L'équipe Vigil@nce veille les vulnérabilités publiques qui affectent votre parc informatique, puis propose des correctifs sécurité, une base et des outils pour y remédier.

Vulnérabilités informatiques de Microsoft Internet Explorer

bulletin de vulnérabilité CVE-2014-6327 CVE-2014-6328 CVE-2014-6329

Internet Explorer : multiples vulnérabilités

Synthèse de la vulnérabilité

Un attaquant peut employer plusieurs vulnérabilités de Internet Explorer.
Produits concernés : IE.
Gravité : 4/4.
Conséquences : accès/droits utilisateur, lecture de données, déni de service du client.
Provenance : document.
Confiance : confirmé par l'éditeur (5/5).
Date création : 09/12/2014.
Références : 3008923, CERTFR-2014-AVI-518, CVE-2014-6327, CVE-2014-6328, CVE-2014-6329, CVE-2014-6330, CVE-2014-6363, CVE-2014-6365, CVE-2014-6366, CVE-2014-6368, CVE-2014-6369, CVE-2014-6373, CVE-2014-6374, CVE-2014-6375, CVE-2014-6376, CVE-2014-8966, MS14-080, VIGILANCE-VUL-15763, ZDI-14-404, ZDI-14-405, ZDI-14-406, ZDI-14-407, ZDI-14-408, ZDI-14-409, ZDI-15-050, ZDI-15-085.

Description de la vulnérabilité

Plusieurs vulnérabilités ont été annoncées dans Internet Explorer.

Un attaquant peut provoquer une corruption de mémoire, afin de mener un déni de service, et éventuellement d'exécuter du code. [grav:4/4; CVE-2014-6327, ZDI-14-407]

Un attaquant peut provoquer une corruption de mémoire, afin de mener un déni de service, et éventuellement d'exécuter du code. [grav:4/4; CVE-2014-6329, ZDI-14-408, ZDI-15-085]

Un attaquant peut provoquer une corruption de mémoire, afin de mener un déni de service, et éventuellement d'exécuter du code. [grav:4/4; CVE-2014-6330]

Un attaquant peut provoquer une corruption de mémoire, afin de mener un déni de service, et éventuellement d'exécuter du code. [grav:4/4; CVE-2014-6366]

Un attaquant peut provoquer une corruption de mémoire, afin de mener un déni de service, et éventuellement d'exécuter du code. [grav:4/4; CVE-2014-6369, ZDI-15-050]

Un attaquant peut provoquer une corruption de mémoire, afin de mener un déni de service, et éventuellement d'exécuter du code. [grav:4/4; CVE-2014-6373]

Un attaquant peut provoquer une corruption de mémoire, afin de mener un déni de service, et éventuellement d'exécuter du code. [grav:4/4; CVE-2014-6374, ZDI-14-404]

Un attaquant peut provoquer une corruption de mémoire, afin de mener un déni de service, et éventuellement d'exécuter du code. [grav:4/4; CVE-2014-6375, ZDI-14-405]

Un attaquant peut provoquer une corruption de mémoire, afin de mener un déni de service, et éventuellement d'exécuter du code. [grav:4/4; CVE-2014-6376, ZDI-14-406]

Un attaquant peut provoquer une corruption de mémoire, afin de mener un déni de service, et éventuellement d'exécuter du code. [grav:4/4; CVE-2014-8966, ZDI-14-409]

Un attaquant peut provoquer un Cross Site Scripting, afin d'exécuter du code JavaScript dans le contexte du site web. [grav:2/4; CVE-2014-6328]

Un attaquant peut provoquer un Cross Site Scripting, afin d'exécuter du code JavaScript dans le contexte du site web. [grav:2/4; CVE-2014-6365]

Un attaquant peut contourner ASLR, afin d'obtenir des informations sur la mémoire. [grav:2/4; CVE-2014-6368]

