L'équipe Vigil@nce veille les vulnérabilités publiques qui affectent votre parc informatique, puis propose des correctifs sécurité, une base et des outils pour y remédier.

Vulnérabilités informatiques de Microsoft Internet Explorer

annonce de vulnérabilité informatique CVE-2015-0332 CVE-2015-0333 CVE-2015-0334

Adobe Flash Player : multiples vulnérabilités

Synthèse de la vulnérabilité

Un attaquant peut employer plusieurs vulnérabilités de Adobe Flash Player.
Produits concernés : Flash Player, IE, openSUSE, RHEL, SUSE Linux Enterprise Desktop, SLES.
Gravité : 3/4.
Conséquences : accès/droits utilisateur, lecture de données.
Provenance : document.
Nombre de vulnérabilités dans ce bulletin : 11.
Date création : 13/03/2015.
Références : 2755801, APSB15-05, CERTFR-2015-AVI-114, CVE-2015-0332, CVE-2015-0333, CVE-2015-0334, CVE-2015-0335, CVE-2015-0336, CVE-2015-0337, CVE-2015-0338, CVE-2015-0339, CVE-2015-0340, CVE-2015-0341, CVE-2015-0342, openSUSE-SU-2015:0490-1, openSUSE-SU-2015:0496-1, openSUSE-SU-2015:0725-1, RHSA-2015:0697-01, SUSE-SU-2015:0491-1, SUSE-SU-2015:0493-1, VIGILANCE-VUL-16387, ZDI-15-087.

Description de la vulnérabilité

Plusieurs vulnérabilités ont été annoncées dans Adobe Flash Player.

Un attaquant peut provoquer une corruption de mémoire, afin de mener un déni de service, et éventuellement d'exécuter du code. [grav:3/4; CVE-2015-0332]

Un attaquant peut provoquer une corruption de mémoire, afin de mener un déni de service, et éventuellement d'exécuter du code. [grav:3/4; CVE-2015-0333]

Un attaquant peut provoquer une corruption de mémoire, afin de mener un déni de service, et éventuellement d'exécuter du code. [grav:3/4; CVE-2015-0335]

Un attaquant peut provoquer une corruption de mémoire, afin de mener un déni de service, et éventuellement d'exécuter du code. [grav:3/4; CVE-2015-0339]

Un attaquant peut provoquer une corruption de mémoire, afin de mener un déni de service, et éventuellement d'exécuter du code. [grav:3/4; CVE-2015-0334]

Un attaquant peut provoquer une corruption de mémoire, afin de mener un déni de service, et éventuellement d'exécuter du code. [grav:3/4; CVE-2015-0336]

Un attaquant peut accéder aux données d'un autre site web. [grav:2/4; CVE-2015-0337]

Un attaquant peut uploader un fichier illicite, afin par exemple de déposer un Cheval de Troie. [grav:3/4; CVE-2015-0340]

Un attaquant peut provoquer un débordement d'entier, afin de mener un déni de service, et éventuellement d'exécuter du code. [grav:3/4; CVE-2015-0338]

Un attaquant peut provoquer l'utilisation d'une zone mémoire libérée, afin de mener un déni de service, et éventuellement d'exécuter du code. [grav:3/4; CVE-2015-0341, ZDI-15-087]

Un attaquant peut provoquer l'utilisation d'une zone mémoire libérée, afin de mener un déni de service, et éventuellement d'exécuter du code. [grav:3/4; CVE-2015-0342]
Bulletin Vigil@nce complet... (Essai gratuit)

