L'équipe Vigil@nce veille les vulnérabilités publiques qui affectent votre parc informatique, puis propose des correctifs sécurité, une base et des outils pour y remédier.

Vulnérabilités informatiques de Microsoft Windows SharePoint Services

avis de vulnérabilité informatique CVE-2015-1640 CVE-2015-1653

Microsoft SharePoint : deux vulnérabilités XSS

Synthèse de la vulnérabilité

Un attaquant peut employer plusieurs vulnérabilités de Microsoft SharePoint.
Produits concernés : MOSS.
Gravité : 2/4.
Conséquences : accès/droits client.
Provenance : document.
Nombre de vulnérabilités dans ce bulletin : 2.
Date création : 14/04/2015.
Références : 3052044, CERTFR-2015-AVI-154, CVE-2015-1640, CVE-2015-1653, MS15-036, VIGILANCE-VUL-16599.

Description de la vulnérabilité

Plusieurs vulnérabilités ont été annoncées dans Microsoft SharePoint.

Un attaquant peut provoquer un Cross Site Scripting, afin d'exécuter du code JavaScript dans le contexte du site web. [grav:2/4; CVE-2015-1640]

Un attaquant peut provoquer un Cross Site Scripting, afin d'exécuter du code JavaScript dans le contexte du site web. [grav:2/4; CVE-2015-1653]
Bulletin Vigil@nce complet... (Essai gratuit)

alerte de vulnérabilité informatique CVE-2015-1639 CVE-2015-1641 CVE-2015-1649

Microsoft Office : cinq vulnérabilités

Synthèse de la vulnérabilité

Un attaquant peut employer plusieurs vulnérabilités de Microsoft Office.
Produits concernés : Office, Access, Office Communicator, Excel, OneNote, Outlook, PowerPoint, Project, Publisher, MOSS, Visio, Word.
Gravité : 3/4.
Conséquences : accès/droits utilisateur, accès/droits client.
Provenance : document.
Nombre de vulnérabilités dans ce bulletin : 5.
Date création : 14/04/2015.
Références : 3048019, CERTFR-2015-AVI-151, CVE-2015-1639, CVE-2015-1641, CVE-2015-1649, CVE-2015-1650, CVE-2015-1651, MS15-033, VIGILANCE-VUL-16596, ZDI-15-132.

Description de la vulnérabilité

Plusieurs vulnérabilités ont été annoncées dans Microsoft Office.

Un attaquant peut provoquer une corruption de mémoire, afin de mener un déni de service, et éventuellement d'exécuter du code. [grav:3/4; CVE-2015-1641]

Un attaquant peut provoquer l'utilisation d'une zone mémoire libérée, afin de mener un déni de service, et éventuellement d'exécuter du code. [grav:3/4; CVE-2015-1649]

Un attaquant peut provoquer l'utilisation d'une zone mémoire libérée, afin de mener un déni de service, et éventuellement d'exécuter du code. [grav:3/4; CVE-2015-1650, ZDI-15-132]

Un attaquant peut provoquer l'utilisation d'une zone mémoire libérée, afin de mener un déni de service, et éventuellement d'exécuter du code. [grav:3/4; CVE-2015-1651]

Un attaquant peut provoquer un Cross Site Scripting dans Microsoft Outlook App for Mac, afin d'exécuter du code JavaScript dans le contexte du site web. [grav:2/4; CVE-2015-1639]
Bulletin Vigil@nce complet... (Essai gratuit)

alerte de vulnérabilité informatique CVE-2015-0085 CVE-2015-0086 CVE-2015-0097

Microsoft Office, SharePoint : cinq vulnérabilités

Synthèse de la vulnérabilité

Un attaquant peut employer plusieurs vulnérabilités de Microsoft Office.
Produits concernés : Office, Access, Excel, OneNote, Outlook, PowerPoint, Project, Publisher, MOSS, Visio, Word.
Gravité : 3/4.
Conséquences : accès/droits utilisateur, déni de service du client.
Provenance : document.
Nombre de vulnérabilités dans ce bulletin : 5.
Date création : 10/03/2015.
Références : 3038999, CERTFR-2015-AVI-098, CVE-2015-0085, CVE-2015-0086, CVE-2015-0097, CVE-2015-1633, CVE-2015-1636, MS15-022, VIGILANCE-VUL-16366, ZDI-15-088.

Description de la vulnérabilité

Plusieurs vulnérabilités ont été annoncées dans Microsoft Office.

