L'équipe Vigil@nce veille les vulnérabilités publiques qui affectent votre parc informatique, puis propose des correctifs sécurité, une base et des outils pour y remédier.

Vulnérabilités informatiques de Sophos Anti-Virus

vulnérabilité CVE-2018-9233

Sophos Endpoint Protection : élévation de privilèges via Weak Unsalted Hash

Synthèse de la vulnérabilité

Un attaquant peut contourner les restrictions via Weak Unsalted Hash de Sophos Endpoint Protection, afin d'élever ses privilèges.
Gravité : 1/4.
Date création : 04/04/2018.
Références : CVE-2018-9233, VIGILANCE-VUL-25768.
Bulletin Vigil@nce complet... (Essai gratuit)

Description de la vulnérabilité

Un attaquant peut contourner les restrictions via Weak Unsalted Hash de Sophos Endpoint Protection, afin d'élever ses privilèges.
Bulletin Vigil@nce complet... (Essai gratuit)

annonce de faille informatique CVE-2018-4863

Sophos Endpoint Protection : élévation de privilèges via Enhanced Tamper Protection

Synthèse de la vulnérabilité

Un attaquant peut contourner les restrictions via Enhanced Tamper Protection de Sophos Endpoint Protection, afin d'élever ses privilèges.
Gravité : 2/4.
Date création : 04/04/2018.
Références : CVE-2018-4863, VIGILANCE-VUL-25767.
Bulletin Vigil@nce complet... (Essai gratuit)

Description de la vulnérabilité

Un attaquant peut contourner les restrictions via Enhanced Tamper Protection de Sophos Endpoint Protection, afin d'élever ses privilèges.
Bulletin Vigil@nce complet... (Essai gratuit)

avis de menace informatique 23496

Sophos Anti-Virus : élévation de privilèges via Mac OS X

Synthèse de la vulnérabilité

Un attaquant peut contourner les restrictions via Mac OS X de Sophos Anti-Virus, afin d'élever ses privilèges.
Gravité : 2/4.
Date création : 10/08/2017.
Références : VIGILANCE-VUL-23496.
Bulletin Vigil@nce complet... (Essai gratuit)

Description de la vulnérabilité

Un attaquant peut contourner les restrictions via Mac OS X de Sophos Anti-Virus, afin d'élever ses privilèges.
Bulletin Vigil@nce complet... (Essai gratuit)

alerte de faille CVE-2015-0138 CVE-2015-0204

OpenSSL, LibReSSL, Mono, JSSE : affaiblissement du chiffrement TLS via FREAK

Synthèse de la vulnérabilité

Un attaquant, placé en Man-in-the-middle, peut forcer le client Chrome, JSSE, LibReSSL, Mono ou OpenSSL à accepter un algorithme d'export faible, afin de plus facilement intercepter ou modifier les données échangées.
Gravité : 2/4.
Nombre de vulnérabilités dans ce bulletin : 2.
Date création : 04/03/2015.
Date révision : 09/03/2015.
Références : 122007, 1450666, 1610582, 1647054, 1698613, 1699051, 1699810, 1700225, 1700997, 1701485, 1902260, 1903541, 1963275, 1968485, 1973383, 55767, 7014463, 7022958, 9010028, ARUBA-PSA-2015-003, bulletinjan2015, c04556853, c04679334, c04773241, CERTFR-2015-AVI-108, CERTFR-2015-AVI-117, CERTFR-2015-AVI-146, CERTFR-2016-AVI-303, cisco-sa-20150310-ssl, cpuapr2017, cpujul2018, cpuoct2017, CTX216642, CVE-2015-0138, CVE-2015-0204, DSA-3125-1, FEDORA-2015-0512, FEDORA-2015-0601, FG-IR-15-007, FREAK, FreeBSD-SA-15:01.openssl, HPSBMU03345, HPSBUX03244, HPSBUX03334, JSA10679, MDVSA-2015:019, MDVSA-2015:062, MDVSA-2015:063, NetBSD-SA2015-006, NetBSD-SA2015-007, NTAP-20150205-0001, openSUSE-SU-2015:0130-1, openSUSE-SU-2016:0640-1, RHSA-2015:0066-01, RHSA-2015:0800-01, RHSA-2015:1020-01, RHSA-2015:1021-01, RHSA-2015:1091-01, SA40015, SA88, SA91, SB10108, SB10110, SOL16120, SOL16123, SOL16124, SOL16126, SOL16135, SOL16136, SOL16139, SP-CAAANXD, SPL-95203, SPL-95206, SSA:2015-009-01, SSRT101885, SSRT102000, SUSE-SU-2015:1073-1, SUSE-SU-2015:1085-1, SUSE-SU-2015:1086-1, SUSE-SU-2015:1086-2, SUSE-SU-2015:1086-3, SUSE-SU-2015:1086-4, SUSE-SU-2015:1138-1, SUSE-SU-2015:1161-1, T1022075, USN-2459-1, VIGILANCE-VUL-16301, VN-2015-003_FREAK, VU#243585.
Bulletin Vigil@nce complet... (Essai gratuit)

Description de la vulnérabilité

Le protocole TLS utilise une succession de messages, que le client et le serveur doivent échanger, avant d'établir une session sécurisée.