avis de vulnérabilité CVE-2015-0311

Adobe Flash Player : utilisation de mémoire libérée via UncompressViaZlibVariant

Synthèse de la vulnérabilité

Un attaquant peut inviter la victime à visionner une animation Adobe Flash Player illicite, pour provoquer l'utilisation d'une zone mémoire libérée dans ByteArray::UncompressViaZlibVariant, afin de mener un déni de service, et éventuellement d'exécuter du code.
Produits concernés : Flash Player, IE, openSUSE, RHEL, SUSE Linux Enterprise Desktop, SLES.
Gravité : 3/4.
Conséquences : accès/droits administrateur, accès/droits privilégié, accès/droits utilisateur, déni de service du serveur, déni de service du service, déni de service du client.
Provenance : document.
Date création : 22/01/2015.
Dates révisions : 23/01/2015, 12/03/2015.
Références : 2755801, APSA15-01, CVE-2015-0311, openSUSE-SU-2015:0150-1, openSUSE-SU-2015:0174-1, RHSA-2015:0094-01, SUSE-SU-2015:0151-1, SUSE-SU-2015:0163-1, VIGILANCE-VUL-16034.

Description de la vulnérabilité

Le produit Adobe Flash Player affiche les animations incluses sur les pages web.

Cependant, la fonction ByteArray::UncompressViaZlibVariant libère une zone mémoire avant de la réutiliser.

Un attaquant peut donc inviter la victime à visionner une animation Adobe Flash Player illicite, pour provoquer l'utilisation d'une zone mémoire libérée dans ByteArray::UncompressViaZlibVariant, afin de mener un déni de service, et éventuellement d'exécuter du code.
Bulletin Vigil@nce complet... (Essai gratuit)

annonce de vulnérabilité CVE-2015-0032 CVE-2015-0056 CVE-2015-0072

IE : multiples vulnérabilités

Synthèse de la vulnérabilité

Un attaquant peut employer plusieurs vulnérabilités de IE.
Produits concernés : IE.
Gravité : 4/4.
Conséquences : accès/droits utilisateur, déni de service du client.
Provenance : document.
Nombre de vulnérabilités dans ce bulletin : 12.
Date création : 10/03/2015.
Références : 3032359, CERTFR-2015-ALE-004, CERTFR-2015-AVI-094, CVE-2015-0032, CVE-2015-0056, CVE-2015-0072, CVE-2015-0099, CVE-2015-0100, CVE-2015-1622, CVE-2015-1623, CVE-2015-1624, CVE-2015-1625, CVE-2015-1626, CVE-2015-1627, CVE-2015-1634, MS15-018, VIGILANCE-VUL-16362, ZDI-15-075, ZDI-15-077, ZDI-15-080, ZDI-15-081, ZDI-15-082, ZDI-15-083, ZDI-15-084, ZDI-15-255.

Description de la vulnérabilité

Plusieurs vulnérabilités ont été annoncées dans IE.

Un attaquant peut provoquer une corruption de mémoire, afin de mener un déni de service, et éventuellement d'exécuter du code. [grav:4/4; CVE-2015-0056, ZDI-15-077]

Un attaquant peut provoquer une corruption de mémoire, afin de mener un déni de service, et éventuellement d'exécuter du code. [grav:4/4; CVE-2015-0099, ZDI-15-080]

Un attaquant peut provoquer une corruption de mémoire, afin de mener un déni de service, et éventuellement d'exécuter du code. [grav:4/4; CVE-2015-0100, ZDI-15-081]

Un attaquant peut provoquer une corruption de mémoire, afin de mener un déni de service, et éventuellement d'exécuter du code. [grav:4/4; CVE-2015-1622, ZDI-15-082, ZDI-15-255]

Un attaquant peut provoquer une corruption de mémoire, afin de mener un déni de service, et éventuellement d'exécuter du code. [grav:4/4; CVE-2015-1623, ZDI-15-083]

Un attaquant peut provoquer une corruption de mémoire, afin de mener un déni de service, et éventuellement d'exécuter du code. [grav:4/4; CVE-2015-1624, ZDI-15-084]

Un attaquant peut provoquer une corruption de mémoire, afin de mener un déni de service, et éventuellement d'exécuter du code. [grav:4/4; CVE-2015-1625]

Un attaquant peut provoquer une corruption de mémoire, afin de mener un déni de service, et éventuellement d'exécuter du code. [grav:4/4; CVE-2015-1626, ZDI-15-075]