Un attaquant peut provoquer une corruption de mémoire dans VBScript, afin de mener un déni de service, et éventuellement d'exécuter du code (VIGILANCE-VUL-15768). [grav:4/4; CVE-2014-6363]
Bulletin Vigil@nce complet.... (Essai gratuit)

alerte de vulnérabilité CVE-2014-0580 CVE-2014-0587 CVE-2014-8443

Adobe Flash Player : multiples vulnérabilités

Synthèse de la vulnérabilité

Un attaquant peut employer plusieurs vulnérabilités de Adobe Flash Player.
Produits concernés : Flash Player, Chrome, IE, openSUSE, RHEL, SUSE Linux Enterprise Desktop, SLES.
Gravité : 4/4.
Conséquences : accès/droits utilisateur, déni de service du client.
Provenance : document.
Confiance : confirmé par l'éditeur (5/5).
Date création : 09/12/2014.
Références : 2755801, APSB14-27, CERTFR-2014-AVI-522, CVE-2014-0580, CVE-2014-0587, CVE-2014-8443, CVE-2014-9162, CVE-2014-9163, CVE-2014-9164, openSUSE-SU-2014:1622-1, openSUSE-SU-2014:1629-1, RHSA-2014:1981-01, SUSE-SU-2014:1650-1, VIGILANCE-VUL-15761, ZDI-14-416, ZDI-14-417.

Description de la vulnérabilité

Plusieurs vulnérabilités ont été annoncées dans Adobe Flash Player.

Un attaquant peut provoquer une corruption de mémoire, afin de mener un déni de service, et éventuellement d'exécuter du code. [grav:4/4; CVE-2014-0587]

Un attaquant peut provoquer une corruption de mémoire, afin de mener un déni de service, et éventuellement d'exécuter du code. [grav:4/4; CVE-2014-9164]

Un attaquant peut provoquer l'utilisation d'une zone mémoire libérée, afin de mener un déni de service, et éventuellement d'exécuter du code. [grav:4/4; CVE-2014-8443]

Un attaquant peut provoquer un buffer overflow, afin de mener un déni de service, et éventuellement d'exécuter du code. [grav:4/4; CVE-2014-9163, ZDI-14-417]

Un attaquant peut obtenir des informations sensibles. [grav:2/4; CVE-2014-9162, ZDI-14-416]

Un attaquant peut contourner la politique de même origine, afin d'obtenir des informations sensibles. [grav:2/4; CVE-2014-0580]
Bulletin Vigil@nce complet.... (Essai gratuit)

bulletin de vulnérabilité informatique CVE-2014-8967

Internet Explorer : utilisation de mémoire libérée via display run-in

Synthèse de la vulnérabilité

Un attaquant peut provoquer l'utilisation d'une zone mémoire libérée via display:run-in sur Internet Explorer, afin de mener un déni de service, et éventuellement d'exécuter du code.
Produits concernés : IE.
Gravité : 3/4.
Conséquences : accès/droits privilégié, accès/droits utilisateur, déni de service du client.
Provenance : document.
Confiance : confirmé par l'éditeur (5/5).
Date création : 05/12/2014.
Références : 3034682, CVE-2014-8967, MS15-009, VIGILANCE-VUL-15748, ZDI-14-403.

Description de la vulnérabilité

L'élément CSS "display: run-in" indique que le texte sur les lignes suivantes doit commencer à droite de l'objet.

Cependant, la fonction de Internet Explorer manipulant run-in libère une zone mémoire avant de la réutiliser.

Un attaquant peut donc provoquer l'utilisation d'une zone mémoire libérée via display:run-in sur Internet Explorer, afin de mener un déni de service, et éventuellement d'exécuter du code.
Bulletin Vigil@nce complet.... (Essai gratuit)

alerte de vulnérabilité informatique CVE-2014-8439

Adobe Flash Player : utilisation de mémoire libérée

Synthèse de la vulnérabilité

Un attaquant provoquer l'utilisation d'une zone mémoire libérée dans Adobe Flash Player, afin de mener un déni de service, et éventuellement d'exécuter du code.
Produits concernés : Flash Player, IE, openSUSE, RHEL, SUSE Linux Enterprise Desktop, SLES.
Gravité : 3/4.
Conséquences : accès/droits administrateur, accès/droits privilégié, accès/droits utilisateur, déni de service du serveur, déni de service du service, déni de service du client.
Provenance : document.
Confiance : confirmé par l'éditeur (5/5).
Date création : 26/11/2014.
Références : 2755801, APSB14-26, CERTFR-2014-AVI-496, CVE-2014-8439, openSUSE-SU-2014:1508-1, openSUSE-SU-2014:1562-1, RHSA-2014:1915-01, SUSE-SU-2014:1545-1, VIGILANCE-VUL-15706.

