséquences : accès/droits utilisateur.
Provenance : document.
Confiance : confirmé par l'éditeur (5/5).
Date création : 10/07/2013.
Références : 2755801, APSB13-17, BID-61038, BID-61043, BID-61045, BID-61048, CERTA-2013-AVI-405, CVE-2013-3344, CVE-2013-3345, CVE-2013-3347, openSUSE-SU-2013:1191-1, openSUSE-SU-2013:1192-1, RHSA-2013:1035-01, SUSE-SU-2013:1213-1, VIGILANCE-VUL-13087, ZDI-13-177.

Description de la vulnérabilité

Plusieurs vulnérabilités ont été annoncées dans Adobe Flash Player.

Un attaquant peut provoquer une corruption de mémoire, afin de mener un déni de service, et éventuellement d'exécuter du code. [grav:4/4; BID-61043, CVE-2013-3344]

Un attaquant peut provoquer une corruption de mémoire, afin de mener un déni de service, et éventuellement d'exécuter du code. [grav:3/4; BID-61045, CVE-2013-3345]

Un attaquant peut provoquer une corruption de mémoire, afin de mener un déni de service, et éventuellement d'exécuter du code. [grav:3/4; BID-61048, CVE-2013-3347, ZDI-13-177]
Bulletin Vigil@nce complet.... (Essai gratuit)

annonce de vulnérabilité 12982

Mozilla Firefox, MS Internet Explorer : déni de service via boucles JavaScript

Synthèse de la vulnérabilité

Un attaquant peut utiliser un script avec une chaine non bornée d'appels récursifs en JavaScript dans Mozilla Firefox et MS Internet Explorer, afin de mener un déni de service.
Produits concernés : IE, Firefox.
Gravité : 2/4.
Conséquences : déni de service du client.
Provenance : document.
Confiance : source unique (2/5).
Date création : 17/06/2013.
Références : VIGILANCE-VUL-12982.

Description de la vulnérabilité

Les interpréteurs JavaScript de Mozilla Firefox et MS Internet Explorer autorisent les routines récursives.

Cependant, le navigateur ne détecte pas les boucles sans fin créées par des appels récursifs directs, il est donc possible de créer un script qui ne sera pas terminé de force par le navigateur en l'absence de terminaison normale.

Un attaquant peut donc utiliser un script avec une chaine non bornée d'appels récursifs en JavaScript dans Mozilla Firefox et MS Internet Explorer, afin de mener un déni de service.
Bulletin Vigil@nce complet.... (Essai gratuit)

bulletin de vulnérabilité informatique CVE-2013-3343

Adobe Flash Player : corruption de mémoire

Synthèse de la vulnérabilité

Produits concernés : Flash Player, IE, openSUSE, RHEL, SUSE Linux Enterprise Desktop, SLES.
Gravité : 3/4.
Conséquences : accès/droits utilisateur.
Provenance : document.
Confiance : confirmé par l'éditeur (5/5).
Date création : 11/06/2013.
Références : 2755801, APSB13-16, BID-60478, CERTA-2013-AVI-348, CVE-2013-3343, openSUSE-SU-2013:1040-1, openSUSE-SU-2013:1063-1, RHSA-2013:0941-01, SUSE-SU-2013:1039-1, SUSE-SU-2013:1039-2, VIGILANCE-VUL-12968.

Description de la vulnérabilité

Un attaquant peut provoquer une corruption de mémoire dans Adobe Flash Player, afin de mener un déni de service, et éventuellement d'exécuter du code.
Bulletin Vigil@nce complet.... (Essai gratuit)

