Avis de sécurité

Deux vulnérabilités ont été découvertes, l'une permettant sous Internet Explorer 4.01 SP 2 d'exécuter une macro VBA, l'autre sous Office 2000 et PowerPoint 97 permettant de sauvegarder un fichier sur le disque à l'insu de son utilisateur.

Une vulnérabilité à été découverte sous Outlook et Outlook Express permettant à un utilisateur malveillant d'exécuter du code sur une machine distante. Le code peut s'exécuter même si on ne lit par le message et les pièces jointes.

L'utilitaire « makewhatis » est utilisé sous unix pour mettre à jour les bases de données utilisées par les commandes whatis et apropos. Redhat a trouvé une vulnérabilité qui permet à un utilisateur local de modifier des fichiers auxquel il n'a normalement pas accès. L'utilisateur mal intentionné...

Une « procédure cataloguée » (ou procédure mémorisée) est un ensemble d'instructions SQL précompilées enregistré dans le dictionnaire d'une base de données SQL sur un serveur. Elles sont exécutées par une application via un appel de procédure (Remote Procedure Call). Une vulnérabilité de...

Workshop est une suite logicielle d'outils aidant les développeurs à mettre au point les programmes. Le programme « cvconnect » est appelé par ce logiciel. Une vulnérabilité dans « cvconnect » a été découverte, autorisant n'importe quel utilisateur à l'exécuter.

Les modules d'extensions de FrontPage (Frontpage Server Extensions Ressource Kit) constituent un jeu de programmes permettant la gestion de site web : complément à l'administration du serveur, modifications à distance des pages web et d'autres outils comme, par exemple, le tri des pages web, et...

SplitVT est un programme qui découpe verticalement un terminal en deux parties ; chaque partie accueillant un shell différent. Un programme exploitant un débordement de variable dans la pile a été publié. Ce programme permet d'acquérir les droits root localement.

Grâce à la lecture d'un fichier d'aide de Windows (extension .CHM) astucieusement construit, un utilisateur peut être conduit par une personne mal intentionnée à exécuter localement du code à son insu.

Une vulnérabilité dans les mécanismes de sécurité de Windows 2000 a été découverte. Elle permet à un utilisateur mal intentionné d'obtenir, en accès local, des privilèges qui ne lui ont pas été attribués.

GSSFTP est un serveur FTP sécurisé utilisant la suite Kerberos 5 du MIT. Deux vulnérabilités y ont été découvertes : - Un utilisateur ayant un accès local au serveur FTP peut obtenir les privilèges de root lui permettant d'éxecuter des commandes qui ne lui sont pas autorisées. - Un utilisateur...