L'équipe Vigil@nce veille les vulnérabilités publiques qui affectent votre parc informatique, puis propose des correctifs sécurité, une base et des outils pour y remédier.

Vulnérabilités informatiques de MSIE

alerte de vulnérabilité CVE-2014-0515

Adobe Flash Player : buffer overflow

Synthèse de la vulnérabilité

Un attaquant peut provoquer un buffer overflow de Adobe Flash Player, afin de mener un déni de service, et éventuellement d'exécuter du code.
Produits concernés : Flash Player, IE, openSUSE, RHEL, SUSE Linux Enterprise Desktop.
Gravité : 3/4.
Conséquences : accès/droits administrateur, accès/droits privilégié, accès/droits utilisateur, déni de service du client.
Provenance : document.
Date création : 29/04/2014.
Références : 2755801, APSB14-13, CERTFR-2014-AVI-207, CVE-2014-0515, openSUSE-SU-2014:0585-1, openSUSE-SU-2014:0589-1, RHSA-2014:0447-01, SUSE-SU-2014:0605-1, VIGILANCE-VUL-14671.

Description de la vulnérabilité

Le produit Adobe Flash Player affiche les animations incluses sur les pages web.

Cependant, si la taille des données est supérieure à la taille du tableau de stockage, un débordement se produit.

Un attaquant peut donc provoquer un buffer overflow de Adobe Flash Player, afin de mener un déni de service, et éventuellement d'exécuter du code.
Bulletin Vigil@nce complet... (Essai gratuit)

annonce de vulnérabilité CVE-2014-1776

Internet Explorer : utilisation de mémoire libérée dans VGX.DLL

Synthèse de la vulnérabilité

Un attaquant peut provoquer l'utilisation d'une zone mémoire libérée dans VGX.DLL de Internet Explorer, afin de mener un déni de service, et éventuellement d'exécuter du code.
Produits concernés : IE.
Gravité : 3/4.
Conséquences : accès/droits administrateur, accès/droits privilégié, accès/droits utilisateur, déni de service du client.
Provenance : document.
Date création : 28/04/2014.
Références : 2963983, 2965111, CERTFR-2014-ALE-005, CERTFR-2014-AVI-210, CVE-2014-1776, MS14-021, VIGILANCE-VUL-14662, VU#222929.

Description de la vulnérabilité

Le format VML (Vector Markup Language) permet de représenter des graphiques.

Le produit Internet Explorer utilise la bibliothèque VGX.DLL pour afficher les documents VML. Cependant, VGX.DLL peut utiliser un objet situé sur une zone mémoire non allouée.

Un attaquant peut donc provoquer l'utilisation d'une zone mémoire libérée dans VGX.DLL de Internet Explorer, afin de mener un déni de service, et éventuellement d'exécuter du code.
Bulletin Vigil@nce complet... (Essai gratuit)

avis de vulnérabilité CVE-2014-0325 CVE-2014-1751 CVE-2014-1752

Internet Explorer : multiples vulnérabilités

Synthèse de la vulnérabilité

Un attaquant peut employer plusieurs vulnérabilités de Internet Explorer.
Produits concernés : IE.
Gravité : 4/4.
Conséquences : accès/droits utilisateur.
Provenance : document.
Nombre de vulnérabilités dans ce bulletin : 6.
Date création : 08/04/2014.
Références : 2950467, CERTFR-2014-AVI-158, CVE-2014-0235-ERROR, CVE-2014-0325, CVE-2014-1751, CVE-2014-1752, CVE-2014-1753, CVE-2014-1755, CVE-2014-1760, MS14-018, VIGILANCE-VUL-14554, ZDI-14-078, ZDI-14-079, ZDI-14-080.

Description de la vulnérabilité

Plusieurs vulnérabilités ont été annoncées dans Internet Explorer.

