L'équipe Vigil@nce veille les vulnérabilités publiques qui affectent votre parc informatique, puis propose des correctifs sécurité, une base et des outils pour y remédier.

Vulnérabilités informatiques de Sun Solaris

vulnérabilité CVE-2015-8853

Perl : boucle infinie de UTF-8 Continuation

Synthèse de la vulnérabilité

Un attaquant peut envoyer des données UTF-8 malformées vers une application Perl, pour provoquer une boucle infinie, afin de mener un déni de service.
Produits concernés : Fedora, openSUSE Leap, Solaris, Perl Core, Ubuntu.
Gravité : 2/4.
Conséquences : déni de service du service, déni de service du client.
Provenance : document.
Confiance : confirmé par l'éditeur (5/5).
Date création : 20/04/2016.
Références : 123562, bulletinapr2016, CVE-2015-8853, FEDORA-2016-5a9313e4b4, openSUSE-SU-2016:2313-1, USN-3625-1, USN-3625-2, VIGILANCE-VUL-19420.

Description de la vulnérabilité

Le produit Perl peut effectuer une expression régulière sur des données UTF-8.

Cependant, la présence du caractère 0x80 en fin de chaîne UTF-8 provoque une boucle dans le fichier regexec.c.

Un attaquant peut donc envoyer des données UTF-8 malformées vers une application Perl, pour provoquer une boucle infinie, afin de mener un déni de service.
Bulletin Vigil@nce complet.... (Essai gratuit)

annonce de vulnérabilité informatique CVE-2015-7236 CVE-2016-0623 CVE-2016-0669

Oracle Solaris : multiples vulnérabilités de avril 2016

Synthèse de la vulnérabilité

Un attaquant peut employer plusieurs vulnérabilités de Oracle Solaris.
Produits concernés : Solaris.
Gravité : 3/4.
Conséquences : accès/droits privilégié, accès/droits utilisateur, lecture de données, création/modification de données, effacement de données, déni de service du service, déni de service du client.
Provenance : compte utilisateur.
Confiance : confirmé par l'éditeur (5/5).
Date création : 20/04/2016.
Références : CERTFR-2016-AVI-136, cpuapr2016, CVE-2015-7236, CVE-2016-0623, CVE-2016-0669, CVE-2016-0676, CVE-2016-0693, CVE-2016-3419, CVE-2016-3441, CVE-2016-3462, CVE-2016-3465, VIGILANCE-VUL-19417.

Description de la vulnérabilité

Plusieurs vulnérabilités ont été annoncées dans Oracle Solaris.

Un attaquant peut employer une vulnérabilité de PAM LDAP module, afin d'obtenir des informations, d'altérer des informations, ou de mener un déni de service. [grav:3/4; CVE-2016-0693]

Un attaquant peut employer une vulnérabilité de Filesystem, afin d'obtenir des informations, d'altérer des informations, ou de mener un déni de service. [grav:3/4; CVE-2016-3441]

Un attaquant peut employer une vulnérabilité de Utilities, afin de mener un déni de service. [grav:3/4; CVE-2015-7236]

Un attaquant peut employer une vulnérabilité de Fwflash, afin d'altérer des informations, ou de mener un déni de service. [grav:3/4; CVE-2016-0669]

Un attaquant peut employer une vulnérabilité de Network Configuration Service, afin de mener un déni de service. [grav:2/4; CVE-2016-3462]

Un attaquant peut employer une vulnérabilité de ZFS, afin de mener un déni de service. [grav:2/4; CVE-2016-3465]

Un attaquant peut employer une vulnérabilité de Automated Installer, afin d'altérer des informations. [grav:2/4; CVE-2016-0623]

Un attaquant peut employer une vulnérabilité de Kernel, afin de mener un déni de service. [grav:2/4; CVE-2016-0676]