bulletin de vulnérabilité CVE-2013-3110 CVE-2013-3111 CVE-2013-3112

Internet Explorer : multiples vulnérabilités

Synthèse de la vulnérabilité

Un attaquant peut inviter la victime à consulter un site illicite avec Internet Explorer, afin de faire exécuter du code sur son ordinateur.
Produits concernés : IE, Windows 2003, Windows 2008 R0, Windows 2008 R2, Windows 2012, Windows 7, Windows 8, Windows RT, Windows Vista, Windows XP.
Gravité : 4/4.
Conséquences : accès/droits utilisateur.
Provenance : document.
Confiance : confirmé par l'éditeur (5/5).
Date création : 11/06/2013.
Références : 2838727, BID-60374, BID-60376, BID-60377, BID-60378, BID-60379, BID-60380, BID-60381, BID-60382, BID-60383, BID-60384, BID-60385, BID-60386, BID-60387, BID-60388, BID-60389, BID-60390, BID-60391, BID-60392, BID-60393, CERTA-2013-AVI-350, CVE-2013-3110, CVE-2013-3111, CVE-2013-3112, CVE-2013-3113, CVE-2013-3114, CVE-2013-3116, CVE-2013-3117, CVE-2013-3118, CVE-2013-3119, CVE-2013-3120, CVE-2013-3121, CVE-2013-3122, CVE-2013-3123, CVE-2013-3124, CVE-2013-3125, CVE-2013-3126, CVE-2013-3139, CVE-2013-3141, CVE-2013-3142, MS13-047, VIGILANCE-VUL-12963, ZDI-13-133, ZDI-13-134, ZDI-13-135, ZDI-13-136, ZDI-13-137, ZDI-13-138, ZDI-13-139, ZDI-13-140, ZDI-13-141, ZDI-13-143, ZDI-13-144, ZDI-13-145, ZDI-13-146.

Description de la vulnérabilité

Plusieurs vulnérabilités ont été annoncées dans Internet Explorer.

Un attaquant peut provoquer une corruption de mémoire, afin de mener un déni de service, et éventuellement d'exécuter du code. [grav:4/4; BID-60374, CVE-2013-3110]

Un attaquant peut provoquer une corruption de mémoire, afin de mener un déni de service, et éventuellement d'exécuter du code. [grav:4/4; BID-60381, CVE-2013-3111, ZDI-13-133]

Un attaquant peut provoquer une corruption de mémoire, afin de mener un déni de service, et éventuellement d'exécuter du code. [grav:4/4; BID-60382, CVE-2013-3112, ZDI-13-134]

Un attaquant peut provoquer une corruption de mémoire, afin de mener un déni de service, et éventuellement d'exécuter du code. [grav:4/4; BID-60383, CVE-2013-3113]

Un attaquant peut provoquer une corruption de mémoire, afin de mener un déni de service, et éventuellement d'exécuter du code. [grav:4/4; BID-60384, CVE-2013-3114]

Un attaquant peut provoquer une corruption de mémoire, afin de mener un déni de service, et éventuellement d'exécuter du code. [grav:4/4; BID-60385, CVE-2013-3116]

Un attaquant peut provoquer une corruption de mémoire, afin de mener un déni de service, et éventuellement d'exécuter du code. [grav:4/4; BID-60386, CVE-2013-3117]

Un attaquant peut provoquer une corruption de mémoire, afin de mener un déni de service, et éventuellement d'exécuter du code. [grav:4/4; BID-60387, CVE-2013-3118, ZDI-13-135]

Un attaquant peut provoquer une corruption de mémoire, afin de mener un déni de service, et éventuellement d'exécuter du code. [grav:4/4; BID-60388, CVE-2013-3119, ZDI-13-136]

Un attaquant peut provoquer une corruption de mémoire, afin de mener un déni de service, et éventuellement d'exécuter du code. [grav:4/4; BID-60389, CVE-2013-3120, ZDI-13-137]

Un attaquant peut provoquer une corruption de mémoire, afin de mener un déni de service, et éventuellement d'exécuter du code. [grav:4/4; BID-60390, CVE-2013-3121, ZDI-13-138]

Un attaquant peut provoquer une corruption de mémoire, afin de mener un déni de service, et éventuellement d'exécuter du code. [grav:4/4; BID-60391, CVE-2013-3122, ZDI-13-139]

Un attaquant peut provoquer une corruption de mémoire, afin de mener un déni de service, et éventuellement d'exécuter du code. [grav:4/4; BID-60392, CVE-2013-3123, ZDI-13-144]

Un attaquant peut provoquer une corruption de mémoire, afin de mener un déni de service, et éventuellement d'exécuter du code. [grav:4/4; BID-60376, CVE-2013-3124, ZDI-13-140]

