L'équipe Vigil@nce veille les vulnérabilités publiques qui affectent votre parc informatique, puis propose des correctifs sécurité, une base et des outils pour y remédier.

Vulnérabilités informatiques de XP

alerte de vulnérabilité 16611

Microsoft Windows : obtention d'authentifiants via des redirections HTTP

Synthèse de la vulnérabilité

Un attaquant contrôlant un serveur HTTP utilisé par un client basé sur urlmon.dll et contrôlant un serveur CIFS peut obtenir les authentifiants chiffrés de l'utilisateur final.
Produits concernés : Windows 2008 R0, Windows 2008 R2, Windows 2012, Windows 7, Windows 8, Windows RT, Windows Vista, Windows XP.
Gravité : 2/4.
Conséquences : lecture de données.
Provenance : client intranet.
Date création : 15/04/2015.
Références : VIGILANCE-VUL-16611, VU#672268.

Description de la vulnérabilité

Microsoft Windows fournit une bibliothèque urlmon.dll contenant un client HTTP.

Ce client suit les redirections HTTP. Cependant, elle honore les redirections vers des URLs de type "file" au lieu de "http". Lorsque l'URL de redirection désigne un serveur SMB/CIFS, urlmon.dll envoie automatiquement les noms d'utilisateurs et empreinte de mot de passe au serveur CIFS.

Un attaquant contrôlant un serveur HTTP utilisé par un client basé sur urlmon.dll et contrôlant un serveur CIFS peut donc obtenir les authentifiants chiffrés de l'utilisateur final.
Bulletin Vigil@nce complet... (Essai gratuit)

annonce de vulnérabilité CVE-2015-1170

Windows : élévation de privilèges via NVIDIA Display Driver

Synthèse de la vulnérabilité

Un attaquant local peut utiliser un pilote NVIDIA sur Windows, afin d'élever ses privilèges.
Produits concernés : Windows 2008 R0, Windows 2008 R2, Windows 7, Windows Vista, Windows XP.
Gravité : 2/4.
Conséquences : accès/droits administrateur, accès/droits privilégié.
Provenance : shell utilisateur.
Date création : 03/03/2015.
Références : 3634, CERTFR-2015-AVI-083, CVE-2015-1170, VIGILANCE-VUL-16292.

Description de la vulnérabilité

Les produits NVIDIA nécessitent un pilote qui doit être installé sous Windows :
 - GeForce Notebook, Quadro, NVS Notebook
 - GeForce Desktop
 - Quadro, NVS Workstation
 - GRID baremetal, GPU passthrough
 - GRID virtual GPU (vGPU)

Cependant, un attaquant peut employer ce pilote, pour accéder à des ressources privilégiées.

Un attaquant local peut donc utiliser un pilote NVIDIA sur Windows, afin d'élever ses privilèges.
Bulletin Vigil@nce complet... (Essai gratuit)

bulletin de vulnérabilité informatique CVE-2014-4971

Windows XP, 2003 : vulnérabilités de pilotes

Synthèse de la vulnérabilité

Un attaquant peut employer deux vulnérabilités dans des pilotes de Windows.
Produits concernés : Windows 2003, Windows XP.
Gravité : 2/4.
Conséquences : accès/droits administrateur.
Provenance : shell utilisateur.
Nombre de vulnérabilités dans ce bulletin : 2.
Date création : 21/07/2014.
Date révision : 14/10/2014.
Références : 2993254, CERTFR-2014-AVI-418, CVE-2014-4971, KL-001-2014-002, KL-001-2014-003, MS14-062, VIGILANCE-VUL-15078.

Description de la vulnérabilité

Un attaquant peut employer deux vulnérabilités dans des pilotes de Windows.

Un attaquant peut provoquer une corruption de mémoire dans BthPan.sys de Windows XP, afin de mener un déni de service, et éventuellement d'exécuter du code. [grav:2/4; CVE-2014-4971, KL-001-2014-002]

