L'équipe Vigil@nce veille les vulnérabilités publiques qui affectent votre parc informatique, puis propose des correctifs sécurité, une base et des outils pour y remédier.

Vulnérabilités informatiques de Microsoft Windows NT

avis de vulnérabilité informatique 9879

Windows : exécution de code via DLL Preload

Synthèse de la vulnérabilité

Un attaquant peut utiliser une DLL illicite afin de faire exécuter du code dans le contexte de l'application cible.
Produits concernés : Windows 2000, Windows 2003, Windows 2008 R0, Windows 2008 R2, Windows 7, Windows NT, Windows Vista, Windows XP.
Gravité : 2/4.
Conséquences : accès/droits utilisateur.
Provenance : compte utilisateur.
Date création : 25/08/2010.
Références : 2269637, VIGILANCE-VUL-9879, VU#707943.

Description de la vulnérabilité

Une application peut utiliser plusieurs bibliothèques DLL (Dynamic Link library).

Lorsqu'une application utilise une fonction d'une DLL, celle-ci est d'abord chargée via LoadLibrary(), puis la fonction est exécutée.

Si l'application ne précise pas le chemin de la DLL, Windows recherche la DLL à plusieurs endroits (répertoire courant, répertoire système, etc.) et charge la première trouvée. Lorsqu'une DLL illicite portant le nom cherché est située dans le chemin de recherche, elle est donc chargée avant la DLL légitime.

Un attaquant peut donc placer une DLL illicite sur un partage WebDAV ou SMB, et inviter la victime à ouvrir un document depuis ce site, afin de faire exécuter du code dans le contexte de l'application cible.
Bulletin Vigil@nce complet... (Essai gratuit)

bulletin de vulnérabilité CVE-2010-0232

Windows : élévation de privilèges via NtVdm

Synthèse de la vulnérabilité

Un attaquant local, sur un processeur x86, peut employer le système de compatibilité 16 bits, afin d'élever ses privilèges.
Produits concernés : Windows 2000, Windows 2003, Windows 2008 R0, Windows 7, Windows NT, Windows Vista, Windows XP.
Gravité : 2/4.
Conséquences : accès/droits administrateur.
Provenance : shell utilisateur.
Date création : 20/01/2010.
Références : 977165, 979682, BID-37864, CERTA-2010-AVI-073, CVE-2010-0232, MS10-015, VIGILANCE-VUL-9363.

Description de la vulnérabilité

Les systèmes Windows NT/2000/XP/2003/2008/Vista/7 peuvent exécuter des programmes 16 bits, créés pour MS-DOS et Windows 3.1, grâce à NtVdm.exe (NT Virtual Dos Machine) et au mode Virtual-8086 du processeur.

Lorsqu'une application 16 bits utilise un appel BIOS historique, le gestionnaire d'exception (GP trap handler, nt!KiTrap0D) modifie le contexte d'exécution (installé par NtVdmControl), et le restaure ensuite. Cependant, un attaquant local peut modifier ce contexte, afin de faire exécuter du code avec les privilèges du noyau.

Un attaquant local, sur un processeur x86, peut donc employer le système de compatibilité 16 bits, afin d'élever ses privilèges.
Bulletin Vigil@nce complet... (Essai gratuit)

vulnérabilité CVE-2007-1206 CVE-2007-1973

Windows : élévation de privilèges via VDM Zero Page

Synthèse de la vulnérabilité

Un attaquant local peut modifier la page zéro afin d'élever ses privilèges sur les systèmes ayant un processeur x86.
Produits concernés : Windows 2000, Windows 2003, Windows NT, Windows XP.
Gravité : 2/4.
Conséquences : accès/droits administrateur.
Provenance : compte utilisateur.
Nombre de vulnérabilités dans ce bulletin : 2.
Date création : 11/04/2007.
Références : 931784, BID-23367, CERTA-2007-AVI-169, CVE-2007-1206, CVE-2007-1973, MS07-022, VIGILANCE-VUL-6730, VU#337953.

Description de la vulnérabilité

Les premiers octets de la mémoire physique, qui sont sur la page zéro, contiennent notamment la table des interruptions (Interrupt Descriptor Table, sur une machine avec un processeur x86).

Lors de l'initialisation d'une machine virtuelle DOS (VDM, Virtual DOS Machine) par la fonction VdmpInitialize(), la page zéro est copiée à l'adresse virtuelle zéro. La machine virtuelle utilise ensuite cette copie.

Cependant, lors de cette copie, un thread peut accéder à la page zéro et modifier son contenu, car la zone est mappée en PAGE_READWRITE.