Un attaquant peut provoquer une corruption de mémoire via CElement, afin de mener un déni de service, et éventuellement d'exécuter du code. [grav:4/4; CVE-2014-0235-ERROR, CVE-2014-0325, ZDI-14-078]

Un attaquant peut provoquer une corruption de mémoire, afin de mener un déni de service, et éventuellement d'exécuter du code. [grav:4/4; CVE-2014-1751]

Un attaquant peut provoquer une corruption de mémoire, afin de mener un déni de service, et éventuellement d'exécuter du code. [grav:4/4; CVE-2014-1752]

Un attaquant peut provoquer une corruption de mémoire via CAttrArray, afin de mener un déni de service, et éventuellement d'exécuter du code. [grav:4/4; CVE-2014-1753, ZDI-14-079]

Un attaquant peut provoquer une corruption de mémoire, afin de mener un déni de service, et éventuellement d'exécuter du code. [grav:4/4; CVE-2014-1755]

Un attaquant peut provoquer une corruption de mémoire via CFormatCache, afin de mener un déni de service, et éventuellement d'exécuter du code. [grav:4/4; CVE-2014-1760, ZDI-14-080]
Bulletin Vigil@nce complet... (Essai gratuit)

annonce de vulnérabilité CVE-2014-0506 CVE-2014-0507 CVE-2014-0508

Adobe Flash Player : multiples vulnérabilités

Synthèse de la vulnérabilité

Un attaquant peut employer plusieurs vulnérabilités de Adobe Flash Player.
Produits concernés : Flash Player, IE, openSUSE, RHEL, SUSE Linux Enterprise Desktop.
Gravité : 3/4.
Conséquences : accès/droits utilisateur, accès/droits client, lecture de données.
Provenance : document.
Nombre de vulnérabilités dans ce bulletin : 4.
Date création : 08/04/2014.
Références : 2755801, APSB14-09, CERTFR-2014-AVI-163, CVE-2014-0506, CVE-2014-0507, CVE-2014-0508, CVE-2014-0509, openSUSE-SU-2014:0520-1, openSUSE-SU-2014:0549-1, RHSA-2014:0380-01, SUSE-SU-2014:0535-1, VIGILANCE-VUL-14552, ZDI-14-070, ZDI-14-092.

Description de la vulnérabilité

Plusieurs vulnérabilités ont été annoncées dans Adobe Flash Player.

Un attaquant peut provoquer l'utilisation d'une zone mémoire libérée via ExternalInterface, afin de mener un déni de service, et éventuellement d'exécuter du code. [grav:3/4; CVE-2014-0506, ZDI-14-092]

Un attaquant peut provoquer un buffer overflow, afin de mener un déni de service, et éventuellement d'exécuter du code. [grav:3/4; CVE-2014-0507, ZDI-14-070]

Un attaquant peut contourner une mesure de sécurité, afin d'obtenir des informations sensibles. [grav:2/4; CVE-2014-0508]

Un attaquant peut provoquer un Cross Site Scripting, afin d'exécuter du code JavaScript dans le contexte du site web. [grav:2/4; CVE-2014-0509]
Bulletin Vigil@nce complet... (Essai gratuit)

annonce de vulnérabilité CVE-2014-0503 CVE-2014-0504

Adobe Flash Player : deux vulnérabilités

Synthèse de la vulnérabilité

Un attaquant peut employer plusieurs vulnérabilités de Adobe Flash Player.
Produits concernés : Flash Player, IE, openSUSE, RHEL, SUSE Linux Enterprise Desktop.
Gravité : 2/4.
Conséquences : lecture de données.
Provenance : document.
Nombre de vulnérabilités dans ce bulletin : 2.
Date création : 11/03/2014.
Références : 2755801, APSB14-08, CERTFR-2014-AVI-115, CVE-2014-0503, CVE-2014-0504, openSUSE-SU-2014:0377-1, openSUSE-SU-2014:0379-1, RHSA-2014:0289-01, SUSE-SU-2014:0387-1, VIGILANCE-VUL-14402.

Description de la vulnérabilité

Plusieurs vulnérabilités ont été annoncées dans Adobe Flash Player.