Un attaquant peut provoquer une corruption de mémoire dans MQAC.sys, afin de mener un déni de service, et éventuellement d'exécuter du code. [grav:2/4; 2993254, CVE-2014-4971, KL-001-2014-003, MS14-062]
Bulletin Vigil@nce complet... (Essai gratuit)

annonce de vulnérabilité CVE-2014-0253 CVE-2014-0257 CVE-2014-0295

Microsoft .NET : multiples vulnérabilités

Synthèse de la vulnérabilité

Un attaquant peut employer plusieurs vulnérabilités de Microsoft .NET.
Produits concernés : .NET Framework, Windows 2003, Windows 2008 R0, Windows 2008 R2, Windows 2012, Windows 7, Windows 8, Windows RT, Windows Vista, Windows XP.
Gravité : 3/4.
Conséquences : accès/droits privilégié, accès/droits utilisateur, lecture de données, déni de service du service.
Provenance : document.
Nombre de vulnérabilités dans ce bulletin : 3.
Date création : 11/02/2014.
Dates révisions : 12/02/2014, 25/09/2014.
Références : 2916607, BID-65415, BID-65417, BID-65418, CERTFR-2014-AVI-064, CVE-2014-0253, CVE-2014-0257, CVE-2014-0295, MS14-009, VIGILANCE-VUL-14222.

Description de la vulnérabilité

Plusieurs vulnérabilités ont été annoncées dans Microsoft .NET.

Un attaquant peut employer une requête POST pour provoquer une erreur dans la gestion des connexions HTTP bloquées en attente ("stale"), afin de mener un déni de service. Cette vulnérabilité a la même origine que VIGILANCE-VUL-8809. [grav:2/4; BID-65415, CVE-2014-0253]

Un attaquant peut faire exécuter une méthode spéciale, afin de sortir de la sandbox, pour élever ses privilèges. [grav:3/4; BID-65417, CVE-2014-0257]

Un attaquant peut employer vsab7rt.dll, afin d'obtenir des informations sensibles sur l'organisation de la mémoire pour contourner ASLR. [grav:1/4; BID-65418, CVE-2014-0295]
Bulletin Vigil@nce complet... (Essai gratuit)

annonce de vulnérabilité informatique CVE-2013-3900

Windows : exécution de code via WinVerifyTrust

Synthèse de la vulnérabilité

Un attaquant peut modifier un fichier signé valide, sans que WinVerifyTrust le détecte, afin de tromper la victime pour qu'elle exécute ce programme.
Produits concernés : Windows 2003, Windows 2008 R0, Windows 2008 R2, Windows 2012, Windows 7, Windows 8, Windows RT, Windows Vista, Windows XP.
Gravité : 3/4.
Conséquences : accès/droits utilisateur.
Provenance : document.
Date création : 10/12/2013.
Date révision : 30/07/2014.
Références : 2893294, BID-64079, CERTA-2013-AVI-664, CVE-2013-3900, MS13-098, VIGILANCE-VUL-13927.

Description de la vulnérabilité

La fonctionnalité Authenticode vérifie la signature d'un exécutable, afin de prévenir l'utilisateur avant l'exécution du programme.

Cependant, la fonction WinVerifyTrust ne vérifie pas correctement le haché du fichier exécutable.

Un attaquant peut donc modifier un fichier signé valide, sans que WinVerifyTrust le détecte, afin de tromper la victime pour qu'elle exécute ce programme.
Bulletin Vigil@nce complet... (Essai gratuit)

bulletin de vulnérabilité informatique CVE-2014-2779

Microsoft Malware Protection Engine : déni de service

Synthèse de la vulnérabilité

Un attaquant peut envoyer un fichier illicite vers le Microsoft Malware Protection Engine, afin de mener un déni de service.
Produits concernés : Forefront Security pour Exchange Server, Forefront Threat Management Gateway, Forefront Unified Access Gateway, SCCM, SCOM, Windows 2003, Windows 2008 R0, Windows 2008 R2, Windows 2012, Windows 7, Windows 8, Windows RT, Windows Vista, Windows XP.
Gravité : 2/4.
Conséquences : déni de service du service.
Provenance : document.
Date création : 18/06/2014.
Références : 2974294, CVE-2014-2779, VIGILANCE-VUL-14908.

Description de la vulnérabilité

Le moteur Microsoft Malware Protection Engine analyse les fichiers à la recherche de malwares.

Cependant, un fichier illicite bloque ce moteur.

Un attaquant peut donc envoyer un fichier illicite vers le Microsoft Malware Protection Engine, afin de mener un déni de service.
Bulletin Vigil@nce complet... (Essai gratuit)

bulletin de vulnérabilité informatique 14818

Windows : modification de configuration via DHCP INFORM

Synthèse de la vulnérabilité

Un attaquant peut répondre aux requêtes DHCP INFORM de Windows, afin de modifier sa configuration.
Produits concernés : Windows 2000, Windows 2003, Windows XP.
Gravité : 2/4.
Conséquences : création/modification de données.
Provenance : LAN.
Date création : 30/05/2014.
Références : VIGILANCE-VUL-14818.