Un attaquant peut provoquer une corruption de mémoire, afin de mener un déni de service, et éventuellement d'exécuter du code. [grav:4/4; CVE-2015-1634]

Un attaquant peut provoquer une corruption de mémoire dans VBScript, afin de mener un déni de service, et éventuellement d'exécuter du code (VIGILANCE-VUL-16363). [grav:4/4; CVE-2015-0032]

Un attaquant peut provoquer un Cross Site Scripting sur Internet Explorer via un Frame et un Redirect, afin d'exécuter du code JavaScript dans le contexte du site web (VIGILANCE-VUL-16098). [grav:2/4; CERTFR-2015-ALE-004, CVE-2015-0072]

Un attaquant peut utiliser un script, afin d'élever ses privilèges. [grav:3/4; CVE-2015-1627]
Bulletin Vigil@nce complet... (Essai gratuit)

annonce de vulnérabilité CVE-2015-1637

Windows Schannel : affaiblissement du chiffrement TLS via FREAK

Synthèse de la vulnérabilité

Un attaquant, placé en Man-in-the-middle, peut forcer le client Windows Schannel à accepter un algorithme d'export faible, afin de plus facilement intercepter ou modifier les données échangées.
Produits concernés : IE, Windows 2003, Windows 2008 R0, Windows 2008 R2, Windows 2012, Windows 7, Windows 8, Windows RT, Windows Vista.
Gravité : 2/4.
Conséquences : lecture de données, création/modification de données.
Provenance : serveur internet.
Date création : 06/03/2015.
Références : 3046015, 3046049, CERTFR-2015-AVI-107, CVE-2015-1637, FREAK, MS15-031, VIGILANCE-VUL-16332, VU#243585.

Description de la vulnérabilité

Le protocole TLS utilise une succession de messages, que le client et le serveur doivent échanger, avant d'établir une session sécurisée.

Plusieurs algorithmes cryptographiques sont négociables, dont les algorithmes compatibles avec l'export USA (moins de 512 bits).

Un attaquant placé en Man-in-the-middle peut injecter en début de session TLS un message choisissant un algorithme d'export. Ce message devrait générer une erreur, cependant le client Windows Schannel l'accepte.

Microsoft indique que cette vulnérabilité est différente de VIGILANCE-VUL-16301, car les algorithmes d'export sont désactivés, mais quand même utilisés. Excepté cette différence de politique de sécurité, cette vulnérabilité est la même.

Un attaquant, placé en Man-in-the-middle, peut donc forcer le client Windows Schannel à accepter un algorithme d'export faible, afin de plus facilement intercepter ou modifier les données échangées.
Bulletin Vigil@nce complet... (Essai gratuit)

avis de vulnérabilité informatique CVE-2015-0017 CVE-2015-0018 CVE-2015-0019

Internet Explorer : multiples vulnérabilités

Synthèse de la vulnérabilité

Un attaquant peut employer plusieurs vulnérabilités de Internet Explorer.
Produits concernés : IE.
Gravité : 4/4.
Conséquences : accès/droits utilisateur, lecture de données, création/modification de données, déni de service du client.
Provenance : document.
Nombre de vulnérabilités dans ce bulletin : 40.
Date création : 10/02/2015.
Références : 3034682, CERTFR-2015-AVI-060, CVE-2015-0017, CVE-2015-0018, CVE-2015-0019, CVE-2015-0020, CVE-2015-0021, CVE-2015-0022, CVE-2015-0023, CVE-2015-0025, CVE-2015-0026, CVE-2015-0027, CVE-2015-0028, CVE-2015-0029, CVE-2015-0030, CVE-2015-0031, CVE-2015-0035, CVE-2015-0036, CVE-2015-0037, CVE-2015-0038, CVE-2015-0039, CVE-2015-0040, CVE-2015-0041, CVE-2015-0042, CVE-2015-0043, CVE-2015-0044, CVE-2015-0045, CVE-2015-0046, CVE-2015-0048, CVE-2015-0049, CVE-2015-0050, CVE-2015-0051, CVE-2015-0052, CVE-2015-0053, CVE-2015-0054, CVE-2015-0055, CVE-2015-0066, CVE-2015-0067, CVE-2015-0068, CVE-2015-0069, CVE-2015-0070, CVE-2015-0071, MS15-009, VIGILANCE-VUL-16159, ZDI-15-013, ZDI-15-014, ZDI-15-015, ZDI-15-016, ZDI-15-017, ZDI-15-018, ZDI-15-019, ZDI-15-020, ZDI-15-021, ZDI-15-022, ZDI-15-023, ZDI-15-024, ZDI-15-025, ZDI-15-026, ZDI-15-027, ZDI-15-028, ZDI-15-029, ZDI-15-102.