Un attaquant peut contourner la politique de même origine, afin d'obtenir des informations sensibles provenant d'un autre site web. [grav:2/4; CVE-2014-0503]

Un attaquant peut lire le contenu du presse-papier, afin d'obtenir des informations sensibles. [grav:2/4; CVE-2014-0504]
Bulletin Vigil@nce complet... (Essai gratuit)

alerte de vulnérabilité CVE-2014-0498 CVE-2014-0499 CVE-2014-0502

Adobe Flash Player : trois vulnérabilités

Synthèse de la vulnérabilité

Un attaquant peut employer plusieurs vulnérabilités de Adobe Flash Player.
Produits concernés : Flash Player, IE, openSUSE, RHEL, SUSE Linux Enterprise Desktop.
Gravité : 3/4.
Conséquences : accès/droits administrateur, accès/droits privilégié, accès/droits utilisateur, lecture de données, déni de service du client.
Provenance : document.
Nombre de vulnérabilités dans ce bulletin : 3.
Date création : 21/02/2014.
Références : 2755801, APSB14-07, BID-65702, BID-65703, BID-65704, CERTFR-2014-AVI-078, CVE-2014-0498, CVE-2014-0499, CVE-2014-0502, openSUSE-SU-2014:0277-1, openSUSE-SU-2014:0278-1, RHSA-2014:0196-01, SUSE-SU-2014:0290-1, VIGILANCE-VUL-14291, ZDI-14-040.

Description de la vulnérabilité

Plusieurs vulnérabilités ont été annoncées dans Adobe Flash Player.

Un attaquant peut provoquer un buffer overflow via RegExp, afin de mener un déni de service, et éventuellement d'exécuter du code. [grav:3/4; BID-65704, CVE-2014-0498, ZDI-14-040]

Un attaquant peut lire le contenu de la mémoire, afin de contourner ASLR. [grav:2/4; BID-65703, CVE-2014-0499]

Un attaquant peut provoquer l'utilisation d'une zone mémoire libérée, afin de mener un déni de service, et éventuellement d'exécuter du code. [grav:3/4; BID-65702, CVE-2014-0502]
Bulletin Vigil@nce complet... (Essai gratuit)

bulletin de vulnérabilité CVE-2014-0322

Internet Explorer : utilisation de mémoire libérée via CMarkup

Synthèse de la vulnérabilité

Un attaquant peut provoquer l'utilisation d'une zone mémoire libérée dans MSHTML CMarkup de Internet Explorer, afin de mener un déni de service, et éventuellement d'exécuter du code.
Produits concernés : IE.
Gravité : 3/4.
Conséquences : accès/droits utilisateur, déni de service du service, déni de service du client.
Provenance : document.
Date création : 14/02/2014.
Références : 2925418, 2934088, CERTFR-2014-ALE-001, CVE-2014-0322, MS14-012, VIGILANCE-VUL-14263, VU#732479.

Description de la vulnérabilité

Un attaquant peut provoquer l'utilisation d'une zone mémoire libérée dans MSHTML CMarkup de Internet Explorer, afin de mener un déni de service, et éventuellement d'exécuter du code.
Bulletin Vigil@nce complet... (Essai gratuit)

bulletin de vulnérabilité CVE-2014-0267 CVE-2014-0268 CVE-2014-0269

Internet Explorer : multiples vulnérabilités

Synthèse de la vulnérabilité

Un attaquant peut employer plusieurs vulnérabilités de Internet Explorer.
Produits concernés : IE.
Gravité : 4/4.
Conséquences : accès/droits utilisateur.
Provenance : document.
Nombre de vulnérabilités dans ce bulletin : 24.
Date création : 11/02/2014.
Références : 2909921, BID-65361, BID-65363, BID-65367, BID-65370, BID-65371, BID-65372, BID-65373, BID-65375, BID-65376, BID-65377, BID-65378, BID-65380, BID-65381, BID-65382, BID-65383, BID-65384, BID-65385, BID-65386, BID-65388, BID-65389, BID-65390, BID-65392, BID-65394, BID-65395, CERTFR-2014-AVI-065, CERTFR-2014-AVI-066, CVE-2014-0267, CVE-2014-0268, CVE-2014-0269, CVE-2014-0270, CVE-2014-0271, CVE-2014-0272, CVE-2014-0273, CVE-2014-0274, CVE-2014-0275, CVE-2014-0276, CVE-2014-0277, CVE-2014-0278, CVE-2014-0279, CVE-2014-0280, CVE-2014-0281, CVE-2014-0283, CVE-2014-0284, CVE-2014-0285, CVE-2014-0286, CVE-2014-0287, CVE-2014-0288, CVE-2014-0289, CVE-2014-0290, CVE-2014-0293, MS14-010, VIGILANCE-VUL-14223, ZDI-14-020, ZDI-14-021, ZDI-14-022, ZDI-14-023, ZDI-14-024, ZDI-14-025, ZDI-14-026, ZDI-14-027, ZDI-14-028, ZDI-14-061, ZDI-14-062, ZDI-14-112, ZDI-14-113, ZDI-14-119.

