Concours PC INpact

Deux failles déclarées critiques ont été découvertes par la firme de sécurité Secunia dans le logiciel Avast! Antivirus. Tan Chew Keong, chercheur qui a trouvé ces trous, relate qu'ils sont liées à la librairie "UNACEV2.DLL". Ils pourraient être exploitées localement ou à distance. Compte tenu de ce contexte, ils ont été classés du coup hautement critique.

La première faille concerne un dépassement de tampon (stack overflow) au niveau de cette librairie qui ne gère pas correctement les noms très longs.

La deuxième faille provient d'une erreur de type "directory transversal", permettant des actions malintentionnées à peu près partout sur la machine hôte. Elle résulte du fait que le logiciel ne filtre pas correctement les fichiers d'archives ACE spécialement conçus. Cette faille pourrait être exploitée par des vers ou des virus pour placer des fichiers malicieux, par exemple.

Les versions vulnérables sont :

• Avast! Home/Professional Edition Version 4.6.665 et inférieures
• Avast! Server Edition Version 4.6.460 et inférieures
• Avast! Managed Client

Fort heureusement, l'éditeur a fait le ménage. La solution consiste donc à mettre à jour Avast! Antivirus avec les versions corrigées suivantes :

• Avast! Home/Professional Edition version 4.6.691
• Avast! Server Edition version 4.6.489
• Avast! Managed Client version 4.6.394

On pourra télécharger ces versions depuis le site officiel de l'éditeur.