Vulnérabilités : OpenJPEG, Ruby et Chromium

Depuis ce début décembre, les paquets OpenJPEG, Ruby et Chromium ont reçus une mise à jour permettant de corriger des failles de sécurité.

Voici plus d'informations :

- OpenJPEG : Ce logiciel permet d'encoder et de décoder des images au format JPEG 2000, il contient une vulnérabilité pouvant mener à un déni de service grâce à une surconsommation de mémoire, voir même à l'exécution de code et de récupération d'information. Référence CVE : CVE-2013-1447, CVE-2013-6045, CVE-2013-6052, CVE-2013-6054. La version 1.3 corrige ces vulnérabilités.

- Ruby 1.8 : L'interpréteur de langage Ruby contient plusieurs vulnérabilités ayant pour référence CVE : CVE-2013-1821, CVE-2013-4073, CVE-2013-4164. L'une d'entre elle permet un déni de service sur la machine en consommant toute la mémoire de l'hôte, d'après Ben Murphy. D'autre part, William Snow Orvis a découvert que dans la vérification du nom d'hôte dans le client SSL de Ruby, il est possible qu'un attaquant effectue une attaque de type man in the middle afin d'usurper un serveur SSL à l'aide d'un certificat contrefait.

- Ruby 1.9.1 : Toujours pour Ruby mais dans une autre version, Charlie Somerville a découvert que Ruby gère de façon incorrecte la conversion du nombre de virgule flottante. Exploiter cette faille permettrait de faire planter l'application et même d'exécuter du code arbitraire en bénéficiant des privilèges de l'application.

- Chromium : Le navigateur web Chromium, contient plusieurs vulnérabilités ayant les références suivantes : CVE-2013-6634, CVE-2013-6635, CVE-2013-6636, CVE-2013-6637, CVE-2013-6638, CVE-2013-6639, CVE-2013-6640. Andrey Labunets a découvert qu'une mauvaise URL  était utilisée lors de la validation dans l'assistant de connexion en un clic. Jakob Kummerow pour sa part a découvert plusieurs problèmes dans la bibliothèque JavaScript v8 (dépassement de tampon et écriture hors limite). Enfin, Bas Venis a découvert un problème d'usurpation de la barre d'adresse.

cover-code

Sources : OpenJPEG - Ruby 1.8 - Ruby 1.9.1 - Chromium

Partagez cet article Partager sur Twitter Partager sur Facebook Partager sur Linkedin Partager sur Google+ Envoyer par mail

Florian B.

Consultant chez Délibérata le jour, blogueur pour IT-Connect la nuit, je souhaite partager mon expérience et mes découvertes au travers de mes articles. Généraliste avec une attirance particulière pour les solutions Microsoft et le scripting. Bonne lecture.

florian has 2458 posts and counting.See all posts by florian

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *

 

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.