Plusieurs algorithmes cryptographiques sont négociables, dont les algorithmes compatibles avec l'export USA (moins de 512 bits).

Un attaquant placé en Man-in-the-middle peut injecter en début de session TLS un message choisissant un algorithme d'export. Ce message devrait générer une erreur, cependant certains clients TLS l'acceptent.

Note : la variante concernant Windows est décrite dans VIGILANCE-VUL-16332.

Un attaquant, placé en Man-in-the-middle, peut donc forcer le client Chrome, JSSE, LibReSSL, Mono ou OpenSSL à accepter un algorithme d'export faible, afin de plus facilement intercepter ou modifier les données échangées.
Bulletin Vigil@nce complet... (Essai gratuit)

bulletin cybersécurité CVE-2014-2385

Sophos Antivirus Configuration Console : Cross Site Scripting

Synthèse de la vulnérabilité

Un attaquant peut provoquer un Cross Site Scripting de Sophos Antivirus Configuration Console, afin d'exécuter du code JavaScript dans le contexte du site web.
Gravité : 2/4.
Date création : 25/06/2014.
Références : CVE-2014-2385, VIGILANCE-VUL-14937.
Bulletin Vigil@nce complet... (Essai gratuit)

Description de la vulnérabilité

Le produit Sophos Antivirus Configuration Console dispose d'un service web.

Cependant, les données reçues ne sont pas filtrées avant d'être insérées dans les documents HTML générés.

Un attaquant peut donc provoquer un Cross Site Scripting de Sophos Antivirus Configuration Console, afin d'exécuter du code JavaScript dans le contexte du site web.
Bulletin Vigil@nce complet... (Essai gratuit)

alerte de vulnérabilité informatique CVE-2014-0160

OpenSSL : obtention d'information via Heartbeat

Synthèse de la vulnérabilité

Un attaquant peut employer le protocole Heartbeat sur une application compilée avec OpenSSL, afin d'obtenir des informations sensibles, comme des clés stockées en mémoire.
Gravité : 3/4.
Nombre de vulnérabilités dans ce bulletin : 2.
Date création : 08/04/2014.
Références : 1669839, 190438, 2076225, 2962393, c04236102, c04267775, c04286049, CA20140413-01, CERTFR-2014-ALE-003, CERTFR-2014-AVI-156, CERTFR-2014-AVI-161, CERTFR-2014-AVI-162, CERTFR-2014-AVI-167, CERTFR-2014-AVI-169, CERTFR-2014-AVI-177, CERTFR-2014-AVI-178, CERTFR-2014-AVI-179, CERTFR-2014-AVI-180, CERTFR-2014-AVI-181, CERTFR-2014-AVI-198, CERTFR-2014-AVI-199, CERTFR-2014-AVI-213, cisco-sa-20140409-heartbleed, CTX140605, CVE-2014-0160, CVE-2014-0346-REJECT, DSA-2896-1, DSA-2896-2, emr_na-c04236102-7, ESA-2014-034, ESA-2014-036, ESA-2014-075, FEDORA-2014-4879, FEDORA-2014-4910, FEDORA-2014-4982, FEDORA-2014-4999, FG-IR-14-011, FreeBSD-SA-14:06.openssl, Heartbleed, HPSBMU02995, HPSBMU03025, HPSBMU03040, ICSA-14-105-03, JSA10623, MDVSA-2014:123, MDVSA-2015:062, NetBSD-SA2014-004, openSUSE-SU-2014:0492-1, openSUSE-SU-2014:0560-1, openSUSE-SU-2014:0719-1, pfSense-SA-14_04.openssl, RHSA-2014:0376-01, RHSA-2014:0377-01, RHSA-2014:0378-01, RHSA-2014:0396-01, RHSA-2014:0416-01, SA40005, SA79, SB10071, SOL15159, SPL-82696, SSA:2014-098-01, SSA-635659, SSRT101565, USN-2165-1, VIGILANCE-VUL-14534, VMSA-2014-0004, VMSA-2014-0004.1, VMSA-2014-0004.2, VMSA-2014-0004.3, VMSA-2014-0004.6, VMSA-2014-0004.7, VU#720951.
Bulletin Vigil@nce complet... (Essai gratuit)

Description de la vulnérabilité

L'extension Heartbeat de TLS (RFC 6520) assure une fonctionnalité de keep-alive, sans effectuer de renégociation. Pour cela, des données aléatoires sont échangées (payload).

