Avis de sécurité

Une vulnérabilité a été corrigée dans Microsoft Office. Cette vulnérabilité est liée au traitement des fichiers RTF (Rich Text Format) par Microsoft Office. Elle peut être exploitée par un attaquant distant malveillant au moyen d'un document spécialement conçu.

De multiples vulnérabilités ont été corrigées dans les versions 0.7 et 0.8 de FFmpeg. Ces vulnérabilités peuvent être exploitées par une personne malveillante distante pour effectuer un déni de service ou pour compromettre un système au moyen d'un fichier spécialement conçu.

Une vulnérabilité liée à la gestion des objets a été corrigée dans Adobe Flash Player. Elle est déjà exploitée. Selon Adobe, seuls les utilisateurs sous Windows seraient actuellement visés par les attaques.

Une vulnérabilité a été corrigée dans IBM AIX. Elle concerne l'authentification LDAP et résulte d'une erreur dans la fonction « getpwan() », fonction utilisée quand le filtrage étendu des utilisateurs est configuré. Une exploitation réussie permet à un utilisateur d'élever ses droits en local.

Cinq vulnérabilités ont été corrigées dans Drupal. Trois permettent de contourner les restrictions d'accès sur les listes de forums, les images privées et à l'administration du contenu. La quatrième concerne un déni de service provoqué par le système de filtrage du texte. Enfin, la dernière...

Cinq vulnérabilités ont été corrigées dans les produits VMware. Deux concernent les commandes RPC, il est possible de manipuler un pointeur dans le processus VMX, grâce ce pointeur un utilisateur peut exécuter du code arbitraire depuis l'environnement virtuel sur l'hôte. La troisième concerne les...

Plusieurs vulnérabilités non spécifiées ont été corrigées dans HP System Health Application and Command Line Utilities. Elles permettent à une personne malintentionnée d'exécuter du code arbitraire à distance.

Plusieurs vulnérabilités non spécifiées ont été corrigées dans HP Insight Management Agents. Elles permettent d'injecter des requêtes illégitimes par rebond (CSRF, CVE-2012-2003), de rediriger des URLs vers un site arbitraire (CVE-2012-2004), d'injecter indirectement du code à distance (XSS,...

Une vulnérabilité a été corrigée dans PHP. Elle concerne l'implémentation CGI et permet de passer les arguments "-s", "-d" ou "-c" à l'interpréteur PHP. Au moyen de ces arguments un utilisateur distant peut obtenir le code source des pages ou exécuter du code arbitraire à distance.

Une vulnérabilité a été corrigée dans Citrix Provisioning Service. Un attaquant peut envoyer un message réseau spécialement conçu au service et ainsi provoquer une exécution de code arbitraire à distance.