Un attaquant peut provoquer une corruption de mémoire, afin de mener un déni de service, et éventuellement d'exécuter du code. [grav:4/4; BID-60377, CVE-2013-3125, ZDI-13-141]

Un attaquant peut provoquer une corruption de mémoire via Script Debug, afin de mener un déni de service, et éventuellement d'exécuter du code. [grav:4/4; BID-60393, CVE-2013-3126, ZDI-13-143]

Un attaquant peut provoquer une corruption de mémoire, afin de mener un déni de service, et éventuellement d'exécuter du code. [grav:4/4; BID-60378, CVE-2013-3139]

Un attaquant peut provoquer une corruption de mémoire, afin de mener un déni de service, et éventuellement d'exécuter du code. [grav:4/4; BID-60379, CVE-2013-3141, ZDI-13-146]

Un attaquant peut provoquer une corruption de mémoire, afin de mener un déni de service, et éventuellement d'exécuter du code. [grav:4/4; BID-60380, CVE-2013-3142, ZDI-13-145]

Un attaquant peut donc inviter la victime à consulter un site illicite avec Internet Explorer, afin de faire exécuter du code sur son ordinateur.
Bulletin Vigil@nce complet.... (Essai gratuit)

vulnérabilité informatique 12825

Windows, IE : vulnérabilités d'ActiveX

Synthèse de la vulnérabilité

Un attaquant peut créer une page HTML appelant des ActiveX vulnérables, puis inviter la victime à consulter cette page, afin de faire exécuter du code sur son ordinateur.
Produits concernés : IE, Windows 2003, Windows 2008 R0, Windows 2008 R2, Windows 2012, Windows 7, Windows 8, Windows RT, Windows Vista, Windows XP.
Gravité : 3/4.
Conséquences : accès/droits utilisateur.
Provenance : document.
Confiance : confirmé par l'éditeur (5/5).
Date création : 15/05/2013.
Références : 2820197, VIGILANCE-VUL-12825.

Description de la vulnérabilité

Plusieurs vulnérabilités ont été annoncées dans des ActiveX.

Une page web peut appeler l'ActiveX Honeywell Enterprise Buildings Integrator, afin de faire exécuter du code sur l'ordinateur de la victime. [grav:3/4]

Une page web peut appeler l'ActiveX SymmetrE and ComfortPoint Open Manager, afin de faire exécuter du code sur l'ordinateur de la victime. [grav:3/4]

Un attaquant peut donc créer une page HTML appelant des ActiveX vulnérables, puis inviter la victime à consulter cette page, afin de faire exécuter du code sur son ordinateur.
Bulletin Vigil@nce complet.... (Essai gratuit)

alerte de vulnérabilité informatique CVE-2013-0811 CVE-2013-1297 CVE-2013-1306

Internet Explorer : multiples vulnérabilités

Synthèse de la vulnérabilité

Un attaquant peut inviter la victime à consulter un site illicite avec Internet Explorer, afin de faire exécuter du code sur son ordinateur.
Produits concernés : IE, Windows 2003, Windows 2008 R0, Windows 2008 R2, Windows 2012, Windows 7, Windows 8, Windows RT, Windows Vista, Windows XP.
Gravité : 4/4.
Conséquences : accès/droits utilisateur.
Provenance : document.
Confiance : confirmé par l'éditeur (5/5).
Date création : 14/05/2013.
Références : 2829530, BID-59734, BID-59737, BID-59745, BID-59746, BID-59747, BID-59748, BID-59751, BID-59752, BID-59753, BID-59754, BID-59755, CERTA-2013-AVI-299, CVE-2013-0811, CVE-2013-1297, CVE-2013-1306, CVE-2013-1307, CVE-2013-1308, CVE-2013-1309, CVE-2013-1310, CVE-2013-1311, CVE-2013-1312, CVE-2013-1313-ERROR, CVE-2013-2551, CVE-2013-3140, MS13-037, VIGILANCE-VUL-12816, ZDI-13-081, ZDI-13-082, ZDI-13-083, ZDI-13-084, ZDI-13-085, ZDI-13-102, ZDI-13-103, ZDI-13-104.

