Alertes Certa 2011, semaine 1

1. Vulnérabilités de la semaine

PHP et virgule flottante

Cette semaine, une vulnérabilité importante dans PHP a été corrigée. En effet, sous certaines conditions, le traitement d'une unique valeur en virgule flottante provoquait une boucle infinie entraînant un déni de service. Voir également les notes de mise à jour PHP.

Rendu graphique des miniatures dans Windows

Cette semaine le Certa a publié sa première alerte de l'année, CERTA-2011-ALE-001, à propos d'une vulnérabilité lors du rendu graphique des miniatures dans Windows. Elle concerne les systèmes Windows XP SP2/SP3, Windows Server 2003 SP2, Windows Vista SP1/SP2 et Windows Server 2008 SP2. Voir également sur le blog Technet.

2. Contournement des sandbox de sécurité dans Flash Player

Flash Player assigne les fichiers SWF (ShockWave Flash) à des sandbox de sécurité différentes, selon leur origine. Les fichiers consultés depuis internet sont ainsi assignés à des sandbox séparées correspondantes à leurs sites web d'origine. Ces fichiers ne sont pas autorisés à charger des ressources ou fichiers locaux. Voir explication sur le site d’Adobe.

3. Avis émis du 31 décembre 2010 au 5 janvier 2011

CERTA-2010-AVI-638 : multiples vulnérabilités dans WordPress
CERTA-2010-AVI-639 : vulnérabilité dans VLC Media Player
CERTA-2011-AVI-001 : vulnérabilité dans Wireshark
CERTA-2011-AVI-002 : vulnérabilité dans HP Photo Creative