Description de la vulnérabilité

Un attaquant donc provoquer l'utilisation d'une zone mémoire libérée dans Adobe Flash Player, afin de mener un déni de service, et éventuellement d'exécuter du code.
Bulletin Vigil@nce complet.... (Essai gratuit)

vulnérabilité informatique CVE-2014-0573 CVE-2014-0574 CVE-2014-0576

Adobe Flash Player : multiples vulnérabilités

Synthèse de la vulnérabilité

Un attaquant peut employer plusieurs vulnérabilités de Adobe Flash Player.
Produits concernés : Flash Player, IE, openSUSE, RHEL, SUSE Linux Enterprise Desktop, SLES.
Gravité : 4/4.
Conséquences : accès/droits utilisateur.
Provenance : document.
Confiance : confirmé par l'éditeur (5/5).
Date création : 12/11/2014.
Références : 2755801, APSB14-24, CERTFR-2014-AVI-478, CVE-2014-0573, CVE-2014-0574, CVE-2014-0576, CVE-2014-0577, CVE-2014-0581, CVE-2014-0582, CVE-2014-0583, CVE-2014-0584, CVE-2014-0585, CVE-2014-0586, CVE-2014-0588, CVE-2014-0589, CVE-2014-0590, CVE-2014-8437, CVE-2014-8438, CVE-2014-8440, CVE-2014-8441, CVE-2014-8442, openSUSE-SU-2014:1444-1, openSUSE-SU-2014:1626-1, openSUSE-SU-2015:0725-1, RHSA-2014:1852-01, SUSE-SU-2014:1442-1, VIGILANCE-VUL-15625.

Description de la vulnérabilité

Plusieurs vulnérabilités ont été annoncées dans Adobe Flash Player.

Un attaquant peut provoquer une corruption de mémoire, afin de mener un déni de service, et éventuellement d'exécuter du code. [grav:4/4; CVE-2014-0576]

Un attaquant peut provoquer une corruption de mémoire, afin de mener un déni de service, et éventuellement d'exécuter du code. [grav:4/4; CVE-2014-0581]

Un attaquant peut provoquer une corruption de mémoire, afin de mener un déni de service, et éventuellement d'exécuter du code. [grav:4/4; CVE-2014-8440]

Un attaquant peut provoquer une corruption de mémoire, afin de mener un déni de service, et éventuellement d'exécuter du code. [grav:4/4; CVE-2014-8441]

Un attaquant peut provoquer l'utilisation d'une zone mémoire libérée, afin de mener un déni de service, et éventuellement d'exécuter du code. [grav:4/4; CVE-2014-0573]

Un attaquant peut provoquer l'utilisation d'une zone mémoire libérée, afin de mener un déni de service, et éventuellement d'exécuter du code. [grav:4/4; CVE-2014-0588]

Un attaquant peut provoquer l'utilisation d'une zone mémoire libérée, afin de mener un déni de service, et éventuellement d'exécuter du code. [grav:4/4; CVE-2014-8438]

Un attaquant peut provoquer l'utilisation d'une zone mémoire libérée, afin de mener un déni de service, et éventuellement d'exécuter du code. [grav:4/4; CVE-2014-0574]

Un attaquant peut provoquer une corruption de mémoire, afin de mener un déni de service, et éventuellement d'exécuter du code. [grav:4/4; CVE-2014-0577]

Un attaquant peut provoquer une corruption de mémoire, afin de mener un déni de service, et éventuellement d'exécuter du code. [grav:4/4; CVE-2014-0584]

