Risque
- Exécution de code arbitraire à distance ;
- contournement de la politique de sécurité ;
- injection de code indirecte à distance.
Systèmes affectés
- Sophos anti-virus
- Sophos web protection
- Sophos web control Layered Service Provider (LSP)
Résumé
De multiples vulnérabilités ont été corrigées dans différents produits Sophos. Plusieurs d'entre elles permettent d'exécuter du code arbitraire à distance au moyen de fichiers spécialement conçus.
Solution
Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).
Documentation
- Bulletin de sécurité Sophos du 05 novembre 2012 :
http://nakedsecurity.sophos.com/2012/11/05/tavis-ormandy-sophos/