Cette vulnérabilité permet ensuite à un attaquant local d'acquérir les privilèges du système.
Bulletin Vigil@nce complet... (Essai gratuit)

avis de vulnérabilité CVE-2006-3439

Windows : buffer overflow du service serveur via RPC

Synthèse de la vulnérabilité

Un attaquant peut envoyer un message RPC illicite afin de faire exécuter du code sur le système.
Produits concernés : Windows 2000, Windows 2003, Windows NT, Windows XP.
Gravité : 3/4.
Conséquences : accès/droits administrateur.
Provenance : client intranet.
Date création : 09/08/2006.
Dates révisions : 10/08/2006, 28/08/2006, 01/09/2006, 13/09/2006.
Références : 232, 70997, 921883, BID-19409, CERTA-2006-AVI-338, CVE-2006-3439, MS06-040, VIGILANCE-VUL-6064, VU#650769.

Description de la vulnérabilité

Le service serveur fournit la fonctionnalité RPC (Remote Procedure Call), qui est accessible via SMB/CIFS.

Un attaquant peut créer un message RPC créant un débordement dans le service serveur.

Cette vulnérabilité permet à un attaquant distant de faire exécuter du code sur le système.
Bulletin Vigil@nce complet... (Essai gratuit)

vulnérabilité CVE-2006-3942

Windows : déni de service du service serveur

Synthèse de la vulnérabilité

Un attaquant peut envoyer un paquet SMB illicite afin de stopper le système.
Produits concernés : Windows 2000, Windows 2003, Windows NT, Windows XP.
Gravité : 2/4.
Conséquences : déni de service du serveur.
Provenance : client intranet.
Date création : 31/07/2006.
Date révision : 16/08/2006.
Références : 231, 923414, BID-19215, CERTA-2006-AVI-443, CORE-2006-0714, CVE-2006-3942, MS06-063, VIGILANCE-VUL-6050.

Description de la vulnérabilité

Le service serveur implémente le protocole SMB/CIFS (ports 139/445). Il utilise le driver SRV.SYS.

Lorsqu'un paquet SMB de type SMB_COM_TRANSACTION contient une chaîne non terminée, un pointeur NULL est utilisé dans SRV.SYS. Cette erreur génère un écran bleu.

Cette vulnérabilité permet donc à un attaquant, autorisé à se connecter sur le serveur, de mener un déni de service.
Bulletin Vigil@nce complet... (Essai gratuit)

vulnérabilité informatique 5835

Windows : création de fichiers inaccessibles

Synthèse de la vulnérabilité

Un attaquant local peut créer un fichier sur le système qui ne soit pas détecté ou désinfecté par certains outils de vérification, comme les antivirus.
Produits concernés : Avast AV, F-PROT AV, AVG AntiVirus, Kaspersky AV, Windows 2000, Windows NT, Windows XP, Norman Virus Control.
Gravité : 1/4.
Conséquences : camouflage.
Provenance : shell utilisateur.
Date création : 11/05/2006.
Références : BID-17934, VIGILANCE-VUL-5835.

Description de la vulnérabilité

La fonction RtlDosPathNameToNtPathName_U() convertit un nom de fichier MS-DOS Unicode en nom NT. Elle fait appel à :
 - RtlGetFullPathName_Ustr(), si le nom doit être converti
 - RtlpWin32NTNameToNtPathName_U(), si le nom est déjà au format NT

Cependant, ces deux fonctions gèrent différemment les espaces en fin de chemin d'accès :
 - la première les supprime
 - la deuxième les garde
Ainsi, le fichier "\\?\C:\test " (notation NT) n'est pas accessible à l'aide de "C:\test " (notation MS-DOS).

Par exemple, les antivirus qui utilisent la notation MS-DOS ne peuvent pas détecter ou désinfecter les virus situés dans ces fichiers.
Bulletin Vigil@nce complet... (Essai gratuit)

vulnérabilité 5540

VPN-1 : exécution de programme par SecureClient

Synthèse de la vulnérabilité

Un attaquant peut déposer un programme sur le système afin qu'il soit exécuté par SecureClient.
Produits concernés : CheckPoint SecureClient, CheckPoint SecuRemote, VPN-1, Kaspersky AV, Windows 2000, Windows NT.
Gravité : 1/4.
Conséquences : accès/droits privilégié.
Provenance : compte utilisateur.
Date création : 19/01/2006.
Références : TZO-012006, VIGILANCE-VUL-5540.