Description de la vulnérabilité

Plusieurs vulnérabilités ont été annoncées dans Internet Explorer.

Un attaquant peut provoquer une corruption de mémoire, afin de mener un déni de service, et éventuellement d'exécuter du code. [grav:4/4; CVE-2015-0017, ZDI-15-013]

Un attaquant peut provoquer une corruption de mémoire, afin de mener un déni de service, et éventuellement d'exécuter du code. [grav:4/4; CVE-2015-0018]

Un attaquant peut provoquer une corruption de mémoire, afin de mener un déni de service, et éventuellement d'exécuter du code. [grav:4/4; CVE-2015-0019]

Un attaquant peut provoquer une corruption de mémoire, afin de mener un déni de service, et éventuellement d'exécuter du code. [grav:4/4; CVE-2015-0020]

Un attaquant peut provoquer une corruption de mémoire, afin de mener un déni de service, et éventuellement d'exécuter du code. [grav:4/4; CVE-2015-0021]

Un attaquant peut provoquer une corruption de mémoire, afin de mener un déni de service, et éventuellement d'exécuter du code. [grav:4/4; CVE-2015-0022]

Un attaquant peut provoquer une corruption de mémoire, afin de mener un déni de service, et éventuellement d'exécuter du code. [grav:4/4; CVE-2015-0023]

Un attaquant peut provoquer une corruption de mémoire, afin de mener un déni de service, et éventuellement d'exécuter du code. [grav:4/4; CVE-2015-0025, ZDI-15-014]

Un attaquant peut provoquer une corruption de mémoire, afin de mener un déni de service, et éventuellement d'exécuter du code. [grav:4/4; CVE-2015-0026]

Un attaquant peut provoquer une corruption de mémoire, afin de mener un déni de service, et éventuellement d'exécuter du code. [grav:4/4; CVE-2015-0027, ZDI-15-015]

Un attaquant peut provoquer une corruption de mémoire, afin de mener un déni de service, et éventuellement d'exécuter du code. [grav:4/4; CVE-2015-0028]

Un attaquant peut provoquer une corruption de mémoire, afin de mener un déni de service, et éventuellement d'exécuter du code. [grav:4/4; CVE-2015-0029]

Un attaquant peut provoquer une corruption de mémoire, afin de mener un déni de service, et éventuellement d'exécuter du code. [grav:4/4; CVE-2015-0030]

Un attaquant peut provoquer une corruption de mémoire, afin de mener un déni de service, et éventuellement d'exécuter du code. [grav:4/4; CVE-2015-0031, ZDI-15-016]

Un attaquant peut provoquer une corruption de mémoire, afin de mener un déni de service, et éventuellement d'exécuter du code. [grav:4/4; CVE-2015-0035, ZDI-15-017, ZDI-15-018]

Un attaquant peut provoquer une corruption de mémoire, afin de mener un déni de service, et éventuellement d'exécuter du code. [grav:4/4; CVE-2015-0036, ZDI-15-019]

