L'équipe Vigil@nce veille les vulnérabilités publiques qui affectent votre parc informatique, puis propose des correctifs sécurité, une base et des outils pour y remédier.

Vulnérabilités informatiques de Trend Micro Internet Security

bulletin de vulnérabilité informatique 22992

Trend Micro Internet Security : élévation de privilèges via ioctl

Synthèse de la vulnérabilité

Un attaquant peut utiliser un appel ioctl à Trend Micro Internet Security, afin de modifier la mémoire du noyau ou de provoquer un déni de service.
Gravité : 2/4.
Date création : 19/06/2017.
Références : 1117509, VIGILANCE-VUL-22992, ZDI-17-395, ZDI-17-396.
Bulletin Vigil@nce complet... (Essai gratuit)

Description de la vulnérabilité

Le produit Trend Micro Internet Security comprend un pilote noyau.

Cependant, la mise en œuvre de l'appel ioctl ne vérifie pas correctement ses arguments.

Un attaquant peut donc utiliser un appel ioctl à Trend Micro Internet Security, afin de modifier la mémoire du noyau ou de provoquer un déni de service.
Bulletin Vigil@nce complet... (Essai gratuit)

alerte cybersécurité CVE-2017-5565 CVE-2017-5566 CVE-2017-5567

Antivirus : élévation de privilèges via Microsoft Application Verifier

Synthèse de la vulnérabilité

Un attaquant peut contourner les restrictions via Microsoft Application Verifier de Antivirus, afin d'élever ses privilèges.
Gravité : 2/4.
Nombre de vulnérabilités dans ce bulletin : 5.
Date création : 22/03/2017.
Références : 1116957, CVE-2017-5565, CVE-2017-5566, CVE-2017-5567, CVE-2017-6186, CVE-2017-6417, VIGILANCE-VUL-22211.
Bulletin Vigil@nce complet... (Essai gratuit)

Description de la vulnérabilité

Un attaquant peut contourner les restrictions via Microsoft Application Verifier de Antivirus, afin d'élever ses privilèges.
Bulletin Vigil@nce complet... (Essai gratuit)

avis de vulnérabilité 20800

Trend Micro Internet Security : déréférencement de pointeur NULL via tmnciesc

Synthèse de la vulnérabilité

Un attaquant peut forcer le déréférencement d'un pointeur NULL via tmnciesc de Trend Micro Internet Security, afin de mener un déni de service.
Gravité : 1/4.
Date création : 07/10/2016.
Références : 1115282, 2016-0125, VIGILANCE-VUL-20800, ZDI-16-529, ZDI-16-530.
Bulletin Vigil@nce complet... (Essai gratuit)

Description de la vulnérabilité

Le produit Trend Micro Internet Security dispose d'un service web.

Cependant, ce produit ne vérifie pas si un pointeur est NULL, avant de l'utiliser.

Un attaquant peut donc forcer le déréférencement d'un pointeur NULL via tmnciesc de Trend Micro Internet Security, afin de mener un déni de service.
Bulletin Vigil@nce complet... (Essai gratuit)

faille CVE-2014-9641

Trend Micro AntiVirus : élévation de privilèges via tmeext.sys

Synthèse de la vulnérabilité

Un attaquant peut appeler un ioctl de tmeext.sys installé par Trend Micro, afin d'élever ses privilèges.
Gravité : 2/4.
Date création : 06/02/2015.
Références : 1106233, CVE-2014-9641, VIGILANCE-VUL-16127.
Bulletin Vigil@nce complet... (Essai gratuit)

Description de la vulnérabilité

Le produit Trend Micro AntiVirus installe le pilote tmeext.sys.

Cependant, l'ioctl 0x00222400 permet à un utilisateur local d'élever ses privilèges.