Description de la vulnérabilité

Le programme SR_Watchdog.exe exécute l'interface graphique SR_GUI.exe avec la fonction CreateProcess() :
  C:\Program Files\CheckPoint\SecuRemote\bin\SR_GUI.exe

Cependant, ce chemin d'accès n'est pas encadré de guillemets. Lorsque les permissions le permettent, un attaquant peut donc créer un programme portant un nom intermédiaire :
  C:\Program.exe

Ce programme sera alors exécuté avec les droits de SR_Watchdog.exe.
Bulletin Vigil@nce complet... (Essai gratuit)

avis de vulnérabilité informatique CVE-2005-4560

Windows : exécution de code avec une image WMF

Synthèse de la vulnérabilité

La visualisation d'une image WMF illicite conduit à l'exécution de code.
Produits concernés : Windows 2000, Windows 2003, Windows 95, Windows 98, Windows ME, Windows NT, Windows XP.
Gravité : 3/4.
Conséquences : accès/droits utilisateur.
Provenance : client internet.
Date création : 28/12/2005.
Dates révisions : 29/12/2005, 02/01/2006, 04/01/2006, 06/01/2006.
Références : 912840, BID-16074, CERTA-2006-AVI-011, CVE-2005-4560, MS06-001, VIGILANCE-VUL-5459, VU#181038.

Description de la vulnérabilité

Les images au format WMF (Windows Metafile) sont supportées par le moteur de rendu graphique (Graphics Rendering Engine). Il est notamment utilisé par l'aperçu des images et des télécopies (Windows Picture and Fax Viewer, shimgvw.dll), qui pré-affiche les images dans l'explorateur (Windows XP et 2003)

Une image WMF peut contenir un champ META_ESCAPE de type SETABORTPROC indiquant du code à exécuter lors d'une erreur. Ainsi, la visualisation d'une image incorrecte WMF contenant ce type de fonction conduit à l'exécution de code.

Un attaquant peut donc envoyer une image illicite à l'utilisateur, ou l'inciter à consulter un site web, afin de faire exécuter du code sur sa machine.
Bulletin Vigil@nce complet... (Essai gratuit)

bulletin de vulnérabilité informatique CVE-2005-4505

McAfee VirusScan : exécution de programme par naPrdMgr.exe

Synthèse de la vulnérabilité

Un attaquant peut déposer un programme sur le système afin qu'il soit exécuté par naPrdMgr.exe.
Produits concernés : CheckPoint SecureClient, CheckPoint SecuRemote, VPN-1, Kaspersky AV, VirusScan, Windows 2000, Windows NT.
Gravité : 1/4.
Conséquences : accès/droits administrateur.
Provenance : shell utilisateur.
Date création : 23/12/2005.
Références : BID-16040, CVE-2005-4505, VIGILANCE-VUL-5448.

Description de la vulnérabilité

Le programme naPrdMgr.exe exécute périodiquement, avec les droits Local System :
  C:\Program Files\Network Associates\VirusScan\EntVUtil.EXE

Cependant, ce chemin d'accès n'est pas encadré de guillemets. Lorsque les permissions le permettent, un attaquant peut donc créer un programme portant un nom intermédiaire :
  C:\Program.exe
  C:\Program Files\Network.exe

Ce programme sera alors exécuté avec les droits du système.
Bulletin Vigil@nce complet... (Essai gratuit)

annonce de vulnérabilité CVE-2005-2120

Windows : buffer overflow de Plug and Play

Synthèse de la vulnérabilité

Un attaquant authentifié peut provoquer un débordement de Plug and Play afin d'accroître ses privilèges.
Produits concernés : Windows 2000, Windows NT, Windows XP.
Gravité : 2/4.
Conséquences : accès/droits administrateur.
Provenance : compte utilisateur.
Date création : 12/10/2005.
Dates révisions : 24/10/2005, 25/10/2005.
Références : AD20051011, BID-15065, CERTA-2005-AVI-398, CVE-2005-2120, MS05-047, VIGILANCE-VUL-5262, VU#214572.

Description de la vulnérabilité

Le service Plug and Play (umpnpmgr.dll) détecte automatiquement les nouveaux matériels présents sur le système.

Cependant, un attaquant authentifié peut envoyer un message provoquant un débordement dans la fonction wsprintfW() utilisée dans le service. Ce débordement permet de faire exécuter du code avec les droits du système.

Cette vulnérabilité permet ainsi à un attaquant d'accroître ses privilèges.
Bulletin Vigil@nce complet... (Essai gratuit)
Notre base de données contient d'autres bulletins. Vous pouvez utiliser un essai gratuit pour les consulter.