Un attaquant peut provoquer une corruption de mémoire, afin de mener un déni de service, et éventuellement d'exécuter du code. [grav:4/4; CVE-2014-0585]

Un attaquant peut provoquer une corruption de mémoire, afin de mener un déni de service, et éventuellement d'exécuter du code. [grav:4/4; CVE-2014-0586]

Un attaquant peut provoquer une corruption de mémoire, afin de mener un déni de service, et éventuellement d'exécuter du code. [grav:4/4; CVE-2014-0590]

Un attaquant peut provoquer un buffer overflow, afin de mener un déni de service, et éventuellement d'exécuter du code. [grav:4/4; CVE-2014-0582]

Un attaquant peut provoquer un buffer overflow, afin de mener un déni de service, et éventuellement d'exécuter du code. [grav:4/4; CVE-2014-0589]

Un attaquant peut obtenir des jetons de session, afin d'obtenir des informations sensibles. [grav:2/4; CVE-2014-8437]

Un attaquant peut provoquer un buffer overflow, afin de mener un déni de service, et éventuellement d'exécuter du code. [grav:2/4; CVE-2014-0583]

Un attaquant peut élever ses privilèges. [grav:2/4; CVE-2014-8442]
Bulletin Vigil@nce complet.... (Essai gratuit)

annonce de vulnérabilité CVE-2014-4143 CVE-2014-6323 CVE-2014-6337

IE : multiples vulnérabilités

Synthèse de la vulnérabilité

Un attaquant peut employer plusieurs vulnérabilités de IE.
Produits concernés : IE.
Gravité : 4/4.
Conséquences : accès/droits utilisateur.
Provenance : document.
Confiance : confirmé par l'éditeur (5/5).
Date création : 12/11/2014.
Références : 3003057, CERTFR-2014-AVI-465, CVE-2014-4143, CVE-2014-6323, CVE-2014-6337, CVE-2014-6339, CVE-2014-6340, CVE-2014-6341, CVE-2014-6342, CVE-2014-6343, CVE-2014-6344, CVE-2014-6345, CVE-2014-6346, CVE-2014-6347, CVE-2014-6348, CVE-2014-6349, CVE-2014-6350, CVE-2014-6351, CVE-2014-6353, MS14-065, VIGILANCE-VUL-15612, ZDI-14-374, ZDI-14-375, ZDI-14-376, ZDI-14-377, ZDI-14-378, ZDI-14-379, ZDI-14-380, ZDI-14-381.

Description de la vulnérabilité

Plusieurs vulnérabilités ont été annoncées dans IE.

Un attaquant peut provoquer une corruption de mémoire, afin de mener un déni de service, et éventuellement d'exécuter du code. [grav:4/4; CVE-2014-4143, ZDI-14-375]

Un attaquant peut provoquer une corruption de mémoire, afin de mener un déni de service, et éventuellement d'exécuter du code. [grav:4/4; CVE-2014-6337]

Un attaquant peut provoquer une corruption de mémoire, afin de mener un déni de service, et éventuellement d'exécuter du code. [grav:4/4; CVE-2014-6341, ZDI-14-376]

Un attaquant peut provoquer une corruption de mémoire, afin de mener un déni de service, et éventuellement d'exécuter du code. [grav:4/4; CVE-2014-6342, ZDI-14-377]

Un attaquant peut provoquer une corruption de mémoire, afin de mener un déni de service, et éventuellement d'exécuter du code. [grav:4/4; CVE-2014-6343, ZDI-14-378]

Un attaquant peut provoquer une corruption de mémoire, afin de mener un déni de service, et éventuellement d'exécuter du code. [grav:4/4; CVE-2014-6344, ZDI-14-379]

Un attaquant peut provoquer une corruption de mémoire, afin de mener un déni de service, et éventuellement d'exécuter du code. [grav:4/4; CVE-2014-6347, ZDI-14-374]