Un attaquant peut employer une vulnérabilité de Filesystem, afin de mener un déni de service. [grav:1/4; CVE-2016-3419]
Bulletin Vigil@nce complet.... (Essai gratuit)

alerte de vulnérabilité informatique CVE-2016-0686 CVE-2016-0687 CVE-2016-0695

Oracle Java : multiples vulnérabilités de avril 2016

Synthèse de la vulnérabilité

Un attaquant peut employer plusieurs vulnérabilités de Oracle Java.
Produits concernés : Debian, Avamar, VNX Operating Environment, VNX Series, BIG-IP Hardware, TMOS, Fedora, AIX, Domino, Notes, QRadar SIEM, Tivoli Storage Manager, WebSphere AS Traditional, WebSphere MQ, JAXP, ePO, Java OpenJDK, openSUSE, openSUSE Leap, Java Oracle, Solaris, RHEL, SUSE Linux Enterprise Desktop, SLES, Ubuntu.
Gravité : 3/4.
Conséquences : accès/droits privilégié, accès/droits utilisateur, lecture de données, création/modification de données, effacement de données, déni de service du service, déni de service du client.
Provenance : compte utilisateur.
Confiance : confirmé par l'éditeur (5/5).
Date création : 20/04/2016.
Références : 1982223, 1982566, 1984075, 1984678, 1985466, 1985875, 1987778, 484398, 486953, bulletinjan2017, CERTFR-2016-AVI-135, cpuapr2016, CVE-2016-0686, CVE-2016-0687, CVE-2016-0695, CVE-2016-3422, CVE-2016-3425, CVE-2016-3426, CVE-2016-3427, CVE-2016-3443, CVE-2016-3449, DLA-451-1, DSA-3558-1, ESA-2016-052, ESA-2016-099, FEDORA-2016-33ccc205e7, openSUSE-SU-2016:1222-1, openSUSE-SU-2016:1230-1, openSUSE-SU-2016:1235-1, openSUSE-SU-2016:1262-1, openSUSE-SU-2016:1265-1, RHSA-2016:0650-01, RHSA-2016:0651-01, RHSA-2016:0675-01, RHSA-2016:0676-01, RHSA-2016:0677-01, RHSA-2016:0678-01, RHSA-2016:0679-01, RHSA-2016:0701-01, RHSA-2016:0702-01, RHSA-2016:0708-01, RHSA-2016:0716-01, RHSA-2016:0723-01, RHSA-2016:1039-01, SB10159, SOL33285044, SOL73112451, SOL81223200, SUSE-SU-2016:1248-1, SUSE-SU-2016:1250-1, SUSE-SU-2016:1299-1, SUSE-SU-2016:1300-1, SUSE-SU-2016:1303-1, SUSE-SU-2016:1378-1, SUSE-SU-2016:1379-1, SUSE-SU-2016:1388-1, SUSE-SU-2016:1458-1, SUSE-SU-2016:1475-1, USN-2963-1, USN-2964-1, USN-2972-1, VIGILANCE-VUL-19416, ZDI-16-376.

Description de la vulnérabilité

Plusieurs vulnérabilités ont été annoncées dans Oracle Java.

Un attaquant peut employer une vulnérabilité de 2D, afin d'obtenir des informations, d'altérer des informations, ou de mener un déni de service. [grav:3/4; CVE-2016-3443, ZDI-16-376]

Un attaquant peut employer une vulnérabilité de Hotspot, afin d'obtenir des informations, d'altérer des informations, ou de mener un déni de service. [grav:3/4; CVE-2016-0687]

Un attaquant peut employer une vulnérabilité de Serialization, afin d'obtenir des informations, d'altérer des informations, ou de mener un déni de service. [grav:3/4; CVE-2016-0686]

Un attaquant peut employer une vulnérabilité de JMX, afin d'obtenir des informations, d'altérer des informations, ou de mener un déni de service. [grav:3/4; CVE-2016-3427]

Un attaquant peut employer une vulnérabilité de Deployment, afin d'obtenir des informations, d'altérer des informations, ou de mener un déni de service. [grav:3/4; CVE-2016-3449]

Un attaquant peut employer une vulnérabilité de Security, afin d'obtenir des informations. [grav:2/4; CVE-2016-0695]

Un attaquant peut employer une vulnérabilité de JAXP, afin de mener un déni de service. [grav:2/4; CVE-2016-3425]

Un attaquant peut employer une vulnérabilité de 2D, afin de mener un déni de service. [grav:2/4; CVE-2016-3422]