Description de la vulnérabilité

Plusieurs vulnérabilités ont été annoncées dans Internet Explorer.

Un attaquant local peut élever ses privilèges durant la création de clés dans la base de registres. [grav:2/4; BID-65392, CVE-2014-0268]

Un attaquant peut provoquer une corruption de mémoire dans le moteur VBScript, afin de mener un déni de service, et éventuellement d'exécuter du code (VIGILANCE-VUL-14224). [grav:4/4; BID-65395, CERTFR-2014-AVI-066, CVE-2014-0271]

Un attaquant peut accéder aux données d'un autre domaine, afin d'obtenir des informations sensibles. [grav:2/4; BID-65394, CVE-2014-0293]

Un attaquant peut provoquer une corruption de mémoire, afin de mener un déni de service, et éventuellement d'exécuter du code. [grav:4/4; BID-65361, CVE-2014-0267]

Un attaquant peut provoquer une corruption de mémoire de CMarkup, afin de mener un déni de service, et éventuellement d'exécuter du code. [grav:4/4; BID-65363, CVE-2014-0269, ZDI-14-021]

Un attaquant peut provoquer une corruption de mémoire de CMarkup, afin de mener un déni de service, et éventuellement d'exécuter du code. [grav:4/4; BID-65367, CVE-2014-0270, ZDI-14-020]

Un attaquant peut provoquer une corruption de mémoire, afin de mener un déni de service, et éventuellement d'exécuter du code. [grav:4/4; BID-65370, CVE-2014-0272]

Un attaquant peut provoquer une corruption de mémoire, afin de mener un déni de service, et éventuellement d'exécuter du code. [grav:4/4; BID-65371, CVE-2014-0273]

Un attaquant peut provoquer une corruption de mémoire de CDomRange, afin de mener un déni de service, et éventuellement d'exécuter du code. [grav:4/4; BID-65372, CVE-2014-0274, ZDI-14-025, ZDI-14-061]

Un attaquant peut provoquer une corruption de mémoire de CAreaElement, afin de mener un déni de service, et éventuellement d'exécuter du code. [grav:4/4; BID-65373, CVE-2014-0275, ZDI-14-026]

Un attaquant peut provoquer une corruption de mémoire, afin de mener un déni de service, et éventuellement d'exécuter du code. [grav:4/4; BID-65375, CVE-2014-0276]

Un attaquant peut provoquer une corruption de mémoire, afin de mener un déni de service, et éventuellement d'exécuter du code. [grav:4/4; BID-65376, CVE-2014-0277]

Un attaquant peut provoquer une corruption de mémoire via CSS, afin de mener un déni de service, et éventuellement d'exécuter du code. [grav:4/4; BID-65377, CVE-2014-0278, ZDI-14-112]

Un attaquant peut provoquer une corruption de mémoire, afin de mener un déni de service, et éventuellement d'exécuter du code. [grav:4/4; BID-65378, CVE-2014-0279]

Un attaquant peut provoquer une corruption de mémoire, afin de mener un déni de service, et éventuellement d'exécuter du code. [grav:4/4; BID-65380, CVE-2014-0280]

Un attaquant peut provoquer une corruption de mémoire de CTreeNode, afin de mener un déni de service, et éventuellement d'exécuter du code. [grav:4/4; BID-65381, CVE-2014-0281, ZDI-14-028]

Un attaquant peut provoquer une corruption de mémoire, afin de mener un déni de service, et éventuellement d'exécuter du code. [grav:4/4; BID-65382, CVE-2014-0283]

