Alertes Certa 2011, semaine 1
Vulnérabilités de la semaine : PHP et virgule flottante, rendu graphique des miniatures de Windows. Le Certa pointe sur les principaux risques numériques.
1. Vulnérabilités de la semaine
PHP et virgule flottante
Cette semaine, une vulnérabilité importante dans PHP a été corrigée. En effet, sous certaines conditions, le traitement d'une unique valeur en virgule flottante provoquait une boucle infinie entraînant un déni de service. Voir également les notes de mise à jour PHP.
Rendu graphique des miniatures dans Windows
Cette semaine le Certa a publié sa première alerte de l'année, CERTA-2011-ALE-001, à propos d'une vulnérabilité lors du rendu graphique des miniatures dans Windows. Elle concerne les systèmes Windows XP SP2/SP3, Windows Server 2003 SP2, Windows Vista SP1/SP2 et Windows Server 2008 SP2. Voir également sur le blog Technet.
2. Contournement des sandbox de sécurité dans Flash Player
Flash Player assigne les fichiers SWF (ShockWave Flash) à des sandbox de sécurité différentes, selon leur origine. Les fichiers consultés depuis internet sont ainsi assignés à des sandbox séparées correspondantes à leurs sites web d'origine. Ces fichiers ne sont pas autorisés à charger des ressources ou fichiers locaux. Voir explication sur le site d’Adobe.
3. Avis émis du 31 décembre 2010 au 5 janvier 2011
CERTA-2010-AVI-638 : multiples vulnérabilités dans WordPress
CERTA-2010-AVI-639 : vulnérabilité dans VLC Media Player
CERTA-2011-AVI-001 : vulnérabilité dans Wireshark
CERTA-2011-AVI-002 : vulnérabilité dans HP Photo Creative