Un attaquant peut employer une vulnérabilité de JCE, afin d'obtenir des informations. [grav:1/4; CVE-2016-3426]
Bulletin Vigil@nce complet.... (Essai gratuit)

vulnérabilité CVE-2015-8325

OpenSSH : élévation de privilèges via UseLogin

Synthèse de la vulnérabilité

Un attaquant local peut utiliser UseLogin de OpenSSH, afin d'élever ses privilèges.
Produits concernés : Blue Coat CAS, Debian, BIG-IP Hardware, TMOS, Fedora, AIX, Security Directory Server, Copssh, Junos Space, NSM Central Manager, NSMXpress, OpenSSH, openSUSE Leap, Solaris, RHEL, Slackware, Ubuntu.
Gravité : 2/4.
Conséquences : accès/droits administrateur, accès/droits privilégié.
Provenance : shell utilisateur.
Confiance : confirmé par l'éditeur (5/5).
Date création : 18/04/2016.
Références : 2009389, bulletinoct2016, CERTFR-2016-AVI-279, CERTFR-2017-AVI-012, CERTFR-2017-AVI-022, CVE-2015-8325, DSA-3550-1, FEDORA-2016-3f128cf0ce, FEDORA-2016-7f5004093e, FEDORA-2016-d31c00ca51, JSA10770, JSA10774, openSUSE-SU-2016:1455-1, RHSA-2016:2588-02, RHSA-2017:0641-01, SA121, SA126, SOL20911042, SSA:2016-219-03, USN-2966-1, VIGILANCE-VUL-19390.

Description de la vulnérabilité

Le produit OpenSSH peut être configuré avec :
 - UseLogin=yes dans sshd_config
 - PAM qui lit les variables d'environnement via ~/.pam_environment

Cependant, dans ce cas, un attaquant local peut affecter la variable d'environnement LD_PRELOAD pour élever ses privilèges lors de l'appel à /bin/login.

Un attaquant local peut donc utiliser UseLogin de OpenSSH, afin d'élever ses privilèges.
Bulletin Vigil@nce complet.... (Essai gratuit)

annonce de vulnérabilité informatique CVE-2015-5370 CVE-2016-0128 CVE-2016-2110

Windows, Samba : exécution de code via Badlock

Synthèse de la vulnérabilité

Un attaquant peut utiliser la vulnérabilité Badlock dans Windows ou Samba, afin d'exécuter du code.
Produits concernés : ProxySG par Blue Coat, SGOS par Blue Coat, Debian, BIG-IP Hardware, TMOS, Fedora, HP-UX, DB2 UDB, QRadar SIEM, Windows 10, Windows 2008 R0, Windows 2008 R2, Windows 2012, Windows 7, Windows 8, Windows RT, Windows Vista, Data ONTAP, openSUSE, openSUSE Leap, Solaris, Pulse Connect Secure, RHEL, Samba, Slackware, SUSE Linux Enterprise Desktop, SLES, Synology DS***, Synology RS***, Ubuntu.
Gravité : 3/4.
Conséquences : accès/droits administrateur, accès/droits privilégié, accès/droits utilisateur.
Provenance : client intranet.
Confiance : confirmé par l'éditeur (5/5).
Date création : 23/03/2016.
Date révision : 12/04/2016.
Références : 1986595, 1987766, 3148527, 9010080, bulletinjan2016, bulletinoct2016, c05162399, CVE-2015-5370, CVE-2016-0128, CVE-2016-2110, CVE-2016-2111, CVE-2016-2112, CVE-2016-2113, CVE-2016-2114, CVE-2016-2115, CVE-2016-2118, DLA-509-1, DSA-3548-1, DSA-3548-2, DSA-3548-3, FEDORA-2016-48b3761baa, FEDORA-2016-be53260726, HPSBUX03616, MS16-047, NTAP-20160412-0001, openSUSE-SU-2016:1025-1, openSUSE-SU-2016:1064-1, openSUSE-SU-2016:1106-1, openSUSE-SU-2016:1107-1, openSUSE-SU-2016:1108-1, openSUSE-SU-2016:1440-1, RHSA-2016:0611-01, RHSA-2016:0612-01, RHSA-2016:0613-01, RHSA-2016:0618-01, RHSA-2016:0619-01, RHSA-2016:0620-01, RHSA-2016:0621-01, RHSA-2016:0623-01, RHSA-2016:0624-01, RHSA-2016:0625-01, SA122, SA40196, SOL37603172, SOL53313971, SSA:2016-106-02, SSRT110128, SUSE-SU-2016:1022-1, SUSE-SU-2016:1023-1, SUSE-SU-2016:1024-1, SUSE-SU-2016:1028-1, SUSE-SU-2016:1105-1, USN-2950-1, USN-2950-2, USN-2950-3, USN-2950-4, USN-2950-5, VIGILANCE-VUL-19207, VU#813296.