Un attaquant peut provoquer l'utilisation d'une zone mémoire libérée dans Office, afin de mener un déni de service, et éventuellement d'exécuter du code. [grav:3/4; CVE-2015-0085, ZDI-15-088]

Un attaquant peut provoquer une corruption de mémoire dans Office, afin de mener un déni de service, et éventuellement d'exécuter du code. [grav:3/4; CVE-2015-0086]

Un attaquant peut provoquer une corruption de mémoire dans Office, afin de mener un déni de service, et éventuellement d'exécuter du code. [grav:3/4; CVE-2015-0097]

Un attaquant peut provoquer un Cross Site Scripting dans SharePoint, afin d'exécuter du code JavaScript dans le contexte du site web. [grav:2/4; CVE-2015-1633]

Un attaquant peut provoquer un Cross Site Scripting dans SharePoint, afin d'exécuter du code JavaScript dans le contexte du site web. [grav:2/4; CVE-2015-1636]
Bulletin Vigil@nce complet... (Essai gratuit)

vulnérabilité informatique CVE-2014-6356 CVE-2014-6357

Microsoft Office, Word, SharePoint : deux vulnérabilités

Synthèse de la vulnérabilité

Un attaquant peut employer plusieurs vulnérabilités de Microsoft Office, Word, SharePoint.
Produits concernés : Office, MOSS, Word.
Gravité : 3/4.
Conséquences : accès/droits utilisateur.
Provenance : document.
Nombre de vulnérabilités dans ce bulletin : 2.
Date création : 09/12/2014.
Références : 3017301, CERTFR-2014-AVI-519, CVE-2014-6356, CVE-2014-6357, MS14-081, VIGILANCE-VUL-15765.

Description de la vulnérabilité

Plusieurs vulnérabilités ont été annoncées dans Microsoft Office, Word, SharePoint.

Un attaquant peut provoquer un débordement d'entier, afin de mener un déni de service, et éventuellement d'exécuter du code. [grav:3/4; CVE-2014-6356]

Un attaquant peut provoquer l'utilisation d'une zone mémoire libérée, afin de mener un déni de service, et éventuellement d'exécuter du code. [grav:3/4; CVE-2014-6357]
Bulletin Vigil@nce complet... (Essai gratuit)

avis de vulnérabilité informatique CVE-2014-4116

Microsoft SharePoint : Cross Site Scripting de List

Synthèse de la vulnérabilité

Un attaquant authentifié peut provoquer un Cross Site Scripting sur Microsoft SharePoint, afin d'exécuter du code JavaScript dans le contexte des autres utilisateurs.
Produits concernés : MOSS.
Gravité : 2/4.
Conséquences : accès/droits client.
Provenance : compte utilisateur.
Date création : 12/11/2014.
Références : 3000431, CERTFR-2014-AVI-472, CVE-2014-4116, MS14-073, VIGILANCE-VUL-15619.

Description de la vulnérabilité

Le produit Microsoft SharePoint dispose d'un service web.

Cependant, un attaquant authentifié peut modifier une liste, qui est ensuite insérée dans les documents HTML générés pour les autres utilisateurs.

Un attaquant authentifié peut donc provoquer un Cross Site Scripting sur Microsoft SharePoint, afin d'exécuter du code JavaScript dans le contexte des autres utilisateurs.
Bulletin Vigil@nce complet... (Essai gratuit)

avis de vulnérabilité CVE-2014-2816

Microsoft SharePoint : élévation de privilèges via permissions

Synthèse de la vulnérabilité

Un attaquant peut créer une extension de Microsoft SharePoint, afin d'obtenir tous les privilèges de l'utilisateur final.
Produits concernés : MOSS.
Gravité : 3/4.
Conséquences : accès/droits administrateur, accès/droits privilégié, accès/droits client.
Provenance : document.
Date création : 13/08/2014.
Références : 2977202, CERTFR-2014-AVI-352, CVE-2014-2816, MS14-050, VIGILANCE-VUL-15174.

Description de la vulnérabilité

Le produit Microsoft SharePoint dispose d'un service web.

Un site SharePoint peut héberger des extensions pour lesquelles on peut configurer des permissions d'accès au serveur SharePoint. Cependant, une extension peut contourner les restrictions sur ses actions et envoyer un code JavaScript arbitraire au navigateur.

Un attaquant peut donc créer une extension de Microsoft SharePoint, afin d'obtenir tous les privilèges de l'utilisateur final.
Bulletin Vigil@nce complet... (Essai gratuit)

vulnérabilité CVE-2014-0251 CVE-2014-1754 CVE-2014-1813

Microsoft SharePoint : multiples vulnérabilités

Synthèse de la vulnérabilité

Un attaquant peut employer plusieurs vulnérabilités de Microsoft SharePoint.
Produits concernés : MOSS.
Gravité : 3/4.
Conséquences : accès/droits utilisateur, accès/droits client.
Provenance : compte utilisateur.
Nombre de vulnérabilités dans ce bulletin : 3.
Date création : 13/05/2014.
Références : 2952166, CERTFR-2014-AVI-220, CVE-2014-0251, CVE-2014-1754, CVE-2014-1813, MS14-022, VIGILANCE-VUL-14740.

Description de la vulnérabilité

Plusieurs vulnérabilités ont été annoncées dans Microsoft SharePoint.

