Attention : Failles de sécurité dans Excel, Quick Time, iPhone, iPod Touche, VLC, AOL Radio, Windows et Real Player

Bonjour, désolé pour cette absence. Mes journées sont super chargées ces derniers jours, ce qui m'épuise et m'empêche de bloguer le soir en rentrant chez moi.

Un petit billet avec des liens vers les dernières alertes de sécurité publiées par Secuser, depuis le début de ce mois. Si vous utilisez un ou plusieurs des produits ci-dessous, mettez les à jour pour le bien numérique de votre système ;-)

Pour plus de détails, cliquez sur les liens qui vous concernent :

• Vulnérabilité critique non corrigée dans Excel 2003 SP 2, Excel Viewer 2003, Excel 2002, Excel 2000 et Excel 2004 pour Mac (Versions non concernées : Excel 2007, Excel 2003 SP 3, Excel 2008 pour Mac) ;
• Vulnérabilités critiques dans QuickTime 7.3.1 et versions inférieures pour Windows et MacOS X ;
• Vulnérabilités critiques dans iPhone et iPod touch 1.1.2 et version inférieurs ;
  
• Vulnérabilité critique non corrigée dans VideoLAN VLC media player 0.8.6d et versions inférieures ;
• Vulnérabilité critique dans AOL Radio AmpX 2.6.2.5 et versions inférieures pour Internet Explorer ;
• Vulnérabilités multiples dans Windows 2000, XP, 2003 et Vista ;
• Vulnérabilité critique non corrigée dans RealPlayer 11.
  

A +

Vulnérabilité critique dans Flash Player, HP Quick Launch Buttons et le navigateur Opera !

• Vous utilisez surement le plug-in flash d'Adobe sur votre navigateur pour visualiser les vidéos et animations flash ? alors si c'est le cas, assurez vous d'installer la dernière version (9.0.115.0 ou supérieure) via le site de l'éditeur, afin d'éviter toute exploitation des dernières failles critiques découvertes, dont les plus sévères peuvent permettre à un individu malveillant, de prendre le contrôle à distance de l'ordinateur de sa victime ou à un virus de s'exécuter automatiquement à l'ouverture d'une animation Flash (.SWF) ou d'une page web piégée. > Plus de détails.

• La deuxième alerte de sécurité concerne les propriétaires des portables Compaq ou HP, dont l'application HP Quick Launch Buttons est installée dessus. La faille critique se trouve dans le contrôle ActiveX (HPInfoDLL.dll). Si vous êtes concerné, téléchargez ce correctif temporaire qui désactive le module vulnérable, HP Info Center. > Plus de détails.

• Edit 20/12/2007 : Plusieurs nouveaux défauts de sécurité ont été identifiés dans le navigateur Opera 9.24 et versions inférieures. Leur exploitation autorise l'exécution de code malicieux à distance et l'interception de données sensibles via une page web piégée. > Plus de détails.
  

> Source : Secuser.com

Vulnérabilité critique dans Skype pour Windows

Si vous utilisez Skype sous Windows, assurez vous d'avoir la version 3.6.0.216 ou supérieure. Sinon hâtez-vous de mettre à jour votre logiciel via le site de l'éditeur, pour éviter l'exploitation de la toute dernière faille de sécurité qui consiste à exécuter un code malicieux pour prendre le contrôle à distance de votre l'ordinateur ou pour lancer un virus, via une page web piégée.

• 7didane, si tu utilises Gtalk, t'es pas concerné par cette alerte ;-)

> Source : Secuser.com

Vulnérabilité critique dans Avast! Antivirus 4.7.1043 et versions inférieures

• Vous utilisez Avast! Antivirus 4.7.1043 et versions inférieures (Éditions Home ou Pro) ?
• Vous n'avez pas activé la mise à jour automatique du programme ?

Télécharger et installez la nouvelle version du logiciel (4.7.1098 ou supérieure) en utilisant la fonction de mise à jour du programme (clic droit sur l'icône Avast! dans la zone de notification dans barre des tâches > Mise à jour > Mise à jour du programme).

Pourquoi ? Pour éviter toute exploitation d'une nouvelle vulnérabilité critique récemment découverte dans les antivirus de l'éditeur Alwil Software, qui pourrait permettre à un individu malveillant de prendre le contrôle à distance de l'ordinateur de sa victime ou à un virus de s'exécuter lors de l'analyse d'un fichier piégé au format TAR.

Source : Secuser.com

2 mises à jour pour FireFox en une semaine !

Si vous utilisez FireFox, vous aurez surement remarqué que la version de votre navigateur favoris, est passée de 2.0.0.9 à 2.0.0.10 et à 2.0.0.11 en une petite semaine. Cela mérite des axplications, vous trouvez pas ?

Eh bien justement, les explications je les ai trouvé sur BeFox, ou l'on apprend qu'une erreur s'est glissée dans la version 2.0.0.9, qui d'ailleurs a corrigée plusieurs défauts de sécurité sévères, cette erreur qui rendait le navigateur de mozilla incapable de reconaitre l'instruction html <canvas> qui permet la manipulation d’images et un rendu dynamique, ce qui a été vite corrigé avec la version 2.0.011.

