S . G . D . S . N
Agence nationale
de la sécurité des
systèmes d'information

Paris, le 17 juillet 2009
N^o CERTA-2009-ACT-029

Affaire suivie par :

CERTA

Objet : Bulletin d'actualité 2009-29

Conditions d'utilisation de ce document :	http://www.certa.ssi.gouv.fr/certa/apropos.html
Dernière version de ce document :	http://www.certa.ssi.gouv.fr/site/CERTA-2009-ACT-029

Gestion du document

Le bulletin d'actualité est disponible dans son intégralité et au format PDF à l'adresse suivante :

http://www.certa.ssi.gouv.fr/site/CERTA-2009-ACT-029.pdf

Un extrait du bulletin, ne reprenant que les articles de la semaine, se trouve en HTML à l'adresse suivante :

http://www.certa.ssi.gouv.fr/site/CERTA-2009-ACT-029/

1 Les vulnérabilités de la semaine

Cette semaine le CERTA a publié deux alertes dont une corrigée aujourd'hui.

1.1 Vulnérabilité dans Microsoft Office Web Components Control

L'alerte de sécurité CERTA-2009-ALE-011 fait état d'une vulnérabilité non précisée par l'éditeur dans Microsoft Office Web Components Control. Elle est exploitable au moyen d'une page web spécifiquement écrite visualisée dans Internet Explorer et permet l'exécution de code arbitraire à distance. Le CERTA recommande la mise en place du contournement provisoire décrit dans l'alerte (cf. la section Documentation) ou d'utiliser un navigateur alternatif.

1.2 Vulnérabilité dans Mozilla Firefox

L'alerte de sécurité CERTA-2009-ALE-012 concernait une vulnérabilité dans Mozilla Firefox. Elle est corrigée dans la version 3.5.1 du navigateur, annoncée dans le bulletin de sécurité MFSA 2009-41 du 16 juillet. Cette vulnérabilité impactait le compilateur à la volée (JIT - Just In Time Compiler) JavaScript et permettait l'exécution de code arbitraire à distance au moyen d'une page Web malveillante. Un code exploitant cette vulnérabilité circule sur l'Internet et le CERTA recommande la mise à jour du navigateur.

1.3 Documentation

Alerte de sécurité concernant Microsoft Office Web Components Control CERTA-2009-ALE-011:
```
http://www.certa.ssi.gouv.fr/site/CERTA-2009-ALE-011/index.html
```

Bulletin de sécurité Microsoft :

http://www.microsoft.com/technet/security/advisory/973472.mspx

Alerte de sécurité concernant Mozilla Firefox CERTA-2009-ALE-012 :
```
http://www.certa.ssi.gouv.fr/site/CERTA-2009-ALE-012/index.html
```
Avis de sécurité concernant Mozilla Firefox CERTA-2009-AVI-282 :
```
http://www.certa.ssi.gouv.fr/site/CERTA-2009-AVI-282/index.html
```
Bulletin de sécurité de la fondation Mozilla MFSA 2009-41 du 16 juillet 2009 :
```
http://www.mozilla.org/security/announce/2009/mfsa2009-41.html
```

2 Correctifs Microsoft du mois de juillet

Cette semaine, Microsoft a émis six nouveaux bulletins de sécurité. Trois sont considérés comme importants par l'éditeur et trois comme critiques. Voici un aperçu des vulnérabilités :

plusieurs vulnérabilités dans DirectShow permettent l'exécution de code arbitraire à distance (MS09-028) ;
plusieurs vulnérabilités dans le moteur de polices Embedded OpenType permettent l'exécution de code arbitraire à distance (MS09-029) ;
une vulnérabilité dans Microsoft Office Publisher permet l'exécution de code arbitraire à distance (MS09-030) ;
une vulnérabilité dans Microsoft ISA Server permet à une personne malintentionnée d'élever ses privilèges (MS09-031) ;
une vulnérabilité dans le contrôle ActiveX Microsoft Video permet l'exécution de code arbitraire à distance (MS09-032) ;
une vulnérabilité dans Virtual PC et Virtual Server permet une élévation de privilèges dans le système d'exploitation invité (MS09-033).

Les alertes CERTA-2009-ALE-009 (DirectShow) et CERTA-2009-ALE-010 (ActiveX Microsoft Video) sont ainsi corrigées par ces mises à jour.

Il est important de noter que l'alerte CERTA-2009-ALE-011 relative aux Microsoft Office Web Components n'est pas comblée par ce lot de correctifs. Il est donc recommandé de rester vigilant et d'appliquer sans tarder les contournements provisoires décrits dans l'alerte.

