Alerte

Beaucoup de bruit autour d’une faille publiée via le Full Disclosure par un dénommé Cupidon 3005. Faille pouvant autoriser un heap overflow à distance sous Windows, et considéré comme critique par Vupen ou moyennement critique par Secunia. Généralement, les administrateurs épanouis protègent leur accès smb (couche réseau directement concernée par ladite faille) derrière un solide […]

Les 12 rustines prévues par Microsoft, dont une faisant l’objet d’une exploitation « dans la nature » et deux autres accusant presque un mois d’ancienneté après divulgation ont été, comme prévu, corrigées. L’index de probabilité d’exploitation est situé dans la moyenne haute. Le détail des bouchons est donné comme d’habitude sur le blog du MSRC. […]

19, 20, 21… 22, pas un de moins. Le bulletin anticipatif du prochain « Patch Tuesday ». Bonne nouvelle, les correctifs relatifs aux alertes 2490606 et 2488013 feront partie du lot. Les failles sont uniformément réparties, et concerne Windows, les suites bureautique, I.E. (un Patch Tuesday sans son « cummulatif IE » ne serait plus […]

Le blog du MSRC (cellule sécurité de Microsoft) signale, au fil d’un billet, d’une mesure de contournement et d’un bulletin d’alerte, l’existence d’une faille MHTML pouvant faire l’objet d’une attaque en cross-site scripting. Secunia précise que le niveau de dangerosité n’est pas particulièrement élevé, mais que le défaut a fait l’objet d’une publication en Chine. […]

Un résumé de la CPU Oracle de janvier vient d’être publiée. Parmi les nombreux trous colmatés, l’on remarque un « Oracle Audit Vault » qui décroche un score CVSS de 10.0, qui dénote un degré de dangerosité et de probabilité d’exploitation très élevé. Idem pour la suite Open Office Oracle qui affiche un indice de […]

Deux bouchons avec plein de trous autour : Le Patch Tuesday de janvier est famélique . Il ne compte ce mois-ci qu’un MS11-001 qualifié d’« important »… reste qu’il s’agit une fois de plus d’une possible attaque en « pré-chargement de dll », un défaut Windows qui empoisonne Microsoft depuis quelques mois déjà. Cette fois, […]

Les deux ZDE Microsoft de « noël et du jour de l’an », autrement dit le bug graphique décrit par l’alerte 2490606 et la « faille CSS » I.E. 2488013 ne feront pas partie du prochain Patch Tuesday, nous apprend le blog du MSRC. La période de vÅ“u durant jusqu’au 31 janvier, l’équipe de CNIS […]

L’alerte de sécurité porte l’immatriculation 2490606, et concernerait tous les systèmes d’exploitation de Windows XP à 2008 (noyaux 32 et 64 bits donc) à l’exception des « server core » et des nouvelles générations de noyau, Windows 7 et 2008 R2 : le ZDE affecte le moteur graphique de Windows. La faille pourrait être exploitable […]

Vupen, éditeur d’outils de pentesting, signale l’existence d’une faille encore inconnue dans Internet Explorer. Le ZDE exploiterait un défaut situé dans le parser chargé du traitement des règles d’importation des CSS d’une page Web, et une preuve de faisabilité est diffusée, par le biais d’une séquence vidéo, par l’équipe technique d’Abysssec. La vulnérabilité a été […]

40 CVE, 17 bulletins et correctifs,2 trous considérés comme critiques par les équipes du MSRC, 5 selon le Sans . Sans oublier le désormais traditionnel indice d’exploitation (toutes sévérités confondues) relativement élevé ce mois-ci. Comme prévu, le quatrième et dernier ZDE (MS10-092) utilisé par le ver Stuxnet est corrigé. Le bulletin détaillé des correctifs, disponible […]