Un attaquant peut provoquer une corruption de mémoire, afin de mener un déni de service, et éventuellement d'exécuter du code. [grav:4/4; CVE-2015-0037, ZDI-15-020]

Un attaquant peut provoquer une corruption de mémoire, afin de mener un déni de service, et éventuellement d'exécuter du code. [grav:4/4; CVE-2015-0038, ZDI-15-021]

Un attaquant peut provoquer une corruption de mémoire, afin de mener un déni de service, et éventuellement d'exécuter du code. [grav:4/4; CVE-2015-0039]

Un attaquant peut provoquer une corruption de mémoire, afin de mener un déni de service, et éventuellement d'exécuter du code. [grav:4/4; CVE-2015-0040, ZDI-15-022]

Un attaquant peut provoquer une corruption de mémoire, afin de mener un déni de service, et éventuellement d'exécuter du code. [grav:4/4; CVE-2015-0041, ZDI-15-023]

Un attaquant peut provoquer une corruption de mémoire, afin de mener un déni de service, et éventuellement d'exécuter du code. [grav:4/4; CVE-2015-0042, ZDI-15-024]

Un attaquant peut provoquer une corruption de mémoire, afin de mener un déni de service, et éventuellement d'exécuter du code. [grav:4/4; CVE-2015-0043, ZDI-15-025, ZDI-15-102]

Un attaquant peut provoquer une corruption de mémoire, afin de mener un déni de service, et éventuellement d'exécuter du code. [grav:4/4; CVE-2015-0044, ZDI-15-026]

Un attaquant peut provoquer une corruption de mémoire, afin de mener un déni de service, et éventuellement d'exécuter du code. [grav:4/4; CVE-2015-0045, ZDI-15-027]

Un attaquant peut provoquer une corruption de mémoire, afin de mener un déni de service, et éventuellement d'exécuter du code. [grav:4/4; CVE-2015-0046, ZDI-15-028]

Un attaquant peut provoquer une corruption de mémoire, afin de mener un déni de service, et éventuellement d'exécuter du code. [grav:4/4; CVE-2015-0048]

Un attaquant peut provoquer une corruption de mémoire, afin de mener un déni de service, et éventuellement d'exécuter du code. [grav:4/4; CVE-2015-0049]

Un attaquant peut provoquer une corruption de mémoire, afin de mener un déni de service, et éventuellement d'exécuter du code. [grav:4/4; CVE-2015-0050]

Un attaquant peut provoquer une corruption de mémoire, afin de mener un déni de service, et éventuellement d'exécuter du code. [grav:4/4; CVE-2015-0052]

Un attaquant peut provoquer une corruption de mémoire, afin de mener un déni de service, et éventuellement d'exécuter du code. [grav:4/4; CVE-2015-0053, ZDI-15-029]

Un attaquant peut provoquer une corruption de mémoire, afin de mener un déni de service, et éventuellement d'exécuter du code. [grav:4/4; CVE-2015-0066]

Un attaquant peut provoquer une corruption de mémoire, afin de mener un déni de service, et éventuellement d'exécuter du code. [grav:4/4; CVE-2015-0067]

Un attaquant peut provoquer une corruption de mémoire, afin de mener un déni de service, et éventuellement d'exécuter du code. [grav:4/4; CVE-2015-0068]

Un attaquant peut élever ses privilèges. [grav:3/4; CVE-2015-0054]

Un attaquant peut élever ses privilèges. [grav:3/4; CVE-2015-0055]

Un attaquant peut contourner ASLR, afin d'exploiter une corruption de mémoire. [grav:2/4; CVE-2015-0051]

Un attaquant peut contourner ASLR, afin d'exploiter une corruption de mémoire. [grav:2/4; CVE-2015-0069]

Un attaquant peut contourner ASLR, afin d'exploiter une corruption de mémoire. [grav:2/4; CVE-2015-0071]