Un attaquant peut provoquer une corruption de mémoire, afin de mener un déni de service, et éventuellement d'exécuter du code. [grav:4/4; CVE-2014-6348, ZDI-14-380]

Un attaquant peut provoquer une corruption de mémoire, afin de mener un déni de service, et éventuellement d'exécuter du code. [grav:4/4; CVE-2014-6351, ZDI-14-381]

Un attaquant peut provoquer une corruption de mémoire, afin de mener un déni de service, et éventuellement d'exécuter du code. [grav:4/4; CVE-2014-6353]

Un attaquant peut élever ses privilèges. [grav:2/4; CVE-2014-6349]

Un attaquant peut élever ses privilèges. [grav:2/4; CVE-2014-6350]

Un attaquant peut accéder à un autre domaine, afin d'obtenir des informations sensibles. [grav:2/4; CVE-2014-6340]

Un attaquant peut accéder à un autre domaine, afin d'obtenir des informations sensibles. [grav:2/4; CVE-2014-6345]

Un attaquant peut accéder à un autre domaine, afin d'obtenir des informations sensibles. [grav:2/4; CVE-2014-6346]

Un attaquant peut accéder au presse-papier, afin d'obtenir des informations sensibles. [grav:2/4; CVE-2014-6323]

Un attaquant peut contourner ASLR, afin d'obtenir des informations sensibles. [grav:2/4; CVE-2014-6339]
Bulletin Vigil@nce complet.... (Essai gratuit)

