La revue des failles du 31 mars au 13 avril
Sun Java JRE/JDK
Niveau de danger : Critique
Description de la faille : une vulnérabilité a été identifiée dans Sun Java JRE/JDK, elle pourrait être exploitée par des attaquants distants afin de compromettre un système vulnérable. Ce problème résulte d'une erreur de validation d'entrée présente au niveau de Java Deployment Toolkit qui ne valide pas les arguments envoyés vers "javaw.exe", ce qui pourrait permettre à un attaquant de charger et d'exécuter automatiquement un fichier JAR malicieux hébergé sur un partage réseau en incitant un utilisateur à visiter une page Web spécialement conçue.
CA XOsoft
Niveau de danger : Critique
Description de la faille : plusieurs vulnérabilités ont été identifiées dans CA XOsoft, elles pourraient être exploitées par des attaquants afin d'obtenir des informations sensibles ou compromettre un système vulnérable. Ces failles résultent d'erreurs de validation d'accès et d'entrées liées au traitement de certaines requêtes SOAP, ce qui pourrait permettre à un attaquant distant d'obtenir des informations sensibles, énumérer les identifiants ou exécuter un code arbitraire distant.
Foxit Reader 3.x
Niveau de danger : Critique
Description de la faille : une vulnérabilité a été identifiée dans Foxit Reader, elle pourrait être exploitée par des attaquants distants afin de compromettre un système vulnérable. Ce problème résulte d'une erreur de conception liée à l'exécution automatique d'un programme embarqué au sein d'un document PDF, ce qui pourrait permettre à un attaquant d'exécuter un code arbitraire en incitant un utilisateur à ouvrir un PDF malicieux.
Mozilla Firefox 3.x
Niveau de danger : Critique
Description de la faille : une vulnérabilité a été identifiée dans Mozilla Firefox, elle pourrait être exploitée par des attaquants afin de compromettre un système vulnérable. Ce problème résulte de l'utilisation d'un objet libéré lorsque des nœuds DOM sont transférés d'un document à un autre, ce qui pourrait permettre à un attaquant d'altérer le fonctionnement d'un navigateur vulnérable ou d'exécuter un code arbitraire en incitant un utilisateur à visiter une page Web spécialement conçue.
QuickTime 7.x
Niveau de danger : Critique
Description de la faille : plusieurs vulnérabilités ont été identifiées dans Apple QuickTime, elles pourraient être exploitées par des attaquants distants afin de compromettre un système vulnérable. Ces failles résultent de débordements et corruptions de mémoire présents au niveau du traitement d'un fichier PICT, QDM2, QDMC, H.263, H.261, H.264, RLE, M-JPEG, Sorenson, FlashPix, FLC, MPEG ou BMP malformé, ce qui pourrait être exploité par des attaquants afin d'altérer le fonctionnement d'une application vulnérable ou d'exécuter un code arbitraire en incitant un utilisateur à visiter une page Web malicieuse ou à ouvrir un fichier spécialement conçu.
Copyright 2011. Proposé par Bitdefender