Conditions d'utilisation de ce document :	http://www.certa.ssi.gouv.fr/certa/apropos.html
Dernière version de ce document :	http://www.certa.ssi.gouv.fr/site/CERTA-2006-ACT-038

Gestion du document

Une gestion de version détaillée se trouve à la fin de ce document.

Le bulletin d'actualité est disponible dans son intégralité et au format PDF à l'adresse suivante :

http://www.certa.ssi.gouv.fr/site/CERTA-2006-ACT-038.pdf

Un extrait du bulletin, ne reprenant que les articles de la semaine, se trouve en HTML à l'adresse suivante :

http://www.certa.ssi.gouv.fr/site/CERTA-2006-ACT-038/

1 Activité en cours

Le CERTA a traité trois cas de défiguration cette semaine. Pour l'un de ces incidents, il s'agit de l'exploitation d'une faille de la version 2.0.10 de phpBB. Les deux autres incidents font l'objet d'investigations complémentaires afin de déterminer quelles ont été les vulnérabilités exploitées.

1.1.2 Propagation d'un ver

Un de nos correspondants nous a informés de l'infection de cinq machines sous Windows par un code malveillant de la famille Gaobot/Sdbot/Rbot. Le scénario de propagation a été le suivant : un poste nomade a été reconnecté sur un sous-réseau interne (après plusieurs semaines en dehors de ce réseau) alors qu'il avait déjà été infecté. Le code malveillant s'est ensuite propagé par les partages réseau.

Cet incident illustre bien la problématique posée par les postes nomades : il s'agit souvent de machines amenées à être exposées en étant directement connectées à l'Internet (sans aucune protection), qui sont par la suite introduites dans des sous-réseaux. Le code malveillant peut donc ainsi profiter des faiblesses liées au fonctionnement du sous-réseau : partages réseau, exploitation de vulnérabilités car les machines que l'on pense protégées ne sont pas mises à jour, etc.

2 Nouvelle vulnérabilité sous Windows - vgx.dll

Le CERTA a mis à jour l'alerte CERTA-2006-ALE-011 pour intégrer une vulnérabilité affectant la bibliothèque vgx.dll. Cette bibliothèque est utilisée pour prendre en compte le format VML (Vector Markup Language). Ce format, basé sur le langage XML, est utilisé pour éditer certaines images.

Deux vecteurs d'attaque pour cette vulnérabilité : l'un consiste à utiliser des pages HTML spécifiquement conçues pour exploiter la faille par l'intermédiaire d'Internet Explorer, l'autre repose sur des messages électroniques qui seraient lus à l'aide des clients de la famille d'Outlook avec prise en compte du langage HTML.

Microsoft, qui a admis l'existence de cette vulnérabilité, propose, dans l'attente d'un correctif, un contournement provisoire. Il s'agit de modifier le registre afin de ne plus prendre en compte la bibliothèque vgx.dll. Cela peut se faire à l'aide de la commande :

regsvr32.exe "%CommonProgramFiles%\Microsoft Shared\VGX\vgx.dll" -u

Il est possible que cette action entrave le bon fonctionnement de certaines applications.

Documentation :

Alerte CERTA-2006-ALE-011 :

http://www.certa.ssi.gouv.fr/site/CERTA-2006-ALE-011

Bulletin de sécurité 925568 de Microsoft du 21 septembre 2006 :
```
http://www.microsoft.com/technet/security/advisory/925568.mspx
```
Bulletin de sécurité VU#416092 de l'US-CERT du 21 septembre 2006 :
```
http://www.kb.cert.org/vuls/id/416092
```

3 Rappel des avis et mises à jour émis

Durant la période du 15 au 21 septembre 2006, le CERTA a émis les avis suivants :

CERTA-2006-AVI-399 : Vulnérabilités dans Claroline
CERTA-2006-AVI-400 : Vulnérabilité dans Adobe ColdFusion
CERTA-2006-AVI-401 : Vulnérabilité dans Dokeos
CERTA-2006-AVI-402 : Vulnérabilités dans Drupal
CERTA-2006-AVI-403 : Vulnérabilité CISCO IOS
CERTA-2006-AVI-404 : Vulnérabilité CISCO
CERTA-2006-AVI-405 : Vulnérabilités dans CISCO IDS et CISCO IPS

Pendant cette même période, l'alerte suivante a été mise à jour :

CERTA-2006-ALE-011-002 : Multiples vulnérabilités de produits Microsoft
(Rappels sur les ActiveX)
CERTA-2006-ALE-011-003 : Multiples vulnérabilités de produits Microsoft
(Ajouts références Microsoft et CVE)