Un attaquant peut provoquer une corruption de mémoire, afin de mener un déni de service, et éventuellement d'exécuter du code. [grav:4/4; BID-65383, CVE-2014-0284]

Un attaquant peut provoquer une corruption de mémoire de NavigateToBookmark/CMarkup, afin de mener un déni de service, et éventuellement d'exécuter du code. [grav:4/4; BID-65384, CVE-2014-0285, ZDI-14-062, ZDI-14-119]

Un attaquant peut provoquer une corruption de mémoire de CInputElement, afin de mener un déni de service, et éventuellement d'exécuter du code. [grav:4/4; BID-65385, CVE-2014-0286, ZDI-14-023]

Un attaquant peut provoquer une corruption de mémoire de CHtmlLayout, afin de mener un déni de service, et éventuellement d'exécuter du code. [grav:4/4; BID-65386, CVE-2014-0287, ZDI-14-024]

Un attaquant peut provoquer une corruption de mémoire de CDivElement, afin de mener un déni de service, et éventuellement d'exécuter du code. [grav:4/4; BID-65388, CVE-2014-0288, ZDI-14-022]

Un attaquant peut provoquer une corruption de mémoire de CMarkupPointer, afin de mener un déni de service, et éventuellement d'exécuter du code. [grav:4/4; BID-65389, CVE-2014-0289, ZDI-14-027]

Un attaquant peut provoquer une corruption de mémoire via CMarkup, afin de mener un déni de service, et éventuellement d'exécuter du code. [grav:4/4; BID-65390, CVE-2014-0290, ZDI-14-113]
Bulletin Vigil@nce complet... (Essai gratuit)

bulletin de vulnérabilité informatique CVE-2014-0266

Windows, IE : obtention d'information via Microsoft XML Core Services

Synthèse de la vulnérabilité

Un attaquant peut employer Microsoft XML Core Services de Windows, via IE, afin de lire les informations sensibles d'un autre site, ou de lire un fichier de l'ordinateur de la victime.
Produits concernés : IE, Windows 2003, Windows 2008 R0, Windows 2008 R2, Windows 2012, Windows 7, Windows 8, Windows RT, Windows Vista, Windows XP.
Gravité : 2/4.
Conséquences : lecture de données.
Provenance : document.
Date création : 11/02/2014.
Références : 2916036, BID-65407, CERTFR-2014-AVI-060, CVE-2014-0266, MS14-005, VIGILANCE-VUL-14218.

Description de la vulnérabilité

La bibliothèque Microsoft XML Core Services (MSXML) est utilisée par les applications Microsoft manipulant des données XML.

Cependant, un attaquant peut contourner les restrictions d'accès aux données d'un domaine.

Un attaquant peut donc employer Microsoft XML Core Services de Windows, via IE, afin de lire les informations sensibles d'un autre site, ou de lire un fichier de l'ordinateur de la victime.
Bulletin Vigil@nce complet... (Essai gratuit)

vulnérabilité informatique CVE-2014-0497

Adobe Flash Player : exécution de code

Synthèse de la vulnérabilité

Un attaquant peut employer une vulnérabilité de Adobe Flash Player, afin d'exécuter du code.
Produits concernés : Flash Player, IE, openSUSE, RHEL, SUSE Linux Enterprise Desktop, SLES.
Gravité : 3/4.
Conséquences : accès/droits utilisateur.
Provenance : document.
Date création : 05/02/2014.
Références : 2755801, APSB14-04, CERTFR-2014-AVI-052, CVE-2014-0497, openSUSE-SU-2014:0197-1, openSUSE-SU-2014:0203-1, RHSA-2014:0137-01, SUSE-SU-2014:0221-1, VIGILANCE-VUL-14175.

Description de la vulnérabilité

Un attaquant peut employer une vulnérabilité de Adobe Flash Player, afin d'exécuter du code.
Bulletin Vigil@nce complet... (Essai gratuit)
Notre base de données contient d'autres bulletins. Vous pouvez utiliser un essai gratuit pour les consulter.

Consulter les informations sur MSIE :