MISE A JOUR du 8 Février 2008ATTENTION, UNE NOUVELLE FAILLE a été découverte dans le client (vncviewer)...Cette faille est du même type que la faille corrigée précédemment (débordement de buffer) mais située dans une autre partie du code et à priori moins facile à exploiter.
Nous avons passé en revue la majeure partie du code source du vncviewer mais nous continuons nos efforts afin d'erradiquer d'autres vulnérabilités s'il en reste.
Pour l'instant, seul la mise à jour en anglais est disponible ici: https://uvnc.com/downloadLa mise à jour est disponible en français sur
www.ultravnc.fr, et en anglais sur
https://uvnc.com.
Nous attendons des retours sur ce nouveau vncviewer.exe (en particulier au niveau du Transfert de Fichier) car la correction de la vulnerabilité a necessité plusieurs modifications dans le code...
Le client en version 1.0.2 et la dernière version 1.0.4 RC sont tous les deux concernées
- Cette vulnérabilité ne concerne
que le client
vncviewerElle pourrait permettre de prendre le controle illicite d'une machine exécutant le vncviewer en mode ECOUTE (ie: en attente d'une connexion inverse d'un serveur UltraVNC)
Elle pourrait permettre de prendre le controle illicite d'une machine exécutant un vncviewer qui tente de se connecter à une machine malveillante (en pensant que c'est un serveur UltraVNC normal)
Le
serveur n'est
PAS sensible à cette vulnérabilité
- Cette vulnérabilité
pourrait être exploitée quand un plugin DSM est utilisé
uniquement dans le cas où celui qui s'en sert disposerait du Fichier Clé de cryptage utilisé par le client en mode écoute.
Rapport Secunia disponible ici:
http://secunia.com/advisories/28804/Alerte d'origine (Mise à jour de Securité 1 du Viewer)ATTENTION, UNE FAILLE a été découverte dans le client (vncviewer)...Le client en version 1.0.2 et la dernière version 1.0.4 RC sont tous les deux concernées
- Cette vulnérabilité ne concerne
que le client
vncviewerElle pourrait permettre de prendre le controle illicite d'une machine exécutant le vncviewer en mode ECOUTE (ie: en attente d'une connexion inverse d'un serveur UltraVNC)
Elle pourrait permettre de prendre le controle illicite d'une machine exécutant un vncviewer qui tente de se connecter à une machine malveillante (en pensant que c'est un serveur UltraVNC normal)
Le
serveur n'est
PAS sensible à cette vulnérabilité
- Cette vulnérabilité
pourrait être exploitée quand un plugin DSM est utilisé
uniquement dans le cas où celui qui s'en sert disposerait du Fichier Clé de cryptage utilisé par le client en mode écoute.
Rapport Secunia disponible ici:
http://secunia.com/advisories/28747/=> Il est recommandé:- De mettre à jour votre vncviewer.exe (client), pour
TOUTES les versions.
- Ou d'éviter d'utiliser le client VNC en mode
écoute- Et de toujours se connecter à un serveur UltraVNC de confiance
- Et de toujours utiliser un plugin DSM
Téléchargement d'une version corrigée accessible via la page d'accueil du site:
https://ultravnc.frRudi De Vos, UltraSam & Sparad0x
P.S: dès que le fichier de langue est mis à jour, je le met en ligne afin de pouvoir accéder aux nouvelles options introduites par cette version.