Marianne ANSSI

CERTA

Centre d'Expertise Gouvernemental de
Réponse et de Traitement des Attaques informatiques
liseret droit
Contact

Contacter le CERTA

Contact us ( Drapeau anglais )

A propos du site

 
Recherche

Rechercher sur le site

 
Les documents du CERTA

Page d'accueil

Les alertes en cours

Les bulletins d'actualité

Les notes d'information

Année en cours

 
Les Flux RSS du CERTA

Flux RSS complet

RSS

Flux RSS des alertes

RSS

 
Informations utiles

Que faire en cas d'intrusion ?

Les mémentos du CERTA

Les systèmes obsolètes

 
CERTA-2009-ACT-028

Imprimer ce document

Version PDF

A propos du CERTA

L'ANSSI

Le CERTA

Les CERT

Le FIRST

L'EGC

Liens utiles

 
Archives du CERTA

Année 2012

Année 2011

Année 2010

Année 2009

Année 2008

Année 2007

Année 2006

Année 2005

Année 2004

Année 2003

Année 2002

Année 2001

Année 2000

 


S . G . D . S . N
Agence nationale
de la sécurité des
systèmes d'information

 République Française Paris, le 10 juillet 2009
No CERTA-2009-ACT-028

Affaire suivie par :

CERTA

Objet : Bulletin d'actualité 2009-28

Conditions d'utilisation de ce document : http://www.certa.ssi.gouv.fr/certa/apropos.html
Dernière version de ce document : http://www.certa.ssi.gouv.fr/site/CERTA-2009-ACT-028

Gestion du document

Le bulletin d'actualité est disponible dans son intégralité et au format PDF à l'adresse suivante :

http://www.certa.ssi.gouv.fr/site/CERTA-2009-ACT-028.pdf

Un extrait du bulletin, ne reprenant que les articles de la semaine, se trouve en HTML à l'adresse suivante :

http://www.certa.ssi.gouv.fr/site/CERTA-2009-ACT-028/

1 Vulnérabilité dans le composant ActiveX Microsoft Video

1.1 Les faits

Cette semaine Microsoft a publié un nouveau bulletin d'alerte faisant état d'une vulnérabilité dans le composant ActiveX MPEG2TuneRequest en charge du contrôle de flux vidéo dans Microsoft Internet Explorer pour les systèmes d'exploitation Microsoft Windows XP et Microsoft Windows Server 2003. La vulnérabilité se situe dans le fichier msvidctl.dll. Le CERTA a donc rapporté cette faille au travers de l'alerte CERTA-2009-ALE-010. Cette vulnérabilité peut être exploitée par le biais d'une page Web malveillante. La bonne exploitation de cette faille ne nécessite pas forcément la présence d'un flux vidéo sur la page visitée. Une personne malintentionnée peut alors exécuter du code arbitraire à distance et prendre le contrôle de la machine compromise.

1.2 Les recommandations

En attendant, le CERTA recommande d'appliquer le contournement provisoire de Microsoft consistant à changer la valeur du paramètre Compatibility Flags en 00000400 pour l'ensemble des CLSID du composant Microsoft Video. La liste exhaustive des CLSID est disponible dans l'alerte. Cette manipulation a été automatisée par Microsoft à l'aide d'une application téléchargeable sur son site (cf. la section Documentation) et permet ainsi de colmater temporairement la brèche en attendant un correctif définitif. Ce correctif pourrait paraître mardi prochain à l'occasion du Patch Tuesday mensuel.

Le CERTA rappelle également que la désactivation par défaut de l'exécution de code dynamique (JavaScript, Flash, ...) et des composants ActiveX est une bonne pratique pour la navigation sur l'Internet. De plus, l'utilisation d'un compte aux droits limités permet de modérer la portée de l'attaque.

La désactivation de composant ActiveX Microsoft Video peut nuire à la bonne lecture des flux vidéo sur l'Internet.