2.1 Cas particulier de MS09-032

Pour ce dernier bulletin, le passage de l'état vulnérable à l'état corrigé par Microsoft est intéressant : le bulletin MS09-032, pointé par l'avis CERTA-2009-AVI-278, est un correctif intitulé Mise à jour cumulative pour les kill bits ActiveX. Ce correctif positionne dans la base de registres de Windows des paramètres (kill bits) désactivant des contrôles ActiveX vulnérables.

Or, c'est exactement ce que faisait le contournement provisoire proposé par Microsoft et détaillé dans l'alerte CERTA-2009-ALE-010. Ceci revient à dire que le contournement provisoire vaut pour une solution définitive.

Ce faisant, Microsoft considère que le positionnement d'un kill bit sur un contrôle ActiveX vulnérable suffit à corriger la vulnérabilité. Or, intrinsèquement, désactiver un composant ne revient pas à corriger les vulnérabilités qu'il renferme.

On aurait tout à fait pu imaginer la sortie d'un véritable correctif permettant de continuer à utiliser ce contrôle ActiveX susceptible d'avoir une certaine utilité.

Dans tout les cas, le CERTA rappelle que les contrôles ActiveX étant une technologie à risque, il est recommandé de s'en dispenser.

2.2 Documentation

Synthèse des bulletins de sécurité de juillet 2009 :

http://www.microsoft.com/france/technet/security/bulletin/ms09-jul.mspx

Bloc-notes de Pascal Saulière :
```
http://blogs.technet.com/pascals
```

Alerte CERTA-2009-ALE-011 :

http://www.certa.ssi.gouv.fr/site/CERTA-2009-ALE-011/index.html

3 Sites Web et compatibilité des navigateurs

Les sites Web ne sont pas toujours conçus pour être lisibles sur tous les navigateurs.

C'est le cas de certains sites Web qui peuvent avoir une apparence étrange, voire illisible, au cours d'une visite via le dernier navigateur Microsoft Internet Explorer 8.

Pour les utilisateurs de ce navigateur, il est possible :

d'activer le mode « affichage de compatibilité », à l'aide d'un bouton qui se trouve à droite de la barre d'adressage ;
de modifier dans la configuration d'Internet Explorer, par Outils -> Paramètres d'affichage de compatibilité, l'option générale d'affichage. Elle sera alors valable pour tous les sites visités ;
dans le cadre d'un réseau d'entreprise, d'utiliser les paramètres de stratégie de groupe qui se trouvent pour les différentes entités dans Administrative Templates/Windows Components/Internet Explorer/Compatibility View.

Pour les administrateurs de sites Web, afin de rendre leurs sites accessibles au plus grand nombre, il est envisageable d'ajouter à la page HTML le tag indiqué ci-dessous afin qu'Internet Explorer 8, au cours de son interprétation du code, utilise directement le moteur de rendu de la précédente version Internet Explorer 7.

<meta http-equ="X-UA-Compatible" content="IE=7">

Les différents modes à préciser dans le tag sont documentés par Microsoft dans les liens fournis ci-après.

Documentation Microsoft, « Il se peut que certains sites Web ne s'affichent pas correctement ou ne fonctionnent pas dans Windows Internet Explorer 8 » du 19 mars 2009 :
```
http://support.microsoft.com/kb/956197
```
Microsoft, les dossiers MSDN, « Internet Explorer 8 : Compatibilité » :
```
http://msdn.microsoft.com/fr-fr/ie/cc963662.aspx
```

4 Rappel des avis émis

Dans la période du 09 au 16 juillet 2009, le CERTA a émis les avis suivants :

CERTA-2009-AVI-271 : Multiples vulnérabilités dans Apple Safari
CERTA-2009-AVI-272 : Vulnérabilité de Apache mod_proxy
CERTA-2009-AVI-273 : Multiples vulnérabilités dans Microsoft DirectShow
CERTA-2009-AVI-274 : Multiples vuln???rabilités dans Microsoft Windows Embedded OpenType
CERTA-2009-AVI-275 : Vulnérabilité de Microsoft Office Publisher
CERTA-2009-AVI-276 : Vulnérabilité de ISA Server
CERTA-2009-AVI-277 : Vulnérabilité dans Virtual PC et Virtual Server
CERTA-2009-AVI-278 : Vulnérabilité dans le contrôle ActiveX Microsoft Video
CERTA-2009-AVI-279 : Multiples vulnérabilités dans des produits Oracle
CERTA-2009-AVI-280 : Vulnérabilité dans DHCP Dhclient
CERTA-2009-AVI-281 : Multiples vulnérabilités dans WordPress

Gestion détaillée du document

17 juillet 2009: version initiale.

CERTA
2012-01-04