La version 1.0.1 de OpenSSL implémente Heartbeat, qui est activé par défaut. La fonction [d]tls1_process_heartbeat() gère les messages Heartbeat. Cependant, elle ne vérifie pas la taille des données aléatoires, et continue à lire après la fin du payload, puis envoie la zone mémoire complète (jusqu'à 64ko) à l'autre extrémité (client ou serveur).

Un attaquant peut donc employer le protocole Heartbeat sur une application compilée avec OpenSSL, afin d'obtenir des informations sensibles, comme des clés stockées en mémoire.
Bulletin Vigil@nce complet... (Essai gratuit)

menace cybersécurité CVE-2014-1213

Sophos Anti-Virus : déni de service via Object

Synthèse de la vulnérabilité

Un attaquant local peut interagir avec des objets de Sophos Anti-Virus, afin de mener un déni de service.
Gravité : 1/4.
Date création : 03/02/2014.
Références : BID-65286, CVE-2014-1213, VIGILANCE-VUL-14166.
Bulletin Vigil@nce complet... (Essai gratuit)

Description de la vulnérabilité

Le gestionnaire d'objets de Windows permet d'accéder à tous les objets du système :
  \BaseNamedObjects (mutex, timer, etc.)
  \Drivers
  \FileSystem
  etc.

L'antivirus Sophos utilise plusieurs objets :
  $$!_EVENT_$!__...
  SAV-****
  SAV-Info
  SophosALMonSessionInstance

Cependant, les ACLs ne sont pas définies pour ces objets.

Un attaquant local peut donc interagir avec des objets de Sophos Anti-Virus, afin de mener un déni de service.
Bulletin Vigil@nce complet... (Essai gratuit)

bulletin de menace informatique CVE-2012-6706

Sophos Antivirus : multiples vulnérabilités

Synthèse de la vulnérabilité

Un attaquant peut créer un fichier VB6/CAB/RAR/PDF illicite qui corrompt la mémoire de Sophos Antivirus, afin de faire exécuter du code sur la machine de l'utilisateur.
Gravité : 3/4.
Nombre de vulnérabilités dans ce bulletin : 4.
Date création : 05/11/2012.
Références : BID-56401, bulletinjul2017, CERTA-2012-AVI-627, CERTA-2012-AVI-637, cisco-sa-20121108-sophos, CSCud10556, CVE-2012-6706, VIGILANCE-VUL-12111, VU#662243.
Bulletin Vigil@nce complet... (Essai gratuit)

Description de la vulnérabilité

Le produit Sophos Antivirus analyse les virus contenus dans les documents manipulés par l'utilisateur. Cependant, les documents malformés ne sont pas correctement décodés.

Un ActiveX créé avec Visual Basic 6 provoque un débordement d'entier. [grav:3/4]

Une archive CAB illicite provoque un buffer overflow. [grav:3/4]

Une archive RAR illicite corrompt la mémoire (VIGILANCE-VUL-23073). [grav:3/4; CVE-2012-6706]

Un document PDF illicite provoque un buffer overflow. [grav:3/4]

Un attaquant peut donc créer un fichier VB6/CAB/RAR/PDF illicite qui corrompt la mémoire de Sophos Antivirus, afin de faire exécuter du code sur la machine de l'utilisateur.
Bulletin Vigil@nce complet... (Essai gratuit)

annonce cybersécurité CVE-2012-1424 CVE-2012-1427 CVE-2012-1428

Sophos Anti-Virus : contournement via CAB, CHM, ELF, EXE, Office, RAR, TAR, ZIP

Synthèse de la vulnérabilité

Un attaquant peut créer une archive ou un programme, contenant un virus qui n'est pas détecté par Sophos Anti-Virus.
Gravité : 2/4.
Nombre de vulnérabilités dans ce bulletin : 16.
Date création : 21/03/2012.
Références : BID-52579, BID-52587, BID-52589, BID-52590, BID-52591, BID-52598, BID-52599, BID-52600, BID-52608, BID-52611, BID-52612, BID-52613, BID-52617, BID-52621, BID-52623, BID-52626, CVE-2012-1424, CVE-2012-1427, CVE-2012-1428, CVE-2012-1430, CVE-2012-1431, CVE-2012-1438, CVE-2012-1442, CVE-2012-1443, CVE-2012-1446, CVE-2012-1450, CVE-2012-1453, CVE-2012-1456, CVE-2012-1458, CVE-2012-1459, CVE-2012-1461, CVE-2012-1462, VIGILANCE-VUL-11473.
Bulletin Vigil@nce complet... (Essai gratuit)

Description de la vulnérabilité

Les outils d'extraction d'archives (CAB, TAR, ZIP, etc.) acceptent d'extraire des archives légèrement malformées. Les systèmes acceptent aussi d'exécuter des programmes (ELF, EXE) légèrement malformés. Cependant, Sophos Anti-Virus ne détecte pas les virus contenus dans ces archives/programmes.