Description de la vulnérabilité

Les produits Windows et Samba implémentent l'authentification pour CIFS.

Cependant, plusieurs vulnérabilités dans ces implémentations permettent de mener un Man-in-the-Middle, ou d'affaiblir le protocole.

Un attaquant peut donc utiliser la vulnérabilité Badlock dans Windows ou Samba, afin d'exécuter du code.
Bulletin Vigil@nce complet.... (Essai gratuit)

avis de vulnérabilité CVE-2016-3190

Cairo : lecture de mémoire hors plage prévue via fill_xrgb32_lerp_opaque_spans

Synthèse de la vulnérabilité

Produits concernés : openSUSE, Solaris.
Gravité : 2/4.
Conséquences : déni de service du service, déni de service du client.
Provenance : document.
Confiance : confirmé par l'éditeur (5/5).
Date création : 12/04/2016.
Références : bulletinjul2018, CVE-2016-3190, openSUSE-SU-2016:1007-1, VIGILANCE-VUL-19344.

Description de la vulnérabilité

Un attaquant peut forcer la lecture à une adresse invalide dans fill_xrgb32_lerp_opaque_spans de Cairo, afin de mener un déni de service, ou d'obtenir des informations sensibles.
Bulletin Vigil@nce complet.... (Essai gratuit)

annonce de vulnérabilité informatique CVE-2011-4599

ICU : buffer overflow de _canonicalize

Synthèse de la vulnérabilité

Produits concernés : Debian, Fedora, WebSphere MQ, MES, Mandriva Linux, openSUSE, Solaris, RHEL, SUSE Linux Enterprise Desktop.
Gravité : 2/4.
Conséquences : accès/droits utilisateur, déni de service du service, déni de service du client.
Provenance : document.
Confiance : confirmé par l'éditeur (5/5).
Date création : 15/03/2016.
Références : 1975091, CVE-2011-4599, DSA-2397-1, FEDORA-2011-17101, FEDORA-2011-17119, MDVSA-2011:194, openSUSE-SU-2012:0100-1, RHSA-2011:1815-01, SUSE-SU-2012:0457-1, SUSE-SU-2012:0481-1, VIGILANCE-VUL-19177.

Description de la vulnérabilité

Un attaquant peut provoquer un buffer overflow dans _canonicalize de ICU, afin de mener un déni de service, et éventuellement d'exécuter du code.
Bulletin Vigil@nce complet.... (Essai gratuit)

annonce de vulnérabilité CVE-2016-3115

OpenSSH : injection de commandes xauth

Synthèse de la vulnérabilité

Un attaquant disposant d'un compte accessible via OpenSSH, mais restreint et sans accès shell, peut transmettre des commandes à xauth via OpenSSH, afin de lire/écrire un fichier avec ses propres privilèges.
Produits concernés : Blue Coat CAS, Debian, Unisphere EMC, BIG-IP Hardware, TMOS, Fedora, FreeBSD, AIX, Copssh, NSM Central Manager, NSMXpress, Data ONTAP, OpenBSD, OpenSSH, openSUSE Leap, Solaris, RHEL, Slackware, Ubuntu.
Gravité : 1/4.
Conséquences : accès/droits utilisateur, lecture de données, création/modification de données.
Provenance : compte utilisateur.
Confiance : confirmé par l'éditeur (5/5).
Date création : 10/03/2016.
Références : 000008913, 499797, bulletinapr2016, CERTFR-2016-AVI-097, CERTFR-2017-AVI-012, CERTFR-2017-AVI-022, CVE-2016-3115, DLA-1500-1, DLA-1500-2, ESA-2017-025, FEDORA-2016-188267b485, FEDORA-2016-bb59db3c86, FEDORA-2016-d339d610c1, FEDORA-2016-fc1cc33e05, FreeBSD-SA-16:14.openssh, JSA10774, K93532943, NTAP-20160519-0001, openSUSE-SU-2016:1455-1, RHSA-2016:0465-01, RHSA-2016:0466-01, SA121, SA126, SOL93532943, SSA:2016-070-01, USN-2966-1, VIGILANCE-VUL-19152.