vulnérabilité informatique CVE-2014-3566

SSL 3.0 : déchiffrement de session, POODLE

Synthèse de la vulnérabilité

Un attaquant, placé en Man-in-the-Middle, peut déchiffrer une session SSL 3.0, afin d'obtenir des informations sensibles.
Produits concernés : SES, SNS, Apache httpd, Arkoon FAST360, ArubaOS, Asterisk Open Source, BES, ProxyAV, ProxySG par Blue Coat, SGOS par Blue Coat, GAiA, CheckPoint IP Appliance, IPSO, SecurePlatform, CheckPoint Security Appliance, CheckPoint Security Gateway, Cisco ASR, Cisco ACE, ASA, AsyncOS, Cisco CSS, Cisco ESA, IOS par Cisco, IOS XE Cisco, IOS XR Cisco, IronPort Email, Nexus par Cisco, NX-OS, Prime Infrastructure, Cisco PRSM, Cisco Router, WebNS, Clearswift Email Gateway, Clearswift Web Gateway, CUPS, Debian, Black Diamond, ExtremeXOS, Ridgeline, Summit, BIG-IP Hardware, TMOS, Fedora, FortiGate, FortiGate Virtual Appliance, FortiManager, FortiManager Virtual Appliance, FortiOS, FreeBSD, F-Secure AV, hMailServer, HPE BSM, HP Data Protector, HPE NNMi, HP Operations, ProCurve Switch, SiteScope, HP Switch, TippingPoint IPS, HP-UX, AIX, Domino, Notes, Security Directory Server, SPSS Data Collection, Tivoli System Automation, Tivoli Workload Scheduler, WebSphere AS Traditional, WebSphere MQ, WS_FTP Server, IVE OS, Juniper J-Series, Junos OS, Junos Space, Junos Space Network Management Platform, MAG Series par Juniper, NSM Central Manager, NSMXpress, Juniper SA, MBS, McAfee Email and Web Security, McAfee Email Gateway, ePO, VirusScan, McAfee Web Gateway, IE, Windows 2003, Windows 2008 R0, Windows 2008 R2, Windows 2012, Windows 7, Windows 8, Windows (plateforme) ~ non exhaustif, Windows RT, Windows Vista, NETASQ, NetBSD, NetIQ Sentinel, NetScreen Firewall, ScreenOS, nginx, OpenSSL, openSUSE, openSUSE Leap, Oracle DB, Oracle Fusion Middleware, Oracle Identity Management, Oracle OIT, Solaris, Tuxedo, WebLogic, Palo Alto Firewall PA***, PAN-OS, Polycom CMA, HDX, RealPresence Collaboration Server, RealPresence Distributed Media Application, Polycom VBP, Postfix, SSL (protocole), Puppet, RHEL, JBoss EAP par Red Hat, RSA Authentication Manager, ROS, ROX, RuggedSwitch, Slackware, Spectracom SecureSync, Splunk Enterprise, stunnel, SUSE Linux Enterprise Desktop, SLES, Synology DSM, Ubuntu, Unix (plateforme) ~ non exhaustif, ESXi, vCenter Server, VMware vSphere, VMware vSphere Hypervisor, WindRiver Linux.
Gravité : 3/4.
Conséquences : lecture de données, création/modification de données.
Provenance : client internet.
Confiance : confirmé par l'éditeur (5/5).
Date création : 15/10/2014.
Références : 10923, 1589583, 1595265, 1653364, 1657963, 1663874, 1687167, 1687173, 1687433, 1687604, 1687611, 1690160, 1690185, 1690342, 1691140, 1692551, 1695392, 1696383, 1699051, 1700706, 2977292, 3009008, 7036319, aid-10142014, AST-2014-011, bulletinapr2015, bulletinjan2015, bulletinjan2016, bulletinjul2015, bulletinjul2016, bulletinoct2015, c04486577, c04487990, c04492722, c04497114, c04506802, c04510230, c04567918, c04616259, c04626982, c04676133, c04776510, CERTFR-2014-ALE-007, CERTFR-2014-AVI-454, CERTFR-2014-AVI-509, CERTFR-2015-AVI-169, CERTFR-2016-AVI-303, cisco-sa-20141015-poodle, cpujul2017, CTX216642, CVE-2014-3566, DSA-3053-1, DSA-3253-1, DSA-3489-1, ESA-2014-178, ESA-2015-098, ESXi500-201502001, ESXi500-201502101-SG, ESXi510-201503001, ESXi510-201503001-SG, ESXi510-201503101-SG, ESXi550-201501001, ESXi550-201501101-SG, FEDORA-2014-12989, FEDORA-2014-12991, FEDORA-2014-13012, FEDORA-2014-13017, FEDORA-2014-13040, FEDORA-2014-13069, FEDORA-2014-13070, FEDORA-2014-13444, FEDORA-2014-13451, FEDORA-2014-13764, FEDORA-2014-13777, FEDORA-2014-13781, FEDORA-2014-13794, FEDORA-2014-14234, FEDORA-2014-14237, FEDORA-2014-15379, FEDORA-2014-15390, FEDORA-2014-15411, FEDORA-2014-17576, FEDORA-2014-17587, FEDORA-2015-9090, FEDORA-2015-9110, FreeBSD-SA-14:23.openssl, FSC-2014-8, HPSBGN03256, HPSBGN03305, HPSBGN03332, HPSBHF03156, HPSBHF03300, HPSBMU03152, HPSBMU03184, HPSBMU03213, HPSBMU03416, HPSBUX03162, HPSBUX03194, JSA10656, MDVSA-2014:203, MDVSA-2014:218, MDVSA-2015:062, NetBSD-SA2014-015, nettcp_advisory, openSUSE-SU-2014:1331-1, openSUSE-SU-2014:1384-1, openSUSE-SU-2014:1395-1, openSUSE-SU-2014:1426-1, openSUSE-SU-2016:0640-1, openSUSE-SU-2016:1586-1, openSUSE-SU-2017:0980-1, PAN-SA-2014-0005, POODLE, RHSA-2014:1652-01, RHSA-2014:1653-01, RHSA-2014:1692-01, RHSA-2014:1920-01, RHSA-2014:1948-01, RHSA-2015:0010-01, RHSA-2015:0011-01, RHSA-2015:0012-01, RHSA-2015:1545-01, RHSA-2015:1546-01, SA83, SB10090, SB10104, sk102989, SOL15702, SP-CAAANKE, SP-CAAANST, SPL-91947, SPL-91948, SSA:2014-288-01, SSA-396873, SSA-472334, SSRT101767, STORM-2014-02-FR, SUSE-SU-2014:1357-1, SUSE-SU-2014:1361-1, SUSE-SU-2014:1386-1, SUSE-SU-2014:1387-1, SUSE-SU-2014:1387-2, SUSE-SU-2014:1409-1, SUSE-SU-2015:0010-1, SUSE-SU-2016:1457-1, SUSE-SU-2016:1459-1, T1021439, TSB16540, USN-2839-1, VIGILANCE-VUL-15485, VMSA-2015-0001, VMSA-2015-0001.1, VMSA-2015-0001.2, VN-2014-003, VU#577193.