Une archive TAR contenant "\19\04\00\10" à l'offset 8 contourne la détection. [grav:1/4; BID-52590, CVE-2012-1424]

Une archive TAR contenant "\57\69\6E\5A\69\70" à l'offset 29 contourne la détection. [grav:1/4; BID-52587, CVE-2012-1427]

Une archive TAR contenant "\4a\46\49\46" à l'offset 6 contourne la détection. [grav:1/4; BID-52579, CVE-2012-1428]

Un programme ELF contenant "\19\04\00\10" à l'offset 8 contourne la détection. [grav:2/4; BID-52589, CVE-2012-1430]

Un programme ELF contenant "\4a\46\49\46" à l'offset 6 contourne la détection. [grav:2/4; BID-52591, CVE-2012-1431]

Un document MS Office contenant "ustar" à l'offset 257 contourne la détection. [grav:1/4; BID-52599, CVE-2012-1438]

Un programme EXE contenant un champ "class" trop grand contourne la détection. [grav:2/4; BID-52598, CVE-2012-1442]

Une archive RAR contenant "MZ" dans les 2 premiers caractères contourne la détection. [grav:1/4; BID-52612, CVE-2012-1443]

Un programme ELF contenant un champ "encoding" trop grand contourne la détection. [grav:2/4; BID-52600, CVE-2012-1446]

Une archive CAB contenant un champ "reserved3" trop grand contourne la détection. [grav:1/4; BID-52617, CVE-2012-1450]

Une archive CAB contenant un champ "coffFiles" trop grand contourne la détection. [grav:1/4; BID-52621, CVE-2012-1453]

Une archive ZIP commençant par des données TAR contourne la détection. [grav:1/4; BID-52608, CVE-2012-1456]

Un fichier d'aide CHM avec un entête contenant une faible valeur "interval" contourne la détection. [grav:1/4; BID-52611, CVE-2012-1458]

Une archive TAR avec un entête contenant une valeur trop grande contourne la détection. [grav:1/4; BID-52623, CVE-2012-1459]

Une archive TAR+GZ contenant deux streams contourne la détection. [grav:1/4; BID-52626, CVE-2012-1461]

Une archive ZIP commençant par 1024 octets aléatoires contourne la détection. [grav:1/4; BID-52613, CVE-2012-1462]

Un attaquant peut donc créer une archive contenant un virus qui n'est pas détecté par l'antivirus, mais qui est extrait par les outils d'extraction. Le virus est ensuite détecté une fois qu'il a été extrait sur le poste de la victime. Un attaquant peut aussi créer un programme, contenant un virus qui n'est pas détecté par l'antivirus, mais qui est exécuté par le système.
Bulletin Vigil@nce complet... (Essai gratuit)

avis de vulnérabilité informatique 9699

Sophos AV : élévation de privilèges via SAVOnAccessFilter

Synthèse de la vulnérabilité

Un attaquant local peut employer une vulnérabilité du pilote SAVOnAccessFilter, afin d'obtenir les privilèges du système.
Gravité : 2/4.
Date création : 10/06/2010.
Références : BID-40715, TPTI-10-03, VIGILANCE-VUL-9699.
Bulletin Vigil@nce complet... (Essai gratuit)

Description de la vulnérabilité

L'antivirus Sophos installe le pilote SAVOnAccessFilter.sys qui vérifie les appels système à la volée.

L'appel système NtQueryAttributesFile() permet à une application d'obtenir des informations sur un fichier. Le pilote SAVOnAccessFilter.sys vérifie cet appel système.

Cependant, les paramètres de NtQueryAttributesFile() ne sont pas correctement validés par le pilote, ce qui corrompt sa mémoire.

Un attaquant local peut donc employer une vulnérabilité du pilote SAVOnAccessFilter, afin d'obtenir les privilèges du système.
Bulletin Vigil@nce complet... (Essai gratuit)
Notre base de données contient d'autres bulletins. Vous pouvez utiliser un essai gratuit pour les consulter.

Consulter les informations sur Sophos Anti-Virus :