Un attaquant peut accéder à un autre domaine, afin d'obtenir des informations sensibles. [grav:2/4; CVE-2015-0070]
Bulletin Vigil@nce complet... (Essai gratuit)

annonce de vulnérabilité informatique CVE-2015-0313

Adobe Flash Player : exécution de code

Synthèse de la vulnérabilité

Un attaquant peut inviter la victime à visionner une animation Adobe Flash Player illicite, afin d'exécuter du code.
Produits concernés : Flash Player, IE, openSUSE, SUSE Linux Enterprise Desktop, SLES.
Gravité : 3/4.
Conséquences : accès/droits utilisateur.
Provenance : document.
Date création : 02/02/2015.
Date révision : 03/02/2015.
Références : 2755801, APSA15-02, APSB15-04, CERTFR-2015-ALE-002, CERTFR-2015-AVI-055, CVE-2015-0313, openSUSE-SU-2015:0237-1, openSUSE-SU-2015:0238-1, SUSE-SU-2015:0236-1, SUSE-SU-2015:0239-1, VIGILANCE-VUL-16097.

Description de la vulnérabilité

Le produit Adobe Flash Player affiche les animations incluses sur les pages web.

Cependant, un attaquant peut créer une animation conduisant à l'exécution de code sur l'ordinateur de la victime.

Un attaquant peut donc inviter la victime à visionner une animation Adobe Flash Player illicite, afin d'exécuter du code.
Bulletin Vigil@nce complet... (Essai gratuit)

bulletin de vulnérabilité informatique CVE-2015-0072

IE : Cross Site Scripting via Frame et Redirect

Synthèse de la vulnérabilité

Un attaquant peut provoquer un Cross Site Scripting sur Internet Explorer via un Frame et un Redirect, afin d'exécuter du code JavaScript dans le contexte du site web.
Produits concernés : IE.
Gravité : 3/4.
Conséquences : accès/droits client.
Provenance : document.
Date création : 03/02/2015.
Références : 3032359, CERTFR-2015-ALE-004, CVE-2015-0072, MS15-018, VIGILANCE-VUL-16098.

Description de la vulnérabilité

Un Frame HTML permet d'inclure un document dans un autre. La redirection HTTP redirige une url vers une autre.

Cependant, en utilisant un Frame et une redirection, un site web peut accéder à un autre site web.

Un attaquant peut donc provoquer un Cross Site Scripting sur Internet Explorer via un Frame et un Redirect, afin d'exécuter du code JavaScript dans le contexte du site web.
Bulletin Vigil@nce complet... (Essai gratuit)

avis de vulnérabilité CVE-2015-0312

Adobe Flash Player : utilisation de mémoire libérée

Synthèse de la vulnérabilité

Un attaquant peut provoquer l'utilisation d'une zone mémoire libérée de Adobe Flash Player, afin de mener un déni de service, et éventuellement d'exécuter du code.
Produits concernés : Flash Player, IE, RHEL.
Gravité : 3/4.
Conséquences : accès/droits utilisateur, déni de service du client.
Provenance : document.
Date création : 27/01/2015.
Références : 2755801, APSA15-01, APSB15-03, CVE-2015-0312, RHSA-2015:0094-01, VIGILANCE-VUL-16064.

Description de la vulnérabilité

Le produit Adobe Flash Player affiche les animations incluses sur les pages web.

Cependant, une animation illicite force la double libération d'une zone mémoire.

Un attaquant peut donc provoquer l'utilisation d'une zone mémoire libérée de Adobe Flash Player, afin de mener un déni de service, et éventuellement d'exécuter du code.
Bulletin Vigil@nce complet... (Essai gratuit)

alerte de vulnérabilité informatique CVE-2015-0310

Adobe Flash Player : contournement de ASLR

Synthèse de la vulnérabilité

Un attaquant peut contourner ASLR via Adobe Flash Player, afin de faciliter l'exploitation d'une autre vulnérabilité.
Produits concernés : Flash Player, IE, openSUSE, RHEL, SUSE Linux Enterprise Desktop, SLES.
Gravité : 2/4.
Conséquences : accès/droits utilisateur.
Provenance : document.
Date création : 23/01/2015.
Références : 2755801, APSB15-02, CERTFR-2015-ALE-001, CERTFR-2015-AVI-037, CVE-2015-0310, openSUSE-SU-2015:0110-1, openSUSE-SU-2015:0147-1, openSUSE-SU-2015:0174-1, RHSA-2015:0094-01, SUSE-SU-2015:0129-1, SUSE-SU-2015:0135-1, VIGILANCE-VUL-16036.