Description de la vulnérabilité

Les sessions SSL/TLS peuvent être établies en utilisant plusieurs protocoles :
 - SSL 2.0 (obsolète)
 - SSL 3.0
 - TLS 1.0
 - TLS 1.1
 - TLS 1.2

Un attaquant peut abaisser la version (downgrade) en SSLv3. Cependant, avec SSL 3.0, un attaquant peut modifier la position du padding (octets de bourrage) en chiffrement CBC, afin de progressivement deviner des fragments d'information en clair.

Cette vulnérabilité porte le nom POODLE (Padding Oracle On Downgraded Legacy Encryption).

Un attaquant, placé en Man-in-the-Middle, peut donc déchiffrer une session SSL 3.0, afin d'obtenir des informations sensibles.
Bulletin Vigil@nce complet.... (Essai gratuit)

avis de vulnérabilité informatique CVE-2014-0558 CVE-2014-0564 CVE-2014-0569

Adobe Flash Player : trois vulnérabilités

Synthèse de la vulnérabilité

Un attaquant peut employer plusieurs vulnérabilités de Adobe Flash Player.
Produits concernés : Flash Player, IE, openSUSE, RHEL, SUSE Linux Enterprise Desktop, SLES.
Gravité : 4/4.
Conséquences : accès/droits utilisateur.
Provenance : document.
Confiance : confirmé par l'éditeur (5/5).
Date création : 14/10/2014.
Références : 2755801, APSB14-22, CERTFR-2014-AVI-431, CVE-2014-0558, CVE-2014-0564, CVE-2014-0569, openSUSE-SU-2014:1329-1, openSUSE-SU-2015:0725-1, RHSA-2014:1648-01, SUSE-SU-2014:1360-1, SUSE-SU-2014:1423-1, VIGILANCE-VUL-15479, ZDI-14-365.

Description de la vulnérabilité

Plusieurs vulnérabilités ont été annoncées dans Adobe Flash Player.

Un attaquant peut provoquer une corruption de mémoire, afin de mener un déni de service, et éventuellement d'exécuter du code. [grav:4/4; CVE-2014-0564]

Un attaquant peut provoquer une corruption de mémoire, afin de mener un déni de service, et éventuellement d'exécuter du code. [grav:4/4; CVE-2014-0558]

Un attaquant peut provoquer un débordement d'entier, afin de mener un déni de service, et éventuellement d'exécuter du code. [grav:4/4; CVE-2014-0569, ZDI-14-365]
Bulletin Vigil@nce complet.... (Essai gratuit)

annonce de vulnérabilité CVE-2014-4123 CVE-2014-4124 CVE-2014-4126

Internet Explorer : multiples vulnérabilités

Synthèse de la vulnérabilité

Un attaquant peut employer plusieurs vulnérabilités de Internet Explorer.
Produits concernés : IE.
Gravité : 4/4.
Conséquences : accès/droits privilégié, accès/droits utilisateur, lecture de données.
Provenance : document.
Confiance : confirmé par l'éditeur (5/5).
Date création : 14/10/2014.
Références : 2987107, CERTFR-2014-AVI-424, CVE-2014-4123, CVE-2014-4124, CVE-2014-4126, CVE-2014-4127, CVE-2014-4128, CVE-2014-4129, CVE-2014-4130, CVE-2014-4132, CVE-2014-4133, CVE-2014-4134, CVE-2014-4137, CVE-2014-4138, CVE-2014-4140, CVE-2014-4141, MS14-056, VIGILANCE-VUL-15472, ZDI-14-351, ZDI-14-352, ZDI-14-353.