Un attaquant peut donc appeler un ioctl de tmeext.sys installé par Trend Micro, afin d'élever ses privilèges.
Bulletin Vigil@nce complet... (Essai gratuit)

menace cybersécurité CVE-2010-3189

Trend Micro Internet Security : exécution de code via extSetOwner

Synthèse de la vulnérabilité

Un attaquant peut inviter la victime à consulter une page web contenant l'ActiveX UfPBCtrl.dll de Trend Micro Internet Security, afin de faire exécuter du code sur sa machine.
Gravité : 2/4.
Date création : 04/10/2010.
Références : CVE-2010-3189, VIGILANCE-VUL-10001, ZDI-10-165.
Bulletin Vigil@nce complet... (Essai gratuit)

Description de la vulnérabilité

Le produit Trend Micro Internet Security Pro 2010 installe l'ActiveX UfPBCtrl.dll sur la machine de l'utilisateur.

La méthode extSetOwner() de cet ActiveX utilise l'adresse d'une zone mémoire pour changer un objet. Cependant, l'ActiveX ne vérifie pas la validité de cette adresse.

Un attaquant peut donc inviter la victime à consulter une page web contenant l'ActiveX UfPBCtrl.dll de Trend Micro Internet Security, afin de faire exécuter du code sur sa machine.
Bulletin Vigil@nce complet... (Essai gratuit)

alerte de menace 8683

Trend Micro : contournement via RAR, CAB et ZIP

Synthèse de la vulnérabilité

Un attaquant peut créer une archive RAR, CAB ou ZIP contenant un virus qui n'est pas détecté par les produits Trend Micro.
Gravité : 2/4.
Nombre de vulnérabilités dans ce bulletin : 3.
Date création : 30/04/2009.
Références : BID-34763, TZO-17-2009, VIGILANCE-VUL-8683.
Bulletin Vigil@nce complet... (Essai gratuit)

Description de la vulnérabilité

Les produits Trend Micro détectent les virus contenus dans les archives RAR, CAB et ZIP.

Cependant, un attaquant peut créer une archive légèrement malformée, qui peut toujours être ouverte par les outils Unrar/Unzip, mais que l'antivirus ne peut pas ouvrir.

Selon les produits Trend Micro, ces archives sont alors gérées de trois manières.

OfficeScan et ServerProtect détectent le virus lorsque Unrar/Unzip extrait l'archive sur le poste client. Ces produits sont donc vulnérables s'ils sont installés sur un serveur de scan. [grav:2/4]

InterScan Web Security Suite et InterScan Messaging Security mettent le fichier en quarantaine par défaut. Ces produits sont vulnérables si l'administrateur a modifié la configuration par défaut. [grav:2/4]

ScanMail laisse transister l'archive sans indiquer qu'elle contient potentiellement un virus. Ce produit est vulnérable dans la configuration par défaut. [grav:2/4]

Un attaquant peut donc créer une archive RAR, CAB ou ZIP contenant un virus qui n'est pas détecté par les produits Trend Micro.
Bulletin Vigil@nce complet... (Essai gratuit)

alerte de menace informatique CVE-2009-0686

Trend Micro IS : élévation de privilèges via tmactmon.sys

Synthèse de la vulnérabilité

Un attaquant local peut employer METHOD_NEITHER pour élever ses privilèges via Trend Micro Internet Security.
Gravité : 2/4.
Date création : 31/03/2009.
Références : CVE-2009-0686, Positive Technologies SA 2009-09, PT-2009-09, VIGILANCE-VUL-8578.
Bulletin Vigil@nce complet... (Essai gratuit)

Description de la vulnérabilité

Le pilote tmactmon.sys (TrendMicro Activity Monitor) est installé par Trend Micro Internet Security, et est accessible par tous les utilisateurs via \Device\tmactmon.

La fonction NtDeviceIoControlFile() permet de s'attacher au pilote. Son paramètre IoControlCode indique le mode de gestion des paramètres d'entrée/sortie :
 - METHOD_BUFFERED, METHOD_IN_DIRECT, METHOD_OUT_DIRECT : utilise un buffer d'IRP
 - METHOD_NEITHER : utilise directement des adresses mémoires virtuelles
Lorsque le mode METHOD_NEITHER est employé, le pilote doit vérifier les adresses mémoire.

Cependant, tmactmon.sys ne vérifie pas les adresses. Un attaquant peut donc passer en entrée ses données illicites, et en sortie une adresse mémoire noyau. Ses données illicites sont donc écrites en espace mémoire privilégié par le pilote.