C'est clair maintenant ? ;-)

Pour en savoir plus, lisez les deux articles de BeFox :

• Firefox 2.0.0.11 en préparation
• Firefox 2.0.0.11, mise à jour express

Mise à jour de sécurité recommandée vers QuickTime 7.3

Plusieurs nouveaux défauts de sécurité ont été identifiés dans le lecteur multimédia QuickTime d'Apple 7.2 et versions inférieures pour Windows et Mac OS. Exploités, ils permettent à un individu malveillant d'exécuter du code malicieux à distance sur l'ordinateur de sa victime à l'ouverture d'une page web, d'une image ou d'une vidéo piégée.

Si la version 7.2 de ce logiciel est installée sur votre ordinateur, vous devez la mettre à jour vers la nouvelle version 7.3 ou supérieure à partir du site d'Apple ou via "Apple Software Update" (Menu Démarrer > Tous les programmes > Apple Software Update) afin de prévenir toute exploitation malveillante de ces failles.

> Source : secuser.com

Vous utilisez Winamp 5.35 et versions inférieures ? Pour votre sécurité, Installez la dernière version

Plusieurs nouveaux défauts de sécurité ont été identifiés dans le lecteur multimédia Nullsoft Winamp 5.35 et versions inférieures. L'exploitation d'erreurs dans le codec audio FLAC (un codec de compression audio sans perte) peut permettre à un individu malveillant de prendre le contrôle à distance de l'ordinateur de sa victime ou à un virus de s'exécuter automatiquement à l'ouverture d'un fichier musical FLAC piégé.

Installez donc la dernière version pour éviter toute exploitation de ces failles et par la même occasion, essayer la nouvelle version (la 5.5) parue à l'occasion du dixième anniversaire du célèbre lecteur multimédia.

> Source de l'alerte de sécurité : Secuser.com

Phishing ciblant les utilisateurs de cartes Visa et Mastercard

Une nouvelle escroquerie par phishing est en cours, ciblant les utilisateurs francophones des cartes bancaires Visa et Mastercard. Elle se présente sous la forme d'un courrier électronique en français intitulé "Mettre à jour votre carte de crédit", incitant le destinataire à se connecter à un faux site (toujours actif actuellement) pour saisir ses informations bancaires.

> Source : Secuser.com

Vulnérabilités multiples dans Opera, Photoshop, Flash Player, la machine virtuelle Java, les produits Symantec et QuickTime !

Que des mauvaises nouvelles !
Asseyez-vous confortablement et commençons par Opera :

Trois nouveaux défauts de sécurité ont été identifiés dans le navigateur Opera (Versions 9.21 et inférieures). L'exploitation de la faille la plus sévère peut permettre à un individu malveillant d’exécuter un code malicieux (Virus, contrôle à distance …) si l'utilisateur tente de supprimer, depuis le gestionnaire de téléchargement, un fichier torrent piégé, via le menu contextuel.

Dans son communiqué [ang], Opera software, précise que le clic suivi de l’annulation du téléchargement d’un fichier torrent piégé, ne présente aucun risque.

Afin d’éviter toute exploitation malveillante de ces vulnérabilités, il est impératif de télécharger et installer la version 9.22 ou supérieure.

Les autres alertes de sécurité :

• Vulnérabilités critiques dans Flash Player
  
• Vulnérabilités critiques dans Photoshop CS2 & CS3
  
• Vulnérabilités critiques dans la machine virtuelle Java de Sun
• Vulnérabilités critiques dans les produits Symantec
• Vulnérabilités critiques dans QuickTime 7.1.16
  

> Source : Secuser.com

Phishing ciblant les utilisateurs francophones du service Paypal

Une nouvelle escroquerie par phishing est actuellement en cours, ciblant les clients francophones du service de paiement en ligne Paypal. Elle se présente sous la forme d'un courrier électronique en français intitulé "Notification de restriction de l'acces au compte", incitant à se connecter à un faux site imitant celui du service en ligne (toujours actif actuellement).

> Lisez le communiqué de sécurité de Secuser.com pour plus de détails

Vulnérabilité critique non corrigée dans Firefox 2.x

-------------- Edit 19.07.2007 --------------

La version 2.0.0.5 d'hier corrige les failles en question.

Les version 1.5.x de FireFox et de Thunderbird ne sont plus supportées. Les utilisateurs de ces versions vont devoir passer aux versions 2.x ou supérieures.

------------------------------------------------

Un nouveau défaut de sécurité non corrigé a été découvert dans le navigateur Firefox (Versions 2.0.0.4 et inférieures, 1.5.0.12 et inférieures). Son exploitation autorise l'exécution de code malicieux à distance notamment lors de la visite d'une page piégée avec le navigateur Internet Explorer. (Lisez le communiqué de sécurité de Secuser.com pour plus de détails)

En attendant la publication d'un correctif, je ne peux que vous conseiller d'utiliser le navigateur gratuit Opera, afin d'éviter le risque maximal de l'exploitation malveillante de cette faille.

