L'équipe Vigil@nce veille les vulnérabilités publiques qui affectent votre parc informatique, puis propose des correctifs sécurité, une base et des outils pour y remédier.

Vulnérabilités informatiques de Microsoft Windows SharePoint Services

vulnérabilité informatique CVE-2014-6356 CVE-2014-6357

Microsoft Office, Word, SharePoint : deux vulnérabilités

Synthèse de la vulnérabilité

Un attaquant peut employer plusieurs vulnérabilités de Microsoft Office, Word, SharePoint.
Produits concernés : Office, MOSS, Word.
Gravité : 3/4.
Conséquences : accès/droits utilisateur.
Provenance : document.
Nombre de vulnérabilités dans ce bulletin : 2.
Date création : 09/12/2014.
Références : 3017301, CERTFR-2014-AVI-519, CVE-2014-6356, CVE-2014-6357, MS14-081, VIGILANCE-VUL-15765.

Description de la vulnérabilité

Plusieurs vulnérabilités ont été annoncées dans Microsoft Office, Word, SharePoint.

Un attaquant peut provoquer un débordement d'entier, afin de mener un déni de service, et éventuellement d'exécuter du code. [grav:3/4; CVE-2014-6356]

Un attaquant peut provoquer l'utilisation d'une zone mémoire libérée, afin de mener un déni de service, et éventuellement d'exécuter du code. [grav:3/4; CVE-2014-6357]
Bulletin Vigil@nce complet... (Essai gratuit)

avis de vulnérabilité informatique CVE-2014-4116

Microsoft SharePoint : Cross Site Scripting de List

Synthèse de la vulnérabilité

Un attaquant authentifié peut provoquer un Cross Site Scripting sur Microsoft SharePoint, afin d'exécuter du code JavaScript dans le contexte des autres utilisateurs.
Produits concernés : MOSS.
Gravité : 2/4.
Conséquences : accès/droits client.
Provenance : compte utilisateur.
Date création : 12/11/2014.
Références : 3000431, CERTFR-2014-AVI-472, CVE-2014-4116, MS14-073, VIGILANCE-VUL-15619.

Description de la vulnérabilité

Le produit Microsoft SharePoint dispose d'un service web.

Cependant, un attaquant authentifié peut modifier une liste, qui est ensuite insérée dans les documents HTML générés pour les autres utilisateurs.

Un attaquant authentifié peut donc provoquer un Cross Site Scripting sur Microsoft SharePoint, afin d'exécuter du code JavaScript dans le contexte des autres utilisateurs.
Bulletin Vigil@nce complet... (Essai gratuit)

avis de vulnérabilité CVE-2014-2816

Microsoft SharePoint : élévation de privilèges via permissions

Synthèse de la vulnérabilité

Un attaquant peut créer une extension de Microsoft SharePoint, afin d'obtenir tous les privilèges de l'utilisateur final.
Produits concernés : MOSS.
Gravité : 3/4.
Conséquences : accès/droits administrateur, accès/droits privilégié, accès/droits client.
Provenance : document.
Date création : 13/08/2014.
Références : 2977202, CERTFR-2014-AVI-352, CVE-2014-2816, MS14-050, VIGILANCE-VUL-15174.

Description de la vulnérabilité

Le produit Microsoft SharePoint dispose d'un service web.

Un site SharePoint peut héberger des extensions pour lesquelles on peut configurer des permissions d'accès au serveur SharePoint. Cependant, une extension peut contourner les restrictions sur ses actions et envoyer un code JavaScript arbitraire au navigateur.

Un attaquant peut donc créer une extension de Microsoft SharePoint, afin d'obtenir tous les privilèges de l'utilisateur final.
Bulletin Vigil@nce complet... (Essai gratuit)

vulnérabilité CVE-2014-0251 CVE-2014-1754 CVE-2014-1813

Microsoft SharePoint : multiples vulnérabilités

Synthèse de la vulnérabilité

Un attaquant peut employer plusieurs vulnérabilités de Microsoft SharePoint.
Produits concernés : MOSS.
Gravité : 3/4.
Conséquences : accès/droits utilisateur, accès/droits client.
Provenance : compte utilisateur.
Nombre de vulnérabilités dans ce bulletin : 3.
Date création : 13/05/2014.
Références : 2952166, CERTFR-2014-AVI-220, CVE-2014-0251, CVE-2014-1754, CVE-2014-1813, MS14-022, VIGILANCE-VUL-14740.

Description de la vulnérabilité

Plusieurs vulnérabilités ont été annoncées dans Microsoft SharePoint.

