Avis de sécurité

Un utilisateur mal intentionné peut, à l'aide d'une URL malformée, arrêter à distance le service IIS.

Un utilitaire de gestion de Fax est installé par défaut sur la plupart des versions de Linux ou Unix. Celle-ci possède une vulnérabilité permettant à un utilisateur local d'écraser des fichiers auxquels il n'a normalement pas accès en écriture.

Une personne mal intentionnée peut, en insérant des macros dans un document Office dont l'extension a été modifiée, contourner la protection de l'anti-virus.

Le ver Apology remplace le fichier wsock32.dll par une version modifiée dans le but de surveiller le trafic réseau. Lorsque l'utilisateur d'une machine infecté expédie un mèl, un second est automatiquement transmis au même destinataire. Ce second message ne contient ni sujet, ni corps mais un...

La possibilité d'ajouter une clé supplémentaire de déchiffrement (ADK : Additional Decryption Keys) dans le certificat d'une clé publique a été introduite avec la version 5.5 de PGP Le chiffrement des données par les versions 5.5.x jusqu'à 6.5.3 de PGP, et utilisant un certificat modifié, génère...

Le daemon RPC.statd intervient dans le fonctionnement du service NFS sous Unix. Ce daemon possède une vulnérabilité permettant à un utilisateur distant d'éxécuter du code ou d'accéder à un shell avec les privilèges root. Les exploits utilisant les vulnérabilités de RPC.statd se multiplient toujours.

Une vulnérabilité dans le moteur réseau d'ISS RealSecure permet d'arrêter l'agent responsable du contrôle des paquets du réseau.

Une vulnérabilité permet à un utilisateur mal intentionné, en corrompant une machine locale, de l'empêcher de participer à un réseau. Si cette vulnérabilité est exploitée sur un contrôleur de domaine, toute l'architecture du réseau peut être perturbée.

Troj/Qaz est un cheval de Troie permettant à un utilisateur mal intentionné de pouvoir avoir accès, à distance, à une machine infectée. Lors de son exécution ce cheval de Troie recherche le fichier « notepad.exe » et le renomme en « note.exe ». Il duplique son propre code dans un nouveau fichier...

Le 20 février 2000, le Cert CC a émis un avis concernant une vulnérabilité (Cross-Site Scripting) permettant à un utilisateur malveillant d'injecter du code dans la session d'un utilisateur d'un site internet. Microsoft vient de paraître un correctif pour cette vulnérabilité.