Un attaquant authentifié peut envoyer un document illicite sur le serveur, afin d'exécuter du code avec les privilèges du service W3WP. [grav:3/4; CVE-2014-0251]

Un attaquant peut provoquer un Cross Site Scripting, afin d'exécuter du code JavaScript dans le contexte du site web. [grav:2/4; CVE-2014-1754]

Un attaquant authentifié peut envoyer un document illicite sur le serveur, afin d'exécuter du code avec les privilèges du service W3WP. [grav:3/4; CVE-2014-1813]
Bulletin Vigil@nce complet... (Essai gratuit)

bulletin de vulnérabilité CVE-2014-1757 CVE-2014-1758

Office, Word : deux vulnérabilités

Synthèse de la vulnérabilité

Un attaquant peut employer plusieurs vulnérabilités de Office, Word.
Produits concernés : Office, Excel, Outlook, PowerPoint, MOSS, Word.
Gravité : 3/4.
Conséquences : accès/droits utilisateur, déni de service du service, déni de service du client.
Provenance : document.
Nombre de vulnérabilités dans ce bulletin : 2.
Date création : 08/04/2014.
Références : 2949660, CERTFR-2014-AVI-157, CVE-2014-1757, CVE-2014-1758, MS14-017, VIGILANCE-VUL-14553, VU#882841.

Description de la vulnérabilité

Plusieurs vulnérabilités ont été annoncées dans Office, Word.

Un attaquant peut provoquer un buffer overflow dans File Format Converter, afin de mener un déni de service, et éventuellement d'exécuter du code. [grav:3/4; CVE-2014-1757, VU#882841]

Un attaquant peut provoquer un buffer overflow dans Word, afin de mener un déni de service, et éventuellement d'exécuter du code. [grav:3/4; CVE-2014-1758]
Bulletin Vigil@nce complet... (Essai gratuit)

avis de vulnérabilité CVE-2014-1761

Word : corruption de mémoire via RTF

Synthèse de la vulnérabilité

Un attaquant peut créer un document RTF illicite, pour provoquer une corruption de mémoire dans Word, afin de mener un déni de service, et éventuellement d'exécuter du code.
Produits concernés : Office, Excel, Outlook, PowerPoint, MOSS, Word.
Gravité : 3/4.
Conséquences : accès/droits privilégié, accès/droits utilisateur, déni de service du client.
Provenance : document.
Date création : 25/03/2014.
Références : 2949660, 2953095, CERTFR-2014-ALE-002, CVE-2014-1761, MS14-017, VIGILANCE-VUL-14464.

Description de la vulnérabilité

Le produit Word est configuré pour ouvrir les documents au format RTF (Rich Text Format). Microsoft Outlook appelle par défaut Word pour ouvrir les emails RTF.

Cependant, un document RTF malformé corrompt la mémoire de Word.

Un attaquant peut donc créer un document RTF illicite, pour provoquer une corruption de mémoire dans Word, afin de mener un déni de service, et éventuellement d'exécuter du code.
Bulletin Vigil@nce complet... (Essai gratuit)

avis de vulnérabilité CVE-2014-0258 CVE-2014-0259 CVE-2014-0260

Word, SharePoint : trois vulnérabilités

Synthèse de la vulnérabilité

Un attaquant peut inviter la victime à ouvrir un fichier illicite avec Word, ou l'utiliser avec SharePoint, afin de faire exécuter du code sur son ordinateur.
Produits concernés : Office, MOSS, Word.
Gravité : 3/4.
Conséquences : accès/droits utilisateur.
Provenance : document.
Nombre de vulnérabilités dans ce bulletin : 3.
Date création : 14/01/2014.
Références : 2916605, BID-64726, BID-64727, BID-64728, CERTA-2014-AVI-014, CVE-2014-0258, CVE-2014-0259, CVE-2014-0260, MS14-001, VIGILANCE-VUL-14084.

Description de la vulnérabilité

Plusieurs vulnérabilités ont été annoncées dans Word et SharePoint.

Un attaquant peut provoquer une corruption de mémoire, afin de mener un déni de service, et éventuellement d'exécuter du code. [grav:3/4; BID-64726, CVE-2014-0258]

Un attaquant peut provoquer une corruption de mémoire, afin de mener un déni de service, et éventuellement d'exécuter du code. [grav:3/4; BID-64727, CVE-2014-0259]

Un attaquant peut provoquer une corruption de mémoire, afin de mener un déni de service, et éventuellement d'exécuter du code. [grav:3/4; BID-64728, CVE-2014-0260]

Un attaquant peut donc inviter la victime à ouvrir un fichier illicite avec Word, ou l'utiliser avec SharePoint, afin de faire exécuter du code sur son ordinateur.
Bulletin Vigil@nce complet... (Essai gratuit)
Notre base de données contient d'autres bulletins. Vous pouvez utiliser un essai gratuit pour les consulter.

Consulter les informations sur Microsoft Windows SharePoint Services :