Description de la vulnérabilité

Plusieurs vulnérabilités ont été annoncées dans Internet Explorer.

Un attaquant peut provoquer l'utilisation d'une zone mémoire libérée, afin de mener un déni de service, et éventuellement d'exécuter du code. [grav:4/4; BID-59737, CVE-2013-0811]

Un attaquant peut utiliser un tableau JSON, afin d'obtenir des informations sensibles. [grav:2/4; BID-59734, CVE-2013-1297]

Un attaquant peut provoquer l'utilisation d'une zone mémoire libérée, afin de mener un déni de service, et éventuellement d'exécuter du code. [grav:4/4; BID-59745, CVE-2013-1306, ZDI-13-082]

Un attaquant peut provoquer l'utilisation d'une zone mémoire libérée, afin de mener un déni de service, et éventuellement d'exécuter du code. [grav:4/4; BID-59746, CVE-2013-1307]

Un attaquant peut provoquer l'utilisation d'une zone mémoire libérée, afin de mener un déni de service, et éventuellement d'exécuter du code. [grav:4/4; BID-59747, CVE-2013-1308, ZDI-13-085]

Un attaquant peut provoquer l'utilisation d'une zone mémoire libérée, afin de mener un déni de service, et éventuellement d'exécuter du code. [grav:4/4; BID-59748, CVE-2013-1309, ZDI-13-083]

Un attaquant peut provoquer l'utilisation d'une zone mémoire libérée, afin de mener un déni de service, et éventuellement d'exécuter du code. [grav:4/4; BID-59751, CVE-2013-1310]

Un attaquant peut provoquer l'utilisation d'une zone mémoire libérée, afin de mener un déni de service, et éventuellement d'exécuter du code. [grav:4/4; BID-59752, CVE-2013-1311]

Un attaquant peut provoquer l'utilisation d'une zone mémoire libérée, afin de mener un déni de service, et éventuellement d'exécuter du code. [grav:4/4; BID-59753, CVE-2013-1312, ZDI-13-103]

Un attaquant peut provoquer l'utilisation d'une zone mémoire libérée, afin de mener un déni de service, et éventuellement d'exécuter du code. [grav:4/4; BID-59754, CVE-2013-1313-ERROR, CVE-2013-3140, ZDI-13-084]

Un attaquant peut provoquer l'utilisation d'une zone mémoire libérée dans vml.dll, afin de mener un déni de service, et éventuellement d'exécuter du code. [grav:4/4; BID-59755, CVE-2013-2551]

Un attaquant peut provoquer une corruption de mémoire via VML, afin de mener un déni de service, et éventuellement d'exécuter du code. [grav:3/4; ZDI-13-102]

Un attaquant peut donc inviter la victime à consulter un site illicite avec Internet Explorer, afin de faire exécuter du code sur son ordinateur.
Bulletin Vigil@nce complet.... (Essai gratuit)

bulletin de vulnérabilité CVE-2013-2728 CVE-2013-3324 CVE-2013-3325

Adobe Flash Player : multiples vulnérabilités

Synthèse de la vulnérabilité

Plusieurs vulnérabilités d'Adobe Flash Player permettent à un attaquant d'exécuter du code.
Produits concernés : Flash Player, IE, openSUSE, RHEL, SUSE Linux Enterprise Desktop, SLES.
Gravité : 4/4.
Conséquences : accès/droits utilisateur.
Provenance : document.
Confiance : confirmé par l'éditeur (5/5).
Date création : 14/05/2013.
Références : 2755801, APSB13-14, BID-59850, BID-59889, BID-59890, BID-59891, BID-59892, BID-59893, BID-59894, BID-59895, BID-59896, BID-59897, BID-59898, BID-59899, BID-59900, BID-59901, CERTA-2013-AVI-311, CVE-2013-2728, CVE-2013-3324, CVE-2013-3325, CVE-2013-3326, CVE-2013-3327, CVE-2013-3328, CVE-2013-3329, CVE-2013-3330, CVE-2013-3331, CVE-2013-3332, CVE-2013-3333, CVE-2013-3334, CVE-2013-3335, openSUSE-SU-2013:0797-1, openSUSE-SU-2013:0892-1, openSUSE-SU-2013:0954-1, RHSA-2013:0825-01, SUSE-SU-2013:0798-1, VIGILANCE-VUL-12813.