Il est également recommandé l'utilisation d'un navigateur alternatif si la lecture de flux vidéo est nécessaire ou que le composant ne peut pas être désactivé.

Documentation

2 Rumeurs concernant une vulnérabilité d'OpenSSH

Ces derniers jours, une rumeur concernant une vulnérabilité non corrigée (0-day) d'OpenSSH s'est répandue. Cette prétendue faille de sécurité permettrait de prendre le contrôle à distance du serveur. Elle aurait été exploitée au moins deux fois, les compromissions en découlant ayant été médiatisées sur l'Internet.

Le SANS a relayé cette information, et établi deux hypothèses :

  • il s'agirait d'une vulnérabilité qui n'affecterait pas la dernière version d'OpenSSH ;
  • la rumeur serait née suite au « maquillage » de deux compromissions pour faire croire à une vulnérabilité d'OpenSSH, les failles réellement exploitées reposant sur d'autres problèmes de sécurité.

Quelle que soit la vérité concernant cette affaire, il convient, pour les administrateurs, de ne pas paniquer, de s'assurer que les correctifs de sécurité ont bien tous été appliqués et de lire attentivement les journaux relatifs à cette application.

Documentation

3 Firefox 3.5

Le navigateur Firefox de la fondation Mozilla est sorti en version 3.5 le 30 juin 2009. Cette nouvelle mouture n'inclut pas à proprement parler de correctif de sécurité. En effet, sa sortie n'a pas été accompagnée d'un bulletin de sécurité. Cependant, cette nouvelle version inclut de nouvelles fonctionnalités ou des modifications notables pouvant avoir une influence sur le niveau de sécurité du logiciel :

  • le premier changement concerne l'utilisation d'un nouveau moteur de rendu des JavaScript nommé TraceMonkey (http://wiki.mozilla.org/JavaScript:TraceMonkey). Le CERTA a déjà évoqué les problèmes liés à cette technologie et aux risques qu'elle engendre. La prudence sera donc de mise en la matière car, comme tout nouveau produit, il peut manquer de maturité ;
  • le second changement est, quant à lui, assez intéressant. Il conceptualise la navigation privée qui consiste en la possibilité pour l'utilisateur d'activer un mode de fonctionnement du navigateur dans lequel aucune trace n'est stockée sur le système tant que l'on ne sort pas de celui-ci. On entend ici par traces : l'historique de navigation, la saisie dans la barre de liens, les fichiers de mise en cache, les cookies, etc.

    Après une première vérification rapide, il semblerait bien qu'une fois dans ce mode, le navigateur ne stocke plus rien dans les fichiers SQLite où, normalement, il place toutes ces informations. Évidemment, ce comportement particulier n'est pas sans incidence sur la facilité d'utilisation mais apporte une amélioration notable dans le niveau de confidentialité offert.

Enfin la granularité de configuration dans la gestion des informations privées stockées par le navigateur a, elle aussi, été augmentée permettant des réglages plus fins.


4 Rappel des avis émis

Dans la période du 03 au 10 juillet 2009, le CERTA a émis les avis suivants :

  • CERTA-2009-AVI-265 : Multiples vulnérabilités dans Drupal
  • CERTA-2009-AVI-266 : Multiples vulnérabilités dans FCKeditor
  • CERTA-2009-AVI-267 : Vulnérabilités de IBM Tivoli Identity Manager
  • CERTA-2009-AVI-268 : Multiples vulnérabilités dans Sun Solaris
  • CERTA-2009-AVI-269 : Vulnérabilité dans VLC
  • CERTA-2009-AVI-270 : Vulnérabilité dans VMware ESX Service Console

Gestion détaillée du document

10 juillet 2009
version initiale.


CERTA
2012-01-04

liserest gauche
Premier Ministre / Secrétariat Général de la Défense et de la Sécurité Nationale / Agence nationale de la sécurité des systèmes d'information webmestre Dernière mise à jour : le 10/02/2012