Description de la vulnérabilité

Les systèmes utilisent ASLR afin de rendre aléatoire les adresses mémoire utilisées par les programmes et les bibliothèques.

Cependant, Adobe Flash Player permet à un attaquant de contourner cette mesure de sécurité.

Un attaquant peut donc contourner ASLR via Adobe Flash Player, afin de faciliter l'exploitation d'une autre vulnérabilité.
Bulletin Vigil@nce complet... (Essai gratuit)

annonce de vulnérabilité CVE-2015-0301 CVE-2015-0302 CVE-2015-0303

Adobe Flash Player : multiples vulnérabilités

Synthèse de la vulnérabilité

Un attaquant peut employer plusieurs vulnérabilités de Adobe Flash Player.
Produits concernés : Flash Player, Chrome, IE, openSUSE, RHEL, SUSE Linux Enterprise Desktop, SLES.
Gravité : 3/4.
Conséquences : accès/droits utilisateur, déni de service du client.
Provenance : document.
Nombre de vulnérabilités dans ce bulletin : 9.
Date création : 13/01/2015.
Références : 2755801, APSB15-01, CERTFR-2015-AVI-019, CVE-2015-0301, CVE-2015-0302, CVE-2015-0303, CVE-2015-0304, CVE-2015-0305, CVE-2015-0306, CVE-2015-0307, CVE-2015-0308, CVE-2015-0309, openSUSE-SU-2015:0059-1, openSUSE-SU-2015:0061-1, openSUSE-SU-2015:0174-1, RHSA-2015:0052-01, SUSE-SU-2015:0052-1, SUSE-SU-2015:0062-1, VIGILANCE-VUL-15952, ZDI-15-007.

Description de la vulnérabilité

Plusieurs vulnérabilités ont été annoncées dans Adobe Flash Player.

Un attaquant peut utiliser un fichier qui n'est pas validé. [grav:1/4; CVE-2015-0301]

Un attaquant peut capturer les touches, afin d'obtenir des informations sensibles. [grav:2/4; CVE-2015-0302]

Un attaquant peut provoquer une corruption de mémoire, afin de mener un déni de service, et éventuellement d'exécuter du code. [grav:3/4; CVE-2015-0303]

Un attaquant peut provoquer une corruption de mémoire, afin de mener un déni de service, et éventuellement d'exécuter du code. [grav:3/4; CVE-2015-0306]

Un attaquant peut provoquer un buffer overflow, afin de mener un déni de service, et éventuellement d'exécuter du code. [grav:3/4; CVE-2015-0304]

Un attaquant peut provoquer un buffer overflow, afin de mener un déni de service, et éventuellement d'exécuter du code. [grav:3/4; CVE-2015-0309]

Un attaquant peut provoquer une corruption de mémoire, afin de mener un déni de service, et éventuellement d'exécuter du code. [grav:3/4; CVE-2015-0305]

Un attaquant peut lire un fragment de la mémoire, afin d'obtenir des informations sensibles. [grav:2/4; CVE-2015-0307, ZDI-15-007]

Un attaquant peut provoquer l'utilisation d'une zone mémoire libérée, afin de mener un déni de service, et éventuellement d'exécuter du code. [grav:3/4; CVE-2015-0308]
Bulletin Vigil@nce complet... (Essai gratuit)
Notre base de données contient d'autres bulletins. Vous pouvez utiliser un essai gratuit pour les consulter.

Consulter les informations sur Microsoft Internet Explorer :