Description de la vulnérabilité

Plusieurs vulnérabilités ont été annoncées dans Adobe Flash Player.

Un attaquant peut provoquer une corruption de mémoire, afin de mener un déni de service, et éventuellement d'exécuter du code. [grav:4/4; BID-59889, CVE-2013-2728]

Un attaquant peut provoquer une corruption de mémoire, afin de mener un déni de service, et éventuellement d'exécuter du code. [grav:4/4; BID-59890, CVE-2013-3324]

Un attaquant peut provoquer une corruption de mémoire, afin de mener un déni de service, et éventuellement d'exécuter du code. [grav:4/4; BID-59891, CVE-2013-3325]

Un attaquant peut provoquer une corruption de mémoire, afin de mener un déni de service, et éventuellement d'exécuter du code. [grav:4/4; BID-59892, CVE-2013-3326]

Un attaquant peut provoquer une corruption de mémoire, afin de mener un déni de service, et éventuellement d'exécuter du code. [grav:4/4; BID-59893, CVE-2013-3327]

Un attaquant peut provoquer une corruption de mémoire, afin de mener un déni de service, et éventuellement d'exécuter du code. [grav:4/4; BID-59894, CVE-2013-3328]

Un attaquant peut provoquer une corruption de mémoire, afin de mener un déni de service, et éventuellement d'exécuter du code. [grav:4/4; BID-59895, CVE-2013-3329]

Un attaquant peut provoquer une corruption de mémoire, afin de mener un déni de service, et éventuellement d'exécuter du code. [grav:4/4; BID-59896, CVE-2013-3330]

Un attaquant peut provoquer une corruption de mémoire, afin de mener un déni de service, et éventuellement d'exécuter du code. [grav:4/4; BID-59897, CVE-2013-3331]

Un attaquant peut provoquer une corruption de mémoire, afin de mener un déni de service, et éventuellement d'exécuter du code. [grav:4/4; BID-59898, CVE-2013-3332]

Un attaquant peut provoquer une corruption de mémoire, afin de mener un déni de service, et éventuellement d'exécuter du code. [grav:4/4; BID-59899, CVE-2013-3333]

Un attaquant peut provoquer une corruption de mémoire, afin de mener un déni de service, et éventuellement d'exécuter du code. [grav:4/4; BID-59900, CVE-2013-3334]

Un attaquant peut provoquer une corruption de mémoire, afin de mener un déni de service, et éventuellement d'exécuter du code. [grav:4/4; BID-59901, CVE-2013-3335]

Un attaquant peut donc inviter la victime à consulter une page web illicite avec Adobe Flash Player, afin de stopper le navigateur web, ou d'exécuter du code sur l'ordinateur de la victime.
Bulletin Vigil@nce complet.... (Essai gratuit)

annonce de vulnérabilité CVE-2013-7331 CVE-2013-7332

Internet Explorer : détection de fichier via XMLDOM

Synthèse de la vulnérabilité

Un attaquant peut créer une page HTML utilisant XMLDOM de Internet Explorer, afin de détecter si un fichier ou un répertoire existe sur l'ordinateur de la victime.
Produits concernés : IE.
Gravité : 1/4.
Conséquences : lecture de données.
Provenance : document.
Confiance : confirmé par un tiers de confiance (4/5).
Date création : 07/05/2013.
Références : BID-59657, BID-65601, BID-65854, CVE-2013-7331, CVE-2013-7332, VIGILANCE-VUL-12762, VU#539289.

Description de la vulnérabilité

L'ActiveX Microsoft.XMLDOM permet de manipuler des documents XML.

La méthode loadXML() charge un document. Si une erreur survient, un message d'erreur est stocké dans les attributs parseError.errorCode, parseError.reason et parseError.line.

Cependant, comme ce message d'erreur varie en fonction du contexte, un attaquant peut s'en servir pour obtenir des informations.

