Reprise du message précédent :
Merci pour l'info

bande de Nerdz acharnés
 
donc 8 bulletins de MS05-016 à MS05-023, 3 importants et 5 critiques
 
Vulnerability in Windows Shell that Could Allow Remote Code Execution (893086)
 
Vulnerability in Message Queuing Could Allow Code Execution (892944)
 
Vulnerabilities in Windows Kernel Could Allow Elevation of Privilege and Denial of Service (890859)
 
Vulnerabilities in TCP/IP Could Allow Remote Code Execution and Denial of Service (893066)
 
Cumulative Security Update for Internet Explorer (890923)
 
Vulnerability in Exchange Server Could Allow Remote Code Execution (894549)
 
Vulnerability in MSN Messenger Could Lead to Remote Code Execution (896597)
 
Vulnerabilities in Microsoft Word May Lead to Remote Code Execution (890169)
 
je détaillerai chaque bulletin demain matin

une précision, les problèmes Windows (les 5 premiers) ne concernent pas Windows Serveur 2003 SP1 car il contient déja ces correctifs

de Sophie Gauthier sur la ML OpenOffice.org-discuss fr :
 

Merci Mjules j'ai vu ça, mais c'est pour demain la mise à jour de ce topic
 

MAJ windows et Acrobat fait
 
merci pour l'info

'tin yen a eu plein    
J'ai halluciné sur SUS  

J'ai pas fait de recherche, mais juste une question vite fait    
 
Le message du reboot genre blaster sasser etc etc. Ca peut etre dû à quoi sachant que le windows XP SP2 est neuf, patché à fond, antivirus en ligne et en local et antispyware ne donnant rien, même en mode sans échec  

Ce n'est pas le bon topic pour çà

 
Bah pourant c'est bien dû à une faille non

non si c'est patché c'est pas dû à une faille, il ne faut pas mélanger un ver comme Sasser qui se propage par une faille et qui fait telle action (arrêter Lsass, donc reboot) avec un virus  qui pourrait se propager par mail et faire la même action
 

Comme annoncé, voila les patchs du mois : http://www.frsirt.com/actualite/20050413.msavril.php

 
 
## Vulnérabilité du Shell Windows (MS05-016) ## Microsoft Windows Shell Code Execution Vulnerability Bulletin FrSIRT 12/04/2005 , Microsoft Windows Shell Execution of Arbitrary Code Secunia Advisories 12/04/2005 et Microsoft MSHTA Script Execution Vulnerability iDEFENSE Security Advisory 12/04/2005
Descriptif :

Versions vulnérables :

• 2000 SP3/SP4
• XP SP1/SP2
• XP 64-Bit Edition 2003 et Edition SP1 (Itanium)
• Server 2003 (normal et pour Itanium)
• 98 FE/SE et Me

Solution : appliquer le patch Vulnerability in Windows Shell that Could Allow Remote Code Execution (893086)
 
 
 
## Vulnérabilité dans Message Queuing (MS05-017) ## Microsoft Message Queuing Remote Buffer Overflow Bulletin FrSIRT 12/04/2005 et Microsoft Windows Message Queuing Buffer Overflow Vulnerability Secunia Advisories 12/04/2005
Descriptif :

Versions vulnérables :

• Microsoft BizTalk Server 2000, 2002 et 2004
• 2000 SP3/SP4
• XP SP1
• XP 64-Bit Edition SP1 (Itanium)
• 98 FE/SE

Solution : appliquer le patch Vulnerability in Message Queuing Could Allow Code Execution (892944)
 
 
 
## Vulnérabilités Windows Kernel et CSRSS (MS05-018) ## Microsoft Windows Kernel Local Privilege Escalation and DoS Bulletin FrSIRT 12/04/2005 , Microsoft Windows Kernel Multiple Vulnerabilities Secunia Advisories 12/04/2005 et Microsoft Windows CSRSS.EXE Stack Overflow Vulnerability iDEFENSE Security Advisory 12/04/2005
Descriptif :

Versions vulnérables :