Un attaquant authentifié peut envoyer un document illicite sur le serveur, afin d'exécuter du code avec les privilèges du service W3WP. [grav:3/4; CVE-2014-0251]

Un attaquant peut provoquer un Cross Site Scripting, afin d'exécuter du code JavaScript dans le contexte du site web. [grav:2/4; CVE-2014-1754]

Un attaquant authentifié peut envoyer un document illicite sur le serveur, afin d'exécuter du code avec les privilèges du service W3WP. [grav:3/4; CVE-2014-1813]
Bulletin Vigil@nce complet... (Essai gratuit)

bulletin de vulnérabilité CVE-2014-1757 CVE-2014-1758

Office, Word : deux vulnérabilités

Synthèse de la vulnérabilité

Un attaquant peut employer plusieurs vulnérabilités de Office, Word.
Produits concernés : Office, Excel, Outlook, PowerPoint, MOSS, Word.
Gravité : 3/4.
Conséquences : accès/droits utilisateur, déni de service du service, déni de service du client.
Provenance : document.
Nombre de vulnérabilités dans ce bulletin : 2.
Date création : 08/04/2014.
Références : 2949660, CERTFR-2014-AVI-157, CVE-2014-1757, CVE-2014-1758, MS14-017, VIGILANCE-VUL-14553, VU#882841.

Description de la vulnérabilité

Plusieurs vulnérabilités ont été annoncées dans Office, Word.

Un attaquant peut provoquer un buffer overflow dans File Format Converter, afin de mener un déni de service, et éventuellement d'exécuter du code. [grav:3/4; CVE-2014-1757, VU#882841]

Un attaquant peut provoquer un buffer overflow dans Word, afin de mener un déni de service, et éventuellement d'exécuter du code. [grav:3/4; CVE-2014-1758]
Bulletin Vigil@nce complet... (Essai gratuit)

avis de vulnérabilité CVE-2014-1761

Word : corruption de mémoire via RTF

Synthèse de la vulnérabilité

Un attaquant peut créer un document RTF illicite, pour provoquer une corruption de mémoire dans Word, afin de mener un déni de service, et éventuellement d'exécuter du code.
Produits concernés : Office, Excel, Outlook, PowerPoint, MOSS, Word.
Gravité : 3/4.
Conséquences : accès/droits privilégié, accès/droits utilisateur, déni de service du client.
Provenance : document.
Date création : 25/03/2014.
Références : 2949660, 2953095, CERTFR-2014-ALE-002, CVE-2014-1761, MS14-017, VIGILANCE-VUL-14464.

Description de la vulnérabilité

Le produit Word est configuré pour ouvrir les documents au format RTF (Rich Text Format). Microsoft Outlook appelle par défaut Word pour ouvrir les emails RTF.

Cependant, un document RTF malformé corrompt la mémoire de Word.

Un attaquant peut donc créer un document RTF illicite, pour provoquer une corruption de mémoire dans Word, afin de mener un déni de service, et éventuellement d'exécuter du code.
Bulletin Vigil@nce complet... (Essai gratuit)

avis de vulnérabilité CVE-2014-0258 CVE-2014-0259 CVE-2014-0260

Word, SharePoint : trois vulnérabilités

Synthèse de la vulnérabilité

Un attaquant peut inviter la victime à ouvrir un fichier illicite avec Word, ou l'utiliser avec SharePoint, afin de faire exécuter du code sur son ordinateur.
Produits concernés : Office, MOSS, Word.
Gravité : 3/4.
Conséquences : accès/droits utilisateur.
Provenance : document.
Nombre de vulnérabilités dans ce bulletin : 3.
Date création : 14/01/2014.
Références : 2916605, BID-64726, BID-64727, BID-64728, CERTA-2014-AVI-014, CVE-2014-0258, CVE-2014-0259, CVE-2014-0260, MS14-001, VIGILANCE-VUL-14084.

Description de la vulnérabilité

Plusieurs vulnérabilités ont été annoncées dans Word et SharePoint.

Un attaquant peut provoquer une corruption de mémoire, afin de mener un déni de service, et éventuellement d'exécuter du code. [grav:3/4; BID-64726, CVE-2014-0258]

Un attaquant peut provoquer une corruption de mémoire, afin de mener un déni de service, et éventuellement d'exécuter du code. [grav:3/4; BID-64727, CVE-2014-0259]

Un attaquant peut provoquer une corruption de mémoire, afin de mener un déni de service, et éventuellement d'exécuter du code. [grav:3/4; BID-64728, CVE-2014-0260]

Un attaquant peut donc inviter la victime à ouvrir un fichier illicite avec Word, ou l'utiliser avec SharePoint, afin de faire exécuter du code sur son ordinateur.
Bulletin Vigil@nce complet... (Essai gratuit)

vulnérabilité CVE-2013-5059

Microsoft SharePoint : exécution de code

Synthèse de la vulnérabilité

Un attaquant authentifié peut déposer un document illicite sur Microsoft SharePoint, afin d'exécuter du code.
Produits concernés : MOSS.
Gravité : 3/4.
Conséquences : accès/droits utilisateur.
Provenance : compte utilisateur.
Date création : 10/12/2013.
Références : 2904244, BID-64081, CERTA-2013-AVI-666, CVE-2013-5059, MS13-100, VIGILANCE-VUL-13930.