Alerte au virus Warezov.PK

Warezov.PK est un virus qui se propage par courrier électronique et n'infecte que les systèmes Windows. Il se présente sous la forme d'un message contenant en apparence des données sensibles (résultats d'analyse médicale, factures) et laissant croire au destinataire qu'il lui a été envoyé par erreur afin d'exciter sa curiosité.

> Plus de détails sur Secuser.com

Vulnérabilités dans Windows, Internet Explorer, Outlook Express, Windows Mail et Visio

Quinze défauts de sécurité ont été identifiés dans les logiciels Microsoft Windows, Internet Explorer, Visio, Outlook Express et Windows Mail.

L'exploitation des failles les plus sévères permet à un individu malveillant de prendre le contrôle à distance de l'ordinateur de sa victime ou à un virus de s'exécuter via une page web, un courriel ou un document piégé.

Les utilisitaurs concernés, leurs est fortement recommandé de mettre à jour votre système via WindowsUpdate.

@ Lamia > + 5 fois ;-)

> Source Secuser.com

Vulnérabilités critiques dans Yahoo! Messenger

Deux défauts de sécurité ont été identifiés dans le logiciel de messagerie instantanée Yahoo! Messenger (versions antérieures au 08/06/07). Leur exploitation peut permettre à un individu malveillant de prendre le contrôle à distance de l'ordinateur de sa victime ou à un virus de s'exécuter à l'ouverture d'une page web piégée.

Il est recommandé de télécharger et installer la dernière version de Yahoo Messenger [Fr], afin de limiter toute exploitation malveillante des ces failles.

> Plus de détails sur secuser.com

Des tas de failles de sécurité, mettez vos logiciels à jour !

• 31/05/07 - Vulnérabilités multiples dans Firefox, Thunderbird et Seamonkey
• 30/05/07 - Vulnérabilités critiques dans QuickTime
• 29/05/07 - Vulnérabilités multiples dans Antivir
• 25/05/07 - Vulnérabilités multiples dans Mac OS X
• 23/05/07 - Vulnérabilités dans l'antivirus NOD32

Source : Secuser.com

Vulnérabilité critique dans Opera

Un nouveau défaut de sécurité a été identifié dans le navigateur Opera 9.20 et versions inférieures. Son exploitation peut permettre à un individu malveillant de prendre le contrôle à distance de l'ordinateur de sa victime ou à un programme malicieux de s'exécuter via un fichier torrent piégé.

> Plus de détails sur Secuser.com

Vulnérabilités critiques dans Internet Explorer, Word, Excel et Office

Douze défauts de sécurité ont été identifiés dans :

• Internet Explorer 5.01, 6.0 et 7.0 > Plus de détails
  
• Word, Excel et Office : Word 2003, Word 2003 Viewer, Word 2002, Word 2000, Excel 2007, Excel 2003, Excel 2003 Viewer, Excel 2002, Excel 2000, FrontPage 2003, FrontPage 2002, FrontPage 2000, Publisher 2007, Publisher 2003, Publisher 2002, Publisher 2000, Office 2007, Office 2003, Office XP, Office 2000, SharePoint Designer 2007, Expression Web, Works Suite 2004, Works Suite 2005, Works Suite 2006 et Office 2004 pour Mac > Plus de détails
  

L'exploitation des failles les plus sévères permet à un individu malveillant de prendre le contrôle à distance de l'ordinateur de sa victime ou à un virus de s'exécuter via une page web ou un document piégé.

Les utilisateurs concernés doivent immédiatement appliquer les correctifs correspondant à la version de leur logiciel via les services :

• WindowsUpdate
• OfficeUpdate (Windows)
• Mactopia (Mac) [Daria, fais gaffe, au cas ou t'as Office pour Mac ;-)]

> Source : Secuser.com

Vulnérabilité critique dans QuickTime

Un défaut de sécurité a été identifié dans le lecteur multimédia QuickTime. Son exploitation peut permettre à un individu malveillant d'exécuter du code malicieux sur l'ordinateur de sa victime via une page web piégée.

> Plus de détails sur Secuser.com

Vulnérabilité critique non corrigée dans Winamp

Un nouveau défaut de sécurité a été identifié dans le lecteur multimédia Winamp. Son exploitation peut permettre à un individu malveillant de prendre le contrôle à distance de l'ordinateur de sa victime ou à un virus de s'exécuter automatiquement à l'ouverture d'un fichier MP4 piégé.

> Plus de détails sur Secuser.com

Alerte au virus Sober.AA

Sober.AA est un virus qui infecte Windows, se présente sous la forme d'un courrier électronique accompagné d'un fichier joint dont l'extension est .ZIP, en tentant de se faire passer pour un message d'erreur en réponse à un courrier électronique prétendument envoyé par le destinataire.

> Plus de détails sur Secuser.com