Description de la vulnérabilité

Plusieurs vulnérabilités ont été annoncées dans Internet Explorer.

Un attaquant peut utiliser une vulnérabilité, afin d'élever ses privilèges. [grav:2/4; CVE-2014-4123]

Un attaquant peut utiliser une vulnérabilité, afin d'élever ses privilèges. [grav:2/4; CVE-2014-4124]

Un attaquant peut contourner la protection ASLR, afin d'exploiter plus facilement une corruption de mémoire. [grav:3/4; CVE-2014-4140]

Un attaquant peut provoquer une corruption de mémoire, afin de mener un déni de service, et éventuellement d'exécuter du code. [grav:4/4; CVE-2014-4126]

Un attaquant peut provoquer une corruption de mémoire, afin de mener un déni de service, et éventuellement d'exécuter du code. [grav:4/4; CVE-2014-4127]

Un attaquant peut provoquer une corruption de mémoire, afin de mener un déni de service, et éventuellement d'exécuter du code. [grav:4/4; CVE-2014-4128]

Un attaquant peut provoquer une corruption de mémoire, afin de mener un déni de service, et éventuellement d'exécuter du code. [grav:4/4; CVE-2014-4129]

Un attaquant peut provoquer une corruption de mémoire, afin de mener un déni de service, et éventuellement d'exécuter du code. [grav:4/4; CVE-2014-4130, ZDI-14-353]

Un attaquant peut provoquer une corruption de mémoire, afin de mener un déni de service, et éventuellement d'exécuter du code. [grav:4/4; CVE-2014-4132]

Un attaquant peut provoquer une corruption de mémoire, afin de mener un déni de service, et éventuellement d'exécuter du code. [grav:4/4; CVE-2014-4133]

Un attaquant peut provoquer une corruption de mémoire, afin de mener un déni de service, et éventuellement d'exécuter du code. [grav:4/4; CVE-2014-4134]

Un attaquant peut provoquer une corruption de mémoire, afin de mener un déni de service, et éventuellement d'exécuter du code. [grav:4/4; CVE-2014-4137]

Un attaquant peut provoquer une corruption de mémoire, afin de mener un déni de service, et éventuellement d'exécuter du code. [grav:4/4; CVE-2014-4138, ZDI-14-352]

Un attaquant peut provoquer une corruption de mémoire, afin de mener un déni de service, et éventuellement d'exécuter du code. [grav:4/4; CVE-2014-4141, ZDI-14-351]
Bulletin Vigil@nce complet.... (Essai gratuit)

bulletin de vulnérabilité informatique 15438

Internet Explorer : utilisation de mémoire libérée via Script Debugging

Synthèse de la vulnérabilité

Un attaquant peut provoquer l'utilisation d'une zone mémoire libérée dans Script Debugging de Internet Explorer, afin de mener un déni de service, et éventuellement d'exécuter du code.
Produits concernés : IE.
Gravité : 2/4.
Conséquences : accès/droits administrateur, accès/droits privilégié, accès/droits utilisateur, déni de service du client.
Provenance : document.
Confiance : confirmé par un tiers de confiance (4/5).
Date création : 03/10/2014.
Références : VIGILANCE-VUL-15438, ZDI-14-349.

Description de la vulnérabilité

Le produit Internet Explorer permet aux développeurs d'activer la fonctionnalité Script Debugging.

Cependant, la manipulation d'un objet ScriptEngine force un pointeur libéré à être réutilisé.

Un attaquant peut donc provoquer l'utilisation d'une zone mémoire libérée dans Script Debugging de Internet Explorer, afin de mener un déni de service, et éventuellement d'exécuter du code.
Bulletin Vigil@nce complet.... (Essai gratuit)
Notre base de données contient d'autres bulletins. Vous pouvez utiliser un essai gratuit pour les consulter.

Consulter les informations sur Microsoft Internet Explorer :