• 2000 SP3/SP4
• XP SP1/SP2
• XP 64-Bit Edition 2003 et Edition SP1 (Itanium)
• Server 2003 (normal et pour Itanium)
• 98 FE/SE et Me

Solution : appliquer le patch Vulnerabilities in Windows Kernel Could Allow Elevation of Privilege and Denial of Service (890859)
 
 
 
## Vulnérabilités Windows TCP/IP et ICMP (MS05-019) ## Microsoft Windows TCP/IP Remote Code Execution and DoS Bulletin FrSIRT 12/04/2005
Descriptif :

Versions vulnérables :

• 2000 SP3/SP4
• XP SP1/SP2
• XP 64-Bit Edition 2003 et Edition SP1 (Itanium)
• Server 2003 (normal et pour Itanium)
• 98 FE/SE et Me

Solution : appliquer le patch Vulnerabilities in TCP/IP Could Allow Remote Code Execution and Denial of Service (893066)
 
 
 
## Vulnérabilités sous Internet Explorer (MS05-020) ## Microsoft Internet Explorer Code Execution Vulnerabilities Bulletin FrSIRT 12/04/2005 , Microsoft Internet Explorer Multiple Vulnerabilities Secunia Advisories 12/04/2005 et Microsoft Internet Explorer DHTML Engine Race Condition Vulnerability et Microsoft Windows Internet Explorer Long Hostname Heap Corruption Vulnerability iDEFENSE Security Advisory 12/04/2005
Descriptif :

Versions vulnérables :

• IE 5.01 SP3/SP4 sous 2000 SP3/SP4
• IE 5.5 SP2 sous Me
• IE 6 SP1 sous 2000 SP3/SP4, XP SP1, 98 FE/SE, Me et XP 64-Bit Edition SP1 (Itanium)
• IE 6 pour XP SP2, Server 2003 (normal et Itanium) et XP 64-Bit Edition 2003 (Itanium)

Solution : appliquer le patch Cumulative Security Update for Internet Explorer (890923)
 
 
 
## Vulnérabilité sous Exchange (MS05-021) ## Microsoft Exchange Server Remote Code Execution Bulletin FrSIRT 12/04/2005 et Microsoft Exchange SMTP Service Extended Verb Request Buffer Overflow Secunia Advisories 12/04/2005
Descriptif :

Versions vulnérables :

• Microsoft Exchange 2000 Server SP3
• Microsoft Exchange Server 2003 (normal et SP1)

Solution : appliquer le patch Vulnerability in Exchange Server Could Allow Remote Code Execution (894549)
 
 
 
## Vulnérabilité sous MSN Messenger (MS05-022) ## MSN Messenger GIF Handling Remote Code Execution Bulletin FrSIRT 12/04/2005 et Microsoft MSN Messenger GIF Image Processing Vulnerability Secunia Advisories 12/04/2005
Descriptif :

Versions vulnérables : MNS Messenger 6.2 et 7.0 Beta
 
Solution : appliquer le patch Vulnerability in MSN Messenger Could Lead to Remote Code Execution (896597)
 
 
 
## Vulnérabilités sous Word (MS05-023) ## Microsoft Word Remote Code Execution Vulnerabilities Bulletin FrSIRT 12/04/2005
Descriptif :

Versions vulnérables :  

• Word 2000/2002/2003
• Works Suite 2001/2002/2003/2004

Solution : appliquer le patch  
Vulnerabilities in Microsoft Word May Lead to Remote Code Execution (890169)
 
 
 
 
 
Bon maintenant pause déjeuner

relou, j'ai du rebooté aprés l'update

bon je vais faire un petit toure sur Win up alors
 
Edit: a bah j'ai déjà dû le faire parce que il y a rien  
 
Edit2: je viens de piger que c'était le détail du poste en haut  

tu comprends vite c'est bien

bah y'a un truc pas mal, c d'avoir un rezo avec routeur, biensur ça n'immunise pas contre tout, mais par ex pour lsass bah on est pas infecté, bon ça ne dispense biensur pas d'installer un antivirus etc ...
Mais bon ça permet d'avoir un répis le tps d'installer les maj ...