Un attaquant peut donc créer une page HTML utilisant XMLDOM de Internet Explorer, afin de détecter si un fichier ou un répertoire existe sur l'ordinateur de la victime.
Bulletin Vigil@nce complet.... (Essai gratuit)

alerte de vulnérabilité informatique CVE-2013-1347

Internet Explorer 8 : utilisation de mémoire libérée via CGenericElement

Synthèse de la vulnérabilité

Un attaquant peut provoquer l'utilisation d'une zone mémoire libérée dans Internet Explorer 8, afin de mener un déni de service, et éventuellement d'exécuter du code.
Produits concernés : IE, Windows 2003, Windows 2008 R0, Windows 2008 R2, Windows 7, Windows Vista, Windows XP.
Gravité : 4/4.
Conséquences : accès/droits utilisateur.
Provenance : document.
Confiance : confirmé par l'éditeur (5/5).
Date création : 06/05/2013.
Date révision : 06/05/2013.
Références : 2847140, 2847204, BID-59641, CERTA-2013-ALE-003, CERTA-2013-AVI-300, CVE-2013-1347, MS13-038, VIGILANCE-VUL-12756, VU#237655.

Description de la vulnérabilité

La classe CGenericElement permet de manipuler les nœuds d'un document (appendChild, insertBefore, etc.).

Cette classe est appelée par les fonctions JavaScript comme Document.appendChild(). Cependant, lors de certaines manipulations avec un Namespace, un objet CGenericElement est libérée, puis est ensuite utilisé.

Un attaquant peut donc provoquer l'utilisation d'une zone mémoire libérée dans Internet Explorer 8, afin de mener un déni de service, et éventuellement d'exécuter du code.
Bulletin Vigil@nce complet.... (Essai gratuit)

annonce de vulnérabilité CVE-2013-1378 CVE-2013-1379 CVE-2013-1380

Adobe Flash Player : multiples vulnérabilités

Synthèse de la vulnérabilité

Plusieurs vulnérabilités d'Adobe Flash Player permettent à un attaquant d'exécuter du code.
Produits concernés : Flash Player, IE, openSUSE, RHEL, SUSE Linux Enterprise Desktop, SLES.
Gravité : 4/4.
Conséquences : accès/droits utilisateur.
Provenance : document.
Confiance : confirmé par l'éditeur (5/5).
Date création : 10/04/2013.
Références : 2755801, APSB13-11, BID-58947, BID-58949, BID-58951, BID-58952, CERTA-2013-AVI-235, CVE-2013-1378, CVE-2013-1379, CVE-2013-1380, CVE-2013-2555, openSUSE-SU-2013:0672-1, openSUSE-SU-2013:0675-1, RHSA-2013:0730-01, SUSE-SU-2013:0670-1, SUSE-SU-2013:0670-2, VIGILANCE-VUL-12642.

Description de la vulnérabilité

Plusieurs vulnérabilités ont été annoncées dans Adobe Flash Player.

Un attaquant peut provoquer un débordement d'entier, afin de mener un déni de service, et éventuellement d'exécuter du code. [grav:4/4; BID-58952, CVE-2013-2555]

Un attaquant peut provoquer une corruption de mémoire, afin de mener un déni de service, et éventuellement d'exécuter du code. [grav:4/4; BID-58947, CVE-2013-1378]

Un attaquant peut provoquer une corruption de mémoire, afin de mener un déni de service, et éventuellement d'exécuter du code. [grav:4/4; BID-58949, CVE-2013-1380]

Un attaquant peut provoquer une corruption de mémoire dans la gestion de tableaux de pointeurs, afin de mener un déni de service, et éventuellement d'exécuter du code. [grav:4/4; BID-58951, CVE-2013-1379]

Un attaquant peut donc inviter la victime à consulter une page web illicite avec Adobe Flash Player, afin de stopper le navigateur web, ou d'exécuter du code sur la machine de la victime.
Bulletin Vigil@nce complet.... (Essai gratuit)
Notre base de données contient d'autres bulletins. Vous pouvez utiliser un essai gratuit pour les consulter.

Consulter les informations sur MSIE :