Description de la vulnérabilité

Le message DHCP INFORM permet à un client de demander à un serveur DHCP des informations complémentaires (WPAD, DNS, routeur, etc.).

Le client DHCP de Windows implémente DHCP INFORM. Cependant, il ne vérifie pas si les réponses proviennent réellement du serveur DHCP.

Un attaquant peut donc répondre aux requêtes DHCP INFORM de Windows, afin de modifier sa configuration.
Bulletin Vigil@nce complet... (Essai gratuit)

vulnérabilité informatique CVE-2014-0315

Windows : exécution de code via BAT/CMD

Synthèse de la vulnérabilité

Un attaquant peut inviter la victime à ouvrir un fichier BAT/CMD distant sur Windows, afin d'exécuter du code.
Produits concernés : Windows 2003, Windows 2008 R0, Windows 2008 R2, Windows 2012, Windows 7, Windows 8, Windows RT, Windows Vista, Windows XP.
Gravité : 2/4.
Conséquences : accès/droits administrateur, accès/droits privilégié, accès/droits utilisateur.
Provenance : document.
Date création : 08/04/2014.
Références : 2922229, CERTFR-2014-AVI-159, CVE-2014-0315, MS14-019, VIGILANCE-VUL-14555.

Description de la vulnérabilité

Les fichiers portant l'extension .BAT ou .CMD contiennent des commandes shell.

Lorsque ces fichiers sont situés sur des partages réseau distants, Windows applique une politique de sécurité différente. Cependant, un attaquant peut contourner cette politique, pour que ces scripts soient exécutés.

Un attaquant peut donc inviter la victime à ouvrir un fichier BAT/CMD distant sur Windows, afin d'exécuter du code.
Bulletin Vigil@nce complet... (Essai gratuit)

annonce de vulnérabilité informatique CVE-2014-0317

Windows : brute force via SAMR

Synthèse de la vulnérabilité

Un attaquant peut employer SAMR pour mener un brute force, afin de deviner le mot de passe d'un utilisateur de Windows.
Produits concernés : Windows 2003, Windows 2008 R0, Windows 2008 R2, Windows 2012, Windows Vista, Windows XP.
Gravité : 2/4.
Conséquences : accès/droits utilisateur.
Provenance : client intranet.
Date création : 11/03/2014.
Références : 2934418, CERTFR-2014-AVI-122, CVE-2014-0317, MS14-016, VIGILANCE-VUL-14407.

Description de la vulnérabilité

Le protocole SAMR (Security Account Manager Remote) permet de manipuler la base des utilisateurs.

Cependant, le verrouillage des comptes n'est pas géré.

Un attaquant peut donc employer SAMR pour mener un brute force, afin de deviner le mot de passe d'un utilisateur de Windows.
Bulletin Vigil@nce complet... (Essai gratuit)

alerte de vulnérabilité informatique CVE-2014-0300 CVE-2014-0323

Windows : deux vulnérabilités de Win32k

Synthèse de la vulnérabilité

Un attaquant peut employer plusieurs vulnérabilités de Win32k de Windows.
Produits concernés : Windows 2003, Windows 2008 R0, Windows 2008 R2, Windows 2012, Windows 7, Windows 8, Windows RT, Windows Vista, Windows XP.
Gravité : 2/4.
Conséquences : accès/droits administrateur, accès/droits privilégié, lecture de données.
Provenance : shell utilisateur.
Nombre de vulnérabilités dans ce bulletin : 2.
Date création : 11/03/2014.
Références : 2930275, CERTFR-2014-AVI-121, CVE-2014-0300, CVE-2014-0323, MS14-015, VIGILANCE-VUL-14406.

Description de la vulnérabilité

Plusieurs vulnérabilités ont été annoncées dans le pilote noyau win32k.sys, qui est par exemple employé pour gérer les fenêtres.

Un attaquant local peut manipuler un objet en mémoire, afin d'élever ses privilèges. [grav:2/4; CVE-2014-0300]

Un attaquant local peut manipuler un objet en mémoire, afin d'obtenir des informations sensibles. [grav:1/4; CVE-2014-0323]
Bulletin Vigil@nce complet... (Essai gratuit)
Notre base de données contient d'autres bulletins. Vous pouvez utiliser un essai gratuit pour les consulter.