Voila les dernières mises à jour (et je suis à jour now ) :
 
1/ Top10 Trend et US-CERT ; Bulletin US-CERT http://www.us-cert.gov/cas/bulletins/SB05-103.html
 
 
2/ une faille sous outlook et un problème Windows
 
## Vulnérabilités sous Windows dans le rendu des images ## Microsoft Windows image rendering DoS vuln BugTraq SecurityFocus 11/04/2005
Descriptif : Il existe une vulnérabilité dans la manière dont Windows gère le rendu des images. En redimensionnant une image par les propriétés html à une taille très très grande, un attaquant peut causer un Deni de Service très rapide et efficace sur sa victime.
 
Versions vulnérables : vérifié sous IE, Firefox et Avant Browser sur Win2000 et XP
 
Solution : Aucune solution officielle pour l'instant. Utilisez Opera
 
## Vulnérabilités dans Outlook ## Microsoft Outlook and Outlook Web Access "From" Header Spoofing Bulletin FrSIRT 11/04/2005
Descriptif :

Versions vulnérables :  

• Outlook XP et 2003
• Outlook Web Access (Exchange Server 2003)

Solution : Aucune solution officielle pour l'instant.
 
 
3/ failles des logiciels connus
 
## Plusieurs vulnérabilités dans Mozilla Suite et Firefox ## Mozilla Firefox Multiple Vulnerabilities et Mozilla Multiple Vulnerabilities Secunia Advisories 18/04/2005 et Mozilla Suite and Firefox Multiple Code Execution Vulnerabilities et Des vulnérabilités extrêmement critiques affectent Mozilla Suite et Firefox Bulletins FrIST 17/04/2005
Versions concernées :

• Firefox 1.0.2 et inférieur
• Mozilla 1.7.6 et inférieur

Description : une série de failles d'un niveau très critiques a été identifiée et corrigée sous les produits web de la Fondation Mozilla

Solution : pour firefox, la dernière version est téléchargeable sur http://www.mozilla.org/products/firefox/all et pour Mozilla Suite c'est à http://www.mozilla.org/releases/#1.7.7  
 
## Faille dans Java Archive Tool ## [url=][/url] Secunia Advisories 11/04/2005, Jar tool directory transversal vulnerability BugtTraq SecurityFocus 12/04/2005  
Versions concernées : Sun J2SE Developpement Kit 1.4.2 et 1.5.0
 
Description : L'outil jar ne vérifie pas correctement si les fichiers qui doivent être extraits contiennet la chaîne "../" dans leur noms, il est donc possible à un attaquant de créer un fichier jar malicieux dans le but de remplacer n'importe quel fichier dans le système.
 
Solution : pas de solution, utilisez un autre logiciel pour extraire vos jar.
 
## Vulnérabilités dans OpenOffice ## OpenOffice ".doc" Document Handling Buffer Overflow Secunia Advisories 13/04/2005, OpenOffice DOC document Heap Overflow BugtTraq SecurityFocus 12/04/2005 et OpenOffice Document Handling Heap Overflow Vulnerability Bulletin FrIST 12/04/2005
Versions concernées : OpenOffice 1.1.x et 2.0 beta et inférieure
 
Description :

Solution : il y a un patch pour la version 1.1.4 http://download.openoffice.org/1.1 [...] patch.html , par contre les utilisateurs de la 2.0 beta doivent utiliser la version 1.9.95
 
## Faille dans Maxthon ## Maxthon Security ID Disclosure Vulnerability Secunia Advisories 11/04/2005
Versions concernées : Maxthon 1.x
 
Description : La vulnérabilité est due à une erreur de conception dans le fait que l'identifiant (ID) de sécurité d'un plug-in n'est pas correctement protégé et peut être inclus et accédé dans un site web externe via un script. Cela peut être utilisé par exemple pour lire et écrire des fichiers arbitraires via les fonctions API "readFile()" et "writeFile()".
 
Solution : passer à la version 1.2.2 http://www.maxthon.com/download.htm
 
 
 
 
 
 
 
Et une question : est-ce que selon vous MusicMatch est un logiciel connu et très utilisé? c'est pour savoir si je parle de ces deux failles ou  pas

 
Connu ? je dirais oui (j'en ai entendu parler et même installer avec certains logiciels)    
Utilisé ? je dirais.... Non  

oki , avis suivant car là ça me donne pas envie de prendre le temps de traduire les bulletins

et ce n'est pas moi qui vais te motiver

bon si tout le monde me lâche
 
(ps : merci ça fait un truc en moins à faire )

mon avis : tu les cites, tu traduits le titre et tu mets un lien vers le rapport complet. Pas la peine de t'embêter à tout traduire

oki je ferais comme ça demain matin, bonne nuit à tous

bon j'ai pas eu le temps de le faire
 
tant pis, rendez-vous vendredi ou samedi

vacances
 
bon juste pour dire y a un nouveau virus Sober qui se propage bien, mais bon comme d'hab si vous ouvrez un mail en anglais (ou allemand) vous parlant d'un compte mail c'est que vous voulez être infectés

les contaminations ne peuvent pas se faire via un webmail, je me trompe ?

sauf si tu télécharges la pièce jointe chez toi je pense

ouais biensur, mais bon on est à l'abris des contaminations lors de l'ouverture du msg ...

 
Sauf si tu as un navigateur en mousse et que le message est bien forgé (avec du JS ou des ActiveX par exemple) et qu'il est affiché en HTML

Absolument, impossible de généraliser. Dire j'utilise webmail, donc je suis à l'abri, la réponse est clairement : NON

Voila les dernières nouvelles du front des failles :  
 
 
## Faille Windows Explorer sous Win2000 ## Microsoft Windows Explorer Web View Script Insertion Vulnerability Secunia Advisories 20/04/2005, Microsoft Windows Explorer 'webvw.dll' Input Validation Error Lets Remote Users Execute Arbitrary Scripting Code SecurityTracker Archives et Microsoft Windows Explorer Preview Pane Script Injection Vulnerability SecurityFocus Vulnerabilities 19/04/2005
Descriptif : La prévisualisation dans l'explorateur ne filtre pas correctement le nom de l'auteur d'un document lorsqu'il affiche ce nom. De plus, si le nom ressemble à une adresse courriel, il est converti en lien HTML 'mailto:'.
Une personne peut créer un document avec un nom d'auteur spécialement forgé contenant du code script. Lorsque la victime sélectionnera le fichier dans l'explorateur (avec l'option "Afficher le contenu web dans des dossiers" (sic) ) le script s'exécutera directement juste par la previsualisation (aucun besoin de lancer le fichier en lui-même).
 
Versions vulnérables : Microsoft Windows 2000 Professionnel, Server, Advanced Server et Datacenter Server
 
Solution : Aucune solution officielle pour l'instant. Désactivez l'affichage web "Outils" -> "Options des dossiers..." -> "Général" --> "Utiliser les dossiers classiques de Windows"
 
 
 
## Faille dans Mac Afee Internet Security Suite ## McAfee Internet Security Suite 2005 Insecure File Permissions Secunia Advisories 19/04/2005 , McAfee Internet Security Suite 2005 Insecure File Permission Bulletins FrIST 19/04/2005 et McAfee Internet Security Suite Unsafe File Permissions Let Local Users Gain Elevated Privileges SecurityTracker Archives 18/04/2005
Versions concernées : McAfee Internet Security Suite 2005
 
Description :

Solution : Patcher par le système de mise à jour automatique
 
 
 
## Vulnérabilités sous Netscape ## Netscape Two Vulnerabilities Secunia Advisories 19/04/2005
Versions concernées : Netscape 7.x
 
Description : Deux vulnérabilités ont été découvertes sous Netscape (elles font parties des 9 vulnérabilités déja patchées sous Mozilla).

• L'exploitation d'une erreur présente au niveau javascript des Plugins de Recherche peut permettre l'exécution de codes arbitraires si une recherche est lancée alors que par exemple la page actuelle est "about : plugins" ou "about : config". Il faut pour cela que l'utilisateur ait installé un plugin malicieux.
• Des erreurs de validation lors du traitement de certains types de paramètres non valides  lors d'"InstallTrigger" et d'"XPInstall" via JavaScript peuvent être exploitée pour exécuter des codes arbitraires.