Un attaquant local peut donc employer METHOD_NEITHER pour élever ses privilèges via Trend Micro Internet Security.
Bulletin Vigil@nce complet... (Essai gratuit)

annonce cyber-sécurité CVE-2008-3864 CVE-2008-3865

Trend Micro IS : vulnérabilités de TmPfw.exe

Synthèse de la vulnérabilité

Un attaquant peut employer deux vulnérabilités du service firewall de Trend Micro Internet Security afin de mener un déni de service ou de faire exécuter du code.
Gravité : 3/4.
Nombre de vulnérabilités dans ce bulletin : 2.
Date création : 20/01/2009.
Références : BID-33358, CERTA-2009-AVI-026, CVE-2008-3864, CVE-2008-3865, VIGILANCE-VUL-8405.
Bulletin Vigil@nce complet... (Essai gratuit)

Description de la vulnérabilité

Le service firewall de Trend Micro Internet Security (TmPfw.exe) écoute sur le port 40000/tcp. La fonction ApiThread() n'analyse pas correctement les paquets reçus, ce qui provoque deux vulnérabilités.

Un paquet contenant une taille trop courte provoque un débordement, conduisant à l'exécution de code avec les privilèges SYSTEM. [grav:3/4; CVE-2008-3865]

Un paquet contenant une taille trop importante provoque un déni de service. [grav:2/4; CERTA-2009-AVI-026, CVE-2008-3864]
Bulletin Vigil@nce complet... (Essai gratuit)

alerte de faille CVE-2007-4277

Trend Micro AntiVirus scan engine : débordement de buffer dansTmxpflt.sys

Synthèse de la vulnérabilité

Un attaquant local peut exécuter du code sur le système en exploitant un débordement de buffer de Trend Micro AntiVirus scan engine.
Gravité : 2/4.
Date création : 26/10/2007.
Références : 1036190, CERTA-2007-AVI-456, CVE-2007-4277, VIGILANCE-VUL-7285.
Bulletin Vigil@nce complet... (Essai gratuit)

Description de la vulnérabilité

Les produits Trend Micro utilisent un moteur de détection des virus nommé Trend Micro AntiVirus scan engine. Ce moteur utilise des filtres définis par le module Tmfilter.sys sous Windows.

Les permissions sur ce module donnent les droits d'écriture à tous les utilisateurs, et aucun contrôle sur les données passées en paramètre dans l'IOCTL 0xa0284403 n'est effectué. Un attaquant local peut donc exploiter ce module pour provoquer un débordement de buffer dans Trend Micro AntiVirus scan engine.

Un attaquant local peut donc exécuter du code avec les droits SYSTEM sur la machine.
Bulletin Vigil@nce complet... (Essai gratuit)

vulnérabilité cyber-sécurité CVE-2007-3873

Trend Micro PC-cillin : buffer overflow de VST

Synthèse de la vulnérabilité

Un attaquant local peut provoquer un débordement dans Trend Micro PC-cillin afin d'exécuter du code avec les privilèges du système.
Gravité : 2/4.
Date création : 22/08/2007.
Références : B1028, BID-25392, CVE-2007-3873, EN-1035845, VIGILANCE-VUL-7114.
Bulletin Vigil@nce complet... (Essai gratuit)

Description de la vulnérabilité

La bibliothèque vstlib32.dll implémente la fonctionnalité VST (Venus Spy Trap) de SSAPI, qui détecte les spywares (espiologiciels).

Cependant, cette bibliothèque ne vérifie pas correctement les informations de la fonction ReadDirectoryChangesW(). En effet, si un attaquant local a créé un nom de fichier de plus de max_path caractères, un débordement se produit.

Un attaquant local peut ainsi faire exécuter du code avec les privilèges du système.
Bulletin Vigil@nce complet... (Essai gratuit)
Notre base de données contient d'autres bulletins. Vous pouvez utiliser un essai gratuit pour les consulter.

Consulter les informations sur Trend Micro Internet Security :