Avis de sécurité

Le magasin de certificats de Microsoft Windows a été mis à jour pour révoquer des certificats intermédiaires utilisés frauduleusement pour signer des codes malveillants, notamment par le logiciel malveillant « Flame » .

Une vulnérabilité dans le traitement des scripts (script-fu) permet à un utilisateur malveillant de provoquer un débordement de mémoire et d'exécuter du code arbitraire.

De multiples vulnérabilités de type XSS (injection de code indirecte à distance) ont été corrigées dans Horde Groupware. Ces vulnérabilités, présentes dans les fonctionnalités de messagerie et de calendrier, permettent à un utilisateur malintentionné d'exécuter du code dans le navigateur Web du...

La fonction crypt() de FreeBSD présente une vulnérabilité dans le traitement des caractères hors de l'alphabet ASCII (7 bits) qui permet de contourner la politique de sécurité.

Une vulnérabilité a été corrigée dans Cisco IOS XR. L'exploitation de cette vulnérabilité permet à un utilisateur malintentionné de provoquer un déni de service en envoyant un paquet réseau spécialement conçu à un équipement vulnérable.

Une vulnérabilité a été corrigée dans PyCrypto. Une erreur dans la génération des clés ElGamal permet à un attaquant de reduire grandement l'espace de clés dans le cas d'une attaque par recherche exhaustive.

Deux vulnérabilités ont été corrigées dans Asterisk. Une concerne le canal IAX2 et peut être exploitée à distance pour exécuter du code arbitraire. La deuxième est un déréférencement de pointeur nul, seul un déni de service peut être provoqué.

De multiples vulnérabilités ont été corrigées dans EMC AutoStart. Elles concernent des débordements de mémoire tampon provoqués par des données spécialement conçues envoyées à l'agent.

Une vulnérabilité a été corrigée dans VMware. Elle concerne une élévation de privilèges lors du chargement d'une bibliothèque non standard.

De nombreuses vulnérabilités ont été corrigées dans Google Chrome. Elles permettent à un utilisateur malintentionné d'exécuter du code arbitraire à distance ou de provoquer un arrêt inopiné de l'application en utilisant une page Web spécialement conçue.