S . G . D . S . N Agence nationale de la sécurité des systèmes d'information

Paris, le 27 novembre 2009 No CERTA-2009-ACT-048

Affaire suivie par :

CERTA

Objet : Bulletin d'actualité 2009-48

Gestion du document

Le bulletin d'actualité est disponible dans son intégralité et au format PDF à l'adresse suivante :

http://www.certa.ssi.gouv.fr/site/CERTA-2009-ACT-048.pdf

Un extrait du bulletin, ne reprenant que les articles de la semaine, se trouve en HTML à l'adresse suivante :

http://www.certa.ssi.gouv.fr/site/CERTA-2009-ACT-048/

1 Vulnérabilité non corrigée dans Microsoft Internet Explorer

Cette semaine le CERTA a publiée une nouvelle alerte concernant une vulnérabilité non corrigée dans le navigateur de Microsoft. Cette faille n'est exploitable que pour les versions 6 et 7 d'Internet Explorer par l'intermédiaire d'un objet CSS (Cascading Style Sheets). Du code permettant de profiter de cette vulnérabilité est déjà disponible sur l'Internet.

Dans l'attente d'un correctif de l'éditeur, le CERTA recommande les mesures suivantes :

• utiliser un navigateur alternatif ou la version 8 d'Internet Explorer ;
• désactiver par défaut l'exécution du JavaScript et de ne l'activer qu'au cas par cas sur des sites de confiance ;
• activer le mode protégé et le DEP (Data Execution Prevention) pour Internet Explorer 7 sur Windows Vista afin de limiter l'impact de la vulnérabilité ;
• utiliser un compte utilisateur aux droits limités pour naviguer sur l'Internet ;
• lire les messages électroniques au format texte afin d'éviter toute interprétation d'un courriel HTML malveillant.

Documentation

• Alerte CERTA-2009-ALE-020 :

  http://www.certa.ssi.gouv.fr/site/CERTA-2009-ALE-020/
  

• Bulletin de sécurité Microsoft #977981 du 23 novembre 2009 :

  http://www.microsoft.com/technet/security/advisory/977981.mspx
  

2 Incident de la semaine

Rappel sur la navigation et le téléchargement

• limiter l'installation aux seules applications nécessaires ;
• de les télécharger depuis les sites des éditeurs quand cela est possible, sinon d'utiliser un site connu et fréquenté (en cas de problème avec un fichier il y aura plus de chance qu'il soit rapidement signalé) ;
• de vérifier les hash après téléchargement lorsque celui-ci est disponible ;
• de maintenir à jour chaque application téléchargée.

Bien sûr, tout cela doit être fait dans le strict respect de la PSSI de l'organisme.

3 Les risques liés à l'usage des extensions d'applications

Le navigateur Internet, comme par exemple Firefox de Mozilla, propose aux utilisateurs de rechercher et d'installer aisément des modules permettant d'étendre les fonctionnalités de leurs applications.

Les développeurs de ces extensions peuvent ne pas être sensibilisés à une programmation sécurisée, et dans ce cas, un module vulnérable peut servir de levier afin de compromettre le système.

L'installation de ces modules d'extensions augmente la surface d'attaque pour un utilisateur malveillant. De plus, les extensions doivent pouvoir fonctionner et donc être installée sur le navigateur Internet Firefox quel que soit le système sous-jacent. Par conséquent, il ne peut être exclue qu'une vulnérabilité présente dans un module d'extension puisse affecter des systèmes fonctionnant sous différents systèmes d'exploitation.

Il existe de nombreuses autres applications utilisant des modules d'extension et deviennent donc également sujet aux risques liés à leur utilisation.

C'est pourquoi, le CERTA recommande de limiter l'installation et l'utilisation des ces modules au strict nécessaire, dans le cas contraire, il est plus que recommandé que le module devant être installé soit impérativement signé par l'éditeur dans la mesure du possible. La politique de sécurité des systèmes d'information doit également prendre en compte l'usage de ces extensions et prévoir une procédure de mise à jour.

4 Sortie de FreeBSD 8.0 le 26 novembre 2009

Cette semaine est marquée par la sortie de la dernière mouture de FreeBSD.

Les principales nouveautés de cette version sont :

• ajout de fonctionnalités pour les réseaux sans-fil 802.11 (Wi-Fi) : les VAP (Virtual Access Point) qui permettent d'héberger plusieurs réseaux sans-fil sur le même point d'accès, le support des réseaux mesh, et les extensions TDMA ;
• optimisations de la pile réseau pour les architectures multiprocesseurs, afin d'améliorer la montée en charge ;
• support pour la virtualisation : création de jail embarqué, support de VirtualBox (hôte et invité), exécution comme invité Xen 32-bit DomU ;
• support du chiffrement GSSAPI pour NFS
• ZFS n'est plus en version beta ;
• support du démarrage sur les disques GPT ;
• et de nombreuses autres nouveautés ...

Le CERTA recommande aux utilisateurs de ce système d'exploitation de s'assurer de la maintenance de leurs versions installées et de migrer vers la dernière version si elle n'est plus suivie.

Cette dernière version est disponible en téléchargement à l'adresse suivante : http://www.freebsd.org/where.html.

5 Rappel des avis émis

Dans la période du 20 au 26 novembre 2009, le CERTA a émis les avis suivants :

• CERTA-2009-AVI-507 : Vulnérabilité dans HP Color LaserJet
• CERTA-2009-AVI-508 : Multiples vulnérabilités dans GIMP
• CERTA-2009-AVI-509 : Vulnérabilités dans Opera
• CERTA-2009-AVI-511 : Vulnérabilité dans Dovecot
• CERTA-2009-AVI-512 : Vulnérabilités de Kolab
• CERTA-2009-AVI-513 : Multiples vulnérabilités dans les produits VMware
• CERTA-2009-AVI-514 : Vulnérabilité dans Symantec Altiris
• CERTA-2009-AVI-516 : Multiples vulnérabilités dans les produits Adobe
• CERTA-2009-AVI-517 : Vulnérabilités dans la bibliothèque libvorbis
• CERTA-2009-AVI-518 : Vulnérabilité dans la bibliothèque libtool
• CERTA-2009-AVI-519 : Multiples vulnérabilités dans Cacti

Pendant la même période, les avis suivants ont été mis à jour :

• CERTA-2009-AVI-510-001 : Multiples vulnérabilités dans PHP (ajout des références CