Rechercher
Contactez-nous Suivez-nous sur Twitter En francais English Language
 
Les événements

30 avril Toulouse : Thales Roadshow 2024 : « Unlock your Cyber ! »

    











Abonnez-vous gratuitement à notre NEWSLETTER

Newsletter FR

Newsletter EN

Vulnérabilités

Se désabonner

Vulnérabilités

CERT-XMCO : Avis d’expert, semaine du 12 au 18 Avril 2010

avril 2010 par CERT-XMCO

 Date : 19 Avril 2010

 Gravité : Elevée

 Description :

Chaque semaine, les consultants du service de veille analysent les faits marquants de la semaine :

Oracle a publié la mise à jour trimestrielle "cpuapr2010" et la version 6u20 de Java SE à la suite de la découverte d’une vulnérabilité majeure au sein de Java Web Start. En effet, une faille de sécurité critique de JAVA est actuellement exploitée sur Internet. L’exploitation de la faille nécessite la visite par une victime d’une page web malicieuse. Oracle a réagi en publiant l’Update 20 (JRE/JDK) de Java SE 6 et en bloquant l’ActiveX "Java Deployment Toolkit" vulnérable au sein d’Internet Explorer.
La faille reste toujours exploitable sur les navigateurs alternatifs si les plug-ins Java ne sont pas désactivés.

Dans le cadre de son "Patch Tuesday", Microsoft a publié 11 correctifs résolvant 25 failles de sécurité.

De son côté, Apple a publié un correctif pour la faille de sécurité critique liée à l’utilisation de police de caractère spécialement conçue. Cette faille avait été utilisée par Charlie Miller pour remporter un prix lors du concours Pwn2Own qui a eu lieu au début du mois de mars.

Des pirates se sont attaqués à de nombreux blogs utilisant le moteur WordPress. Les analyses qui ont été faites de cette attaque ont montré que l’exploitation avait été rendue possible grâce à deux failles : l’accès en lecture pour tout le monde au fichier "wp-config.php" dans un contexte d’hébergement mutualisé, ainsi que la présence du mot de passe en clair donnant accès à la base de données.

Enfin, la faille PDF relative à la commande "/Launch", corrigée la semaine dernière par Adobe, dans son lecteur est activement exploitée afin d’augmenter le nombre de machines zombies du botnet ZeuS.

 Référence :

http://www.oracle.com/technology/deploy/security/critical-patch-updates/cpuapr2010.html

http://java.sun.com/javase/6/webnotes/6u20.html

http://archives.neohapsis.com/archives/fulldisclosure/2010-04/0122.html

http://www.microsoft.com/technet/security/bulletin/ms10-apr.mspx

http://www.microsoft.com/technet/security/Bulletin/MS10-020.mspx

http://www.microsoft.com/technet/security/Bulletin/MS10-019.mspx

http://www.microsoft.com/technet/security/Bulletin/MS10-027.mspx

http://www.microsoft.com/technet/security/bulletin/MS10-022.mspx

http://support.apple.com/kb/HT4131

http://www.h-online.com/security/news/item/Pwn2Own-2010-iPhone-hacked-as-well-as-IE-8-Firefox-and-Safari-963463.html

http://www.monblog.ch/commedansdubeurre/?story=186-attaque-wordpress-suite-et-fin

http://blogs.adobe.com/adobereader/2010/04/didier_stevens_launch_function.html

http://www.adobe.com/support/security/bulletins/apsb10-09.html

 Lien extranet XMCO Partners :

http://xmcopartners.com/veille/client/index.xmco?nv=CXA-2010-0471


Voir les articles précédents

    

Voir les articles suivants

Les événements

23 avril Paris 9h à 13h : Conférence Appian, Cap Gemini sur le thème Financial Services et Assurances

    

Voir tous les évènements











Ecole de cybersecurite a Lyon et Paris
Ecole de cybersecurite a Lyon et Paris


Vulnérabilités

All our news in english

Alle unsere News auf deutsch

 
Actu Dossiers Cyber Securité RGPD Vulnérabilités Malwares Agenda CARTOGRAPHIE DES DC NEUTRES Carrière GS Days Guide THEMA Agences Presse CONTACTS Contact A propos Mentions légales identifier ADMIN

Global Security Mag Copyright 2011