Description de la vulnérabilité

L'utilitaire xauth gère les accréditations de l'utilisateur pour accéder à X11.

Lorsque X11Forwarding est activé dans sshd_config, le démon OpenSSH transmet les accréditations à xauth. Cependant, OpenSSH ne filtre pas les sauts de lignes contenus dans ces accréditations. Des commandes xauth peuvent ainsi être transmises à xauth. Ces commandes permettent de lire/écrire un fichier avec les privilèges de l'utilisateur, ou de se connecter sur un port.

Un attaquant disposant d'un compte accessible via OpenSSH, mais restreint et sans accès shell, peut donc transmettre des commandes à xauth via OpenSSH, afin de lire/écrire un fichier avec ses propres privilèges.
Bulletin Vigil@nce complet.... (Essai gratuit)

avis de vulnérabilité CVE-2016-1285 CVE-2016-1286 CVE-2016-2088

ISC BIND : trois vulnérabilités

Synthèse de la vulnérabilité

Un attaquant peut employer plusieurs vulnérabilités de ISC BIND.
Produits concernés : Debian, BIG-IP Hardware, TMOS, Fedora, FreeBSD, HP-UX, AIX, BIND, McAfee Email Gateway, openSUSE, openSUSE Leap, Solaris, RHEL, Slackware, SUSE Linux Enterprise Desktop, SLES, Ubuntu.
Gravité : 3/4.
Conséquences : déni de service du service.
Provenance : serveur internet.
Confiance : confirmé par l'éditeur (5/5).
Date création : 10/03/2016.
Références : bulletinjan2016, c05087821, CVE-2016-1285, CVE-2016-1286, CVE-2016-2088, DSA-3511-1, FEDORA-2016-161b73fc2c, FEDORA-2016-364c0a9df4, FEDORA-2016-5047abe4a9, FEDORA-2016-b593e84223, FreeBSD-SA-16:13.bind, HPSBUX03583, openSUSE-SU-2016:0827-1, openSUSE-SU-2016:0830-1, openSUSE-SU-2016:0834-1, openSUSE-SU-2016:0859-1, RHSA-2016:0458-01, RHSA-2016:0459-01, RHSA-2016:0562-01, RHSA-2016:0601-01, SB10214, SOL62012529, SSA:2016-069-01, SSRT110084, SUSE-SU-2016:0759-1, SUSE-SU-2016:0780-1, SUSE-SU-2016:0825-1, USN-2925-1, VIGILANCE-VUL-19144.

Description de la vulnérabilité

Plusieurs vulnérabilités ont été annoncées dans ISC BIND.

Un attaquant peut provoquer une erreur d'assertion via rndc, afin de mener un déni de service. [grav:2/4; CVE-2016-1285]

Un attaquant peut provoquer une erreur d'assertion via DNAME, afin de mener un déni de service. [grav:3/4; CVE-2016-1286]

Un attaquant peut provoquer une erreur d'assertion via DNS Cookies, afin de mener un déni de service. [grav:3/4; CVE-2016-2088]
Bulletin Vigil@nce complet.... (Essai gratuit)