Description de la vulnérabilité

Le service Microsoft SharePoint héberge les documents des utilisateurs.

Cependant, le contenu des documents peut être directement exécuté avec les privilèges du service W3WP.

Un attaquant authentifié peut donc déposer un document illicite sur Microsoft SharePoint, afin d'exécuter du code.
Bulletin Vigil@nce complet... (Essai gratuit)

bulletin de vulnérabilité CVE-2013-3889 CVE-2013-3895

Microsoft SharePoint : deux vulnérabilités

Synthèse de la vulnérabilité

Un attaquant peut employer plusieurs vulnérabilités de Microsoft SharePoint.
Produits concernés : MOSS.
Gravité : 3/4.
Conséquences : accès/droits administrateur, accès/droits utilisateur.
Provenance : document.
Nombre de vulnérabilités dans ce bulletin : 2.
Date création : 08/10/2013.
Références : 2885089, BID-62800, BID-62829, CERTA-2013-AVI-563, CVE-2013-3889, CVE-2013-3895, MS13-084, VIGILANCE-VUL-13563.

Description de la vulnérabilité

Plusieurs vulnérabilités ont été annoncées dans Microsoft SharePoint.

Un attaquant peut provoquer une corruption de mémoire via un document Excel, afin de mener un déni de service, et éventuellement d'exécuter du code. [grav:3/4; BID-62829, CVE-2013-3889]

Un attaquant peut provoquer un ClickJacking, afin d'élever ses privilèges. [grav:2/4; BID-62800, CVE-2013-3895]
Bulletin Vigil@nce complet... (Essai gratuit)

annonce de vulnérabilité informatique CVE-2013-0081 CVE-2013-1315 CVE-2013-1330

Microsoft SharePoint Server : multiples vulnérabilités

Synthèse de la vulnérabilité

Un attaquant peut employer plusieurs vulnérabilités de Microsoft SharePoint Server.
Produits concernés : Office, Excel, MOSS, Word.
Gravité : 4/4.
Conséquences : accès/droits administrateur, accès/droits utilisateur, accès/droits client, déni de service du service.
Provenance : document.
Nombre de vulnérabilités dans ce bulletin : 10.
Date création : 10/09/2013.
Références : 2834052, BID-62165, BID-62168, BID-62169, BID-62205, BID-62221, BID-62224, BID-62226, BID-62227, BID-62254, CERTA-2013-AVI-512, CVE-2013-0081, CVE-2013-1315, CVE-2013-1330, CVE-2013-3179, CVE-2013-3180, CVE-2013-3847, CVE-2013-3848, CVE-2013-3849, CVE-2013-3857, CVE-2013-3858, MS13-067, VIGILANCE-VUL-13397.

Description de la vulnérabilité

Plusieurs vulnérabilités ont été annoncées dans Microsoft SharePoint Server.

Un attaquant peut employer un url illicite, afin de mener un déni de service. [grav:2/4; BID-62205, CVE-2013-0081]

Un attaquant peut provoquer une corruption de mémoire avec un fichier Excel, afin de mener un déni de service, et éventuellement d'exécuter du code. [grav:3/4; CVE-2013-1315]

Lorsque Viewstate MAC est désactivé, un attaquant peut employer un workflow non assigné, afin d'exécuter du code. [grav:4/4; BID-62221, CVE-2013-1330]

Un attaquant peut provoquer un Cross Site Scripting, afin d'exécuter du code JavaScript dans le contexte du site web. [grav:2/4; BID-62227, CVE-2013-3179]

Un attaquant peut provoquer un Cross Site Scripting via une requête POST, afin d'exécuter du code JavaScript dans le contexte du site web. [grav:2/4; BID-62254, CVE-2013-3180]

Un attaquant peut provoquer une corruption de mémoire via un fichier Word, afin de mener un déni de service, et éventuellement d'exécuter du code. [grav:3/4; BID-62165, CVE-2013-3847]

Un attaquant peut provoquer une corruption de mémoire via un fichier Word, afin de mener un déni de service, et éventuellement d'exécuter du code. [grav:3/4; BID-62168, CVE-2013-3848]

Un attaquant peut provoquer une corruption de mémoire via un fichier Word, afin de mener un déni de service, et éventuellement d'exécuter du code. [grav:3/4; BID-62169, CVE-2013-3849]

Un attaquant peut provoquer une corruption de mémoire via un fichier Word, afin de mener un déni de service, et éventuellement d'exécuter du code. [grav:3/4; BID-62224, CVE-2013-3857]

Un attaquant peut provoquer une corruption de mémoire via un fichier Word, afin de mener un déni de service, et éventuellement d'exécuter du code. [grav:3/4; BID-62226, CVE-2013-3858]
Bulletin Vigil@nce complet... (Essai gratuit)
Notre base de données contient d'autres bulletins. Vous pouvez utiliser un essai gratuit pour les consulter.

Consulter les informations sur Microsoft Windows SharePoint Services :