Avis de sécurité

Deux vulnérabilités ont été corrigées dans IBM WebSphere. Elles affectent toutes les deux le composant IEHS (IBM Eclipse Help System). La première concerne une injection de code indirecte à distance (XSS) et la deuxième est une redirection d'URL.

Une vulnérabilité de type injection de code indirecte à distance (XSS) a été corrigée dans HP AssetManager.

Une vulnérabilité permettant d'obtenir un accès non autorisé à des données situés sur un système de fichiers distant à été corrigée dans divers produits EMC. Cette vulnérabilité est due à une mauvaise gestion des droits d'accès au fichiers et dossiers partagés sur le réseau.

Une vulnerabilité de type injection de code indirecte à distance (XSS) a été corrigée dans GLPI.

Neuf vulnérabilités concernant la bibliothèque libxml2 ont été corrigées dans VMware ESXi.

Une vulnérabilité a été corrigée dans libpng. Elle est due à une mauvaise gestion des permissions durant la compilation par la commande « make ».

Trois vulnérabilités, considérées comme importantes par l'éditeur, ont été corrigées dans Google Chrome. Deux (CVE-2012-2842, CVE-2012-2843) concernent une mauvaise gestion de la mémoire dynamique (use-after-free). La dernière rend possible un accès frauduleux à un objet au moyen d'un script...

Cinq vulnérabilités ont été corrigées dans Cisco TelePresence. Deux concernent des implémentations des protocoles TCP/IP ou Cisco Discovery Protocol (CDP) et peuvent être provoquées par des en-têtes spécialement conçus. L'interface Web est affectée par deux injections de commande à distance...

Une vulnérabilité a été corrigée dans Microsoft Office 2011 pour Mac. Elle est liée à des autorisations de dossiers incorrectes ce qui permet à une personne malintentionnée de placer un exécutable malveillant dans le dossier d'installation de Microsoft Office. Ce dernier pourra alors être exécuté...

Plusieurs vulnérabilités ont été corrigées dans divers produits Microsoft. Quatre (CVE-2012-1858, CVE-2012-1859, CVE-2012-1861, CVE-2012-1863) permettent à un utilisateur malveillant d'injecter indirectement du code à distance (XSS) dans le contexte de l'utilisateur piégé. Deux (CVE-2012-1860,...