vulnérabilité informatique CVE-2016-1950 CVE-2016-1952 CVE-2016-1953

Firefox, Thunderbird : multiples vulnérabilités

Synthèse de la vulnérabilité

Un attaquant peut employer plusieurs vulnérabilités de Firefox/Thunderbird.
Produits concernés : Debian, Fedora, Firefox, SeaMonkey, Thunderbird, openSUSE, openSUSE Leap, Solaris, RHEL, Slackware, SUSE Linux Enterprise Desktop, SLES, Ubuntu.
Gravité : 4/4.
Conséquences : accès/droits utilisateur, lecture de données, création/modification de données, déni de service du client.
Provenance : document.
Confiance : confirmé par l'éditeur (5/5).
Date création : 09/03/2016.
Références : bulletinjul2018, CERTFR-2016-AVI-086, CVE-2016-1950, CVE-2016-1952, CVE-2016-1953, CVE-2016-1954, CVE-2016-1955, CVE-2016-1956, CVE-2016-1957, CVE-2016-1958, CVE-2016-1959, CVE-2016-1960, CVE-2016-1961, CVE-2016-1962, CVE-2016-1963, CVE-2016-1964, CVE-2016-1965, CVE-2016-1966, CVE-2016-1967, CVE-2016-1968, CVE-2016-1969, CVE-2016-1970, CVE-2016-1971, CVE-2016-1972, CVE-2016-1973, CVE-2016-1974, CVE-2016-1975, CVE-2016-1976, CVE-2016-1977, CVE-2016-1979, CVE-2016-2790, CVE-2016-2791, CVE-2016-2792, CVE-2016-2793, CVE-2016-2794, CVE-2016-2795, CVE-2016-2796, CVE-2016-2797, CVE-2016-2798, CVE-2016-2799, CVE-2016-2800, CVE-2016-2801, CVE-2016-2802, DSA-3510-1, DSA-3515-1, DSA-3520-1, FEDORA-2016-5b2c402bb1, FEDORA-2016-be6d3fff4a, FEDORA-2016-c1bad2b755, FEDORA-2016-d5c26081f3, FEDORA-2016-ddc8c5c950, FEDORA-2016-eacfc58fb9, MFSA-2016-16, MFSA-2016-17, MFSA-2016-18, MFSA-2016-19, MFSA-2016-20, MFSA-2016-21, MFSA-2016-22, MFSA-2016-23, MFSA-2016-24, MFSA-2016-25, MFSA-2016-26, MFSA-2016-27, MFSA-2016-28, MFSA-2016-29, MFSA-2016-30, MFSA-2016-31, MFSA-2016-32, MFSA-2016-33, MFSA-2016-34, MFSA-2016-35, MFSA-2016-36, MFSA-2016-37, MFSA-2016-38, openSUSE-SU-2016:0731-1, openSUSE-SU-2016:0733-1, openSUSE-SU-2016:0876-1, openSUSE-SU-2016:0894-1, openSUSE-SU-2016:1767-1, openSUSE-SU-2016:1769-1, openSUSE-SU-2016:1778-1, RHSA-2016:0373-01, RHSA-2016:0460-01, SSA:2016-068-01, SSA:2016-075-02, SSA:2016-106-01, SUSE-SU-2016:0727-1, SUSE-SU-2016:0777-1, SUSE-SU-2016:0820-1, SUSE-SU-2016:0909-1, SUSE-SU-2017:1175-1, SUSE-SU-2017:1248-1, USN-2917-1, USN-2917-2, USN-2917-3, USN-2934-1, VIGILANCE-VUL-19135, ZDI-16-198, ZDI-16-199.

Description de la vulnérabilité

Plusieurs vulnérabilités ont été annoncées dans Firefox/Thunderbird.

Un attaquant peut provoquer une corruption de mémoire, afin de mener un déni de service, et éventuellement d'exécuter du code. [grav:4/4; CVE-2016-1952, CVE-2016-1953, MFSA-2016-16]

Un attaquant peut contourner les mesures de sécurité dans CSP Reports, afin d'élever ses privilèges. [grav:3/4; CVE-2016-1954, MFSA-2016-17]

Un attaquant peut contourner les mesures de sécurité dans CSP Reports, afin d'obtenir des informations sensibles. [grav:2/4; CVE-2016-1955, MFSA-2016-18]

Un attaquant peut provoquer une erreur fatale dans Linux Video Memory, afin de mener un déni de service. [grav:2/4; CVE-2016-1956, MFSA-2016-19]

Un attaquant peut lire un fragment de la mémoire de libstagefright, afin d'obtenir des informations sensibles. [grav:1/4; CVE-2016-1957, MFSA-2016-20]

Un attaquant peut modifier l'url affichée, afin de tromper l'utilisateur. [grav:2/4; CVE-2016-1958, MFSA-2016-21]

Un attaquant peut forcer la lecture à une adresse invalide dans Service Worker Manager, afin de mener un déni de service. [grav:3/4; CVE-2016-1959, MFSA-2016-22]