Solution : Aucune pour le moment. Désactivez le Javascript et n'installez pas de plugin de recherche à la légère.
 
 
 
## Problème critique dans les players Real ## Realplayer/RealOne RAM File Processing Buffer Overflow Vulnerability Secunia Advisories 20/04/2005 , RealPlayer/RealOne Player "RAM" file buffer overflow Vulnerability Bulletins FrIST 20/04/2005 , RealPlayer Enterprise Buffer Overflow in 'pnen3260.dll' Lets Remote Users Execute Arbitrary Code SecurityTracker Archives 20/04/2005 et RealNetworks RealPlayer/RealOne Player/Helix Player Remote Heap Overflow BugTraq SecurityFocus 20/04/2005  
Versions concernées : (les version Mac et Linux le sont aussi)

• Real Player 10.5 10 et 8
• RealOne Player v1 et v2
• Real Player Enterprise 1.x

Description :

Solution : Mettre à jour par le système automatique des logiciels ou aller voir sur la page http://service.real.com/help/faq/s [...] player/FR/ . Pour RealPlayer Enterprise la dll modifiée se trouve ici http://service.real.com/help/faq/s [...] 41905.html
 
 
 
## Failles dans Mplayer ## MPlayer RTSP and MMST Streams Buffer Overflow Vulnerabilities Secunia Advisories 20/04/2005 , MPlayer MMST and Real RTSP Two Heap Overflow Vulnerabilities Bulletins FrIST 20/04/2005 , MPlayer MMST and RTSP Buffer Overflows Let Remote Users Execute Arbitrary Code SecurityTracker Archives 20/04/2005 et multiple heap overflows in MMS and Real RTSP streaming clients BugTraq SecurityFocus 21/04/2005  
Versions concernées : toutes 0.x et 1.x inférieures à 1.0pre6
 
Description :

Solution : passer à MPlayer 1.0pre7 http://www.mplayerhq.hu/homepage/design7/dload.html ou récupérer les patchs http://www.mplayerhq.hu/MPlayer/pa [...] 50415.diff et http://www.mplayerhq.hu/MPlayer/pa [...] 50415.diff

et Top10 Trend et US-CERT mis à jour. Dernier bulletin US-CERT http://www.us-cert.gov/cas/bulletins/SB05-110.html

pour Real, si on a juste les dll real on a aussi le risque?

ça je sais pas si real aternative est touché ou pas
 
mais y a de fortes chances à mon avis
 
edit : faut surveiller http://www.free-codecs.com/downloa [...] native.htm

ah oui j'avais pas pensé à vérifier si yavait une nouvelle raison

 
Non biensur mais ça limite les risques ...

## Régressions dûes au patch MS05-019 et/ou SP1 Windows 2003 Serveur ## Effets indésirables du correctif MS05-019 sur les connexions WAN/LAN Bulletin FrSIRT 24/04/2005
Descriptif :

Versions vulnérables :  

• Windows Server 2003 SP1 si utilisé avec : Windows Server 2003 Datacenter Edition, Enterprise Edition, Standard Edition et Web Edition  
• XP Pro SP2 si utilisé avec : XP Pro SP1 et XP Pro  
• Win2000 Server SP4 si utilisé avec : Win2000 Server SP3, SP2, SP1 et Wind2000 Server

Solution :  Le correctif n'est pas disponible en téléchargement, il faut contacter le support Microsoft.

