Avis de sécurité

Plusieurs vulnérabilités de type débordement de tampon ont été corrigées dans Cisco WebEx Player. Un attaquant distant peut les exploiter et exécuter du code arbitraire avec les privilèges de l'utilisateur victime.

Quatre vulnérabilités ont été corrigées dans Symantec Message Filter : - une permet d'accéder aux informations sur les changements de version des différents composants ; - une permet de l'injection de code indirecte à distance (XSS) ; - une concerne le vol de session d'un autre utilisateur ; - la...

Une vulnérabilité dans l'affichage des pièces jointes au format svg a été corrigée dans le logiciel IMP, qui permettait une injection de code indirecte à distance.

Une vulnérabilité dans le logiciel sendmail dans AIX permet à un utilisateur local d'élever ses privilèges et d'exécuter des commandes arbitraires, à l'aide d'un fichier $HOME/.forward spécialement conçu.

Vingt-deux vulnérabilités ont été corrigées dans Google Chrome. La majorité concerne des utilisations de pointeurs après les avoir libérés et peuvent entrainer une exécution de code arbitraire à distance. Les formats PDF et SVG sont principalement visés. Des débordements d'entiers et de mémoire...

Cinq vulnérabilités ont été corrigées dans IBM Lotus Expeditor. Elles sont réparties comme suit : - (CVE-2012-0186) une URL spécialement conçue permet de lire arbitrairement des ressources sensibles ; - (CVE-2012-0191) en modifiant son en-tête HTTP un attaquant peut contourner les restrictions du...

Une vulnérabilité a été corrigée dans IBM AIX. Elle permet d'écraser un fichier arbitraire au moyen d'un lien symbolique.

Deux vulnérabilité ont été corrigées par IBM pour les produits Storage Server. La première (CVE-2012-2171) permet à un utilisateur malveillant d'injecter et d'exécuter du code SQL arbitraire à distance. La seconde (CVE-2012-2172) permet à un attaquant de réaliser de l'injection de code indirecte...

Une vulnérabilité a été corrigée dans la solution F5 BIG-IP. Certains enregistrements de longueur nulle ne sont pas correctement traités par le serveur BIND.

Une vulnérabilité a été corrigée dans ces produits Cisco. Celle-ci permet à un attaquant distant de forcer le rédémarrage de l'équipement au moyen de paquets IPv6 spécialement conçus.