Ça commence à faire beaucoup. Après Kaspersky il y a quelques jours, c’est aujourd’hui Symantec et BitDefender qui sont impactés par des failles jugées critiques. Les antivirus sont aujourd’hui le terrain préféré des chasseurs de vulnérabilités. Et la chasse est plutôt bonne!
La première faille critique touche Symantec AntiVirus Scan Engine, elle a été découverte par IDefense. Selon le site de veille FrSirt, elle pourrait être exploitée par des attaquants distants afin de compromettre un système vulnérable ou causer un déni de service. Le problème résulte d’une erreur de type heap overflow dans l’interface d’administration qui ne gère pas correctement certaines requêtes HTTP malformées (port 8004/tcp), ce qui pourrait être exploité par des attaquants afin d’altérer le fonctionnement d’un système vulnérable ou afin d’exécuter des commandes arbitraires avec les privilèges SYSTEM. Les versions 4.0 et 4.3 du logiciel sont impactées. Symantec a mis en ligne une mise à jour salvatrice (4.3.12). La seconde faille critique touche plusieurs antivirus BitDefender, elle a été découverte par fRoGGz. Elle pourrait être exploitée par des attaquants distants ou des vers/virus afin de compromettre un système vulnérable. Selon FrSirt, le problème résulte d’une erreur de type format string présente dans la fonction chargée de la création des rapports d’analyses qui ne gère pas correctement des fichiers et/ou des répertoires ayant un nom spécialement conçu, ce qui pourrait être exploité par des attaquants afin d’exécuter des commandes arbitraires via un fichier malicieux. BitDefender Internet Security 9, BitDefender Professional Plus 9, BitDefender Standard 9, BitDefender Antivirus Professional Plus 8.x, BitDefender Antivirus Standard 8.x, BitDefender Professional Edition 7.x et BitDefender Standard Edition 7.x sont impactés. Les patchs sont disponibles via l’option de mise à jour des logiciels.
Une mise à jour de l'EDR Crowdstrike Falcon a planté une multitude de serveurs et…
Un modèle GPT-4o mini rejoint le catalogue d'OpenAI. De la conception à l'évaluation, il a…
La Cour des comptes appelle à formaliser et à professionnaliser certains aspects du RIE, tout…
La Cour des comptes attire l'attention sur le risque d'affaiblissement d'Etalab, privé, ces dernières années,…
Missions historiques de la Dinum, l'ouverture des données publiques et la promotion des logiciels libres…
Pour développer une version 7B de son modèle Codestral, Mistral AI n'a pas utilisé de…