Voila quelques failles des logiciels connus :
 
 
## Faille dans divers produits Symantec Antivirus ## Symantec AntiVirus Products RAR Archive Virus Detection Bypass Secunia advisories 28/04/2005 et Symantec AntiVirus Products RAR Archive Bypass Vulnerability Bulletin FrSIRT 28/04/2005
Logiciels concernés :  

• Norton AntiVirus 2005, Internet Security 2005 et System Works 2005
• Symantec Web Security 3.0.1.72
• Symantec Mail Security for SMTP 4.0.5.66 et for Exchange 4.5.4.743  
• Symantec AntiVirus Scan Engine 4.3.7.27
• Symantec SAV/Filter for Domino NT 3.1.1.87

Description :

Solution : correctifs dispo par LiveUpdate
 
 
 
## Vulnérabilité sous dBpowerAMP ## dBpowerAMP Music Converter Privilege Escalation Vulnerability Secunia advisories 26/04/2005 et dBpowerAMP Auxiliary - Abnormal execution BugTraq SecurityFocus 26/04/2005
Versions concernées : dBpowerAMP Music converter 10.x et 11.x
 
Description : La vulnérabilité est due à une combination d'un défaut de surveillance des droits d'un répertoire et de "auxiliary.exe" qui invoque l'utilitaire "sndvol32.exe" de manière non-sécurisée lors de la configuration de source en entrée pour enregistrer un son. Cela peut être exploité pour exécuter un code arbitraire avec les privilèges d'un autre utilisateur en plaçant un fichier "sndvol32.exe" malicieux dans le répertoire d'installation de dBpowerAMP (cela nécessite que le logiciel ait été installé hors de l'emplacement par défaut qui est Program Files).
 
Solution : ne pas installer hors du répertoire par défaut et ne pas copier "sndvol32.exe" dans le répertoire de dBpowerAMP
 
 
 
## Risque dans Bitdefender ## BitDefender Insecure Program Execution Vulnerability Secunia advisories 26/04/2005 et BitDefender 8 - Race condition vulnerability BugTraq SecurityFocus 23/04/2005
Versions concernées : BitDefender Antivirus 8.x (Pro Plus et Standard)
 
Description : Durant l'installation de Bitdefender, le processus crée des entrées dans les clés "Run" de la base de registre pour permettre l'exécution de certain programmes lorsqu'un utilisateur se connecte. Mais ces entrées sont créées de manière non-sécurisée et peuvent être utilisées pour empêcher la protection anti-virale de se lancer ou pour exécuter un quelconque programme avec les droits d'un autre utilisateur déja loggué en plaçant un fichier au nom spécialement forgé dans le path de l'application.
 
Solution : il est recommandé de quoter la ligne de commande des entrées créées dans la base de registre
 
 
 
## Faille dans Acrobat Reader 6.0 ## Acrobat Reader Invalid-ID-Handle-Error Buffer Overflow May Let Remote Users Execute Arbitrary Code SecurityTracker Archives 21/04/2005
Versions concernées : 6.0 et inférieur
 
Description : Un utilisateur distant peut créer un pdf spécialement forgé qui, lorsqu'il est chargé par Acrobat Reader, entraûnera une erreur "Invalid-ID-Handle-Error" dans le processus 'AcroRd32.exe', lui permettant ainsi de pouvoir écrire des données à certains endroits de la mémoire et potentiellement de les exécuter.  
 
Solution : aucune pour le moment
 
 
 
## Vulnérabilités sous netscape ## Netscape GIF Image Netscape Extension 2 Buffer Overflow et Netscape DOM Nodes Validation Vulnerability Secunia Advisories 26 et 29/04/2005 et Netscape "GIF" Image Netscape Extension 2 Buffer Overflow Issue et Netscape DOM Nodes Validation Code Execution Vulnerability Bulletins FrIST 27 et 29/04/2005
Versions concernées : 6.x et 7.x inférieures à 7.2
 
Description : deux failles patchées sous Mozilla et Firefox (1.0.2 et 1.0.3) ont été vérifiées sous Netscape

Solution : aucune pour le moment
 
 
et voila le dernier bulletin US-CERT http://www.us-cert.gov/cas/bulletins/SB05-117.html , j'ai mis à jour aussi les Top10 US-CERT et Trend

c'est moi où ya souvent des failles chez symantec

depuis un certain temps c'est chez la plupart des éditeurs d'antivirus ce genre de failles permettant de contourner les scans au niveau des archives. mais là c'est pas trop risqué car c'est revérifié plus tard par l'autoprotect