Un attaquant peut provoquer l'utilisation d'une zone mémoire libérée dans HTML5 String Parser, afin de mener un déni de service, et éventuellement d'exécuter du code. [grav:4/4; CVE-2016-1960, MFSA-2016-23, ZDI-16-198]

Un attaquant peut provoquer l'utilisation d'une zone mémoire libérée dans SetBody, afin de mener un déni de service, et éventuellement d'exécuter du code. [grav:4/4; CVE-2016-1961, MFSA-2016-24, ZDI-16-199]

Un attaquant peut provoquer l'utilisation d'une zone mémoire libérée dans WebRTC Data Channels, afin de mener un déni de service, et éventuellement d'exécuter du code. [grav:4/4; CVE-2016-1962, MFSA-2016-25]

Un attaquant peut provoquer une corruption de mémoire dans FileReader, afin de mener un déni de service, et éventuellement d'exécuter du code. [grav:2/4; CVE-2016-1963, MFSA-2016-26]

Un attaquant peut provoquer l'utilisation d'une zone mémoire libérée dans XML Transformations, afin de mener un déni de service, et éventuellement d'exécuter du code. [grav:4/4; CVE-2016-1964, MFSA-2016-27]

Un attaquant peut altérer la barre d'adresse, afin de tromper l'utilisateur. [grav:2/4; CVE-2016-1965, MFSA-2016-28]

Un attaquant peut contourner les mesures de sécurité dans performance.getEntries, afin d'élever ses privilèges. [grav:3/4; CVE-2016-1967, MFSA-2016-29]

Un attaquant peut provoquer un buffer overflow dans Brotli Decompression, afin de mener un déni de service, et éventuellement d'exécuter du code. [grav:3/4; CVE-2016-1968, MFSA-2016-30]

Un attaquant peut provoquer une corruption de mémoire dans NPAPI Plugin, afin de mener un déni de service, et éventuellement d'exécuter du code. [grav:3/4; CVE-2016-1966, MFSA-2016-31]

Une vulnérabilité inconnue a été annoncée dans WebRTC/LibVPX. [grav:2/4; CVE-2016-1970, CVE-2016-1971, CVE-2016-1972, CVE-2016-1975, CVE-2016-1976, MFSA-2016-32]

Un attaquant peut provoquer l'utilisation d'une zone mémoire libérée dans WebRTC GetStaticInstance, afin de mener un déni de service, et éventuellement d'exécuter du code. [grav:3/4; CVE-2016-1973, MFSA-2016-33]

Un attaquant peut forcer la lecture à une adresse invalide dans HTML Parser, afin de mener un déni de service. [grav:3/4; CVE-2016-1974, MFSA-2016-34]

Un attaquant peut provoquer un buffer overflow dans ASN1 Certificate Parsing, afin de mener un déni de service, et éventuellement d'exécuter du code. [grav:4/4; CVE-2016-1950, MFSA-2016-35]

Un attaquant peut provoquer l'utilisation d'une zone mémoire libérée dans PK11_ImportDERPrivateKeyInfoAndReturnKey(), afin de mener un déni de service, et éventuellement d'exécuter du code. [grav:3/4; CVE-2016-1979, MFSA-2016-36]

Un attaquant peut utiliser plusieurs vulnérabilités dans Graphite 2, afin d'exécuter du code (VIGILANCE-VUL-19166). [grav:4/4; CVE-2016-1977, CVE-2016-2790, CVE-2016-2791, CVE-2016-2792, CVE-2016-2793, CVE-2016-2794, CVE-2016-2795, CVE-2016-2796, CVE-2016-2797, CVE-2016-2798, CVE-2016-2799, CVE-2016-2800, CVE-2016-2801, CVE-2016-2802, MFSA-2016-37]

Un attaquant peut provoquer une corruption de mémoire dans Graphite, afin de mener un déni de service, et éventuellement d'exécuter du code. [grav:4/4; CVE-2016-1969, MFSA-2016-38]
Bulletin Vigil@nce complet.... (Essai gratuit)
Notre base de données contient d'autres bulletins. Vous pouvez utiliser un essai gratuit pour les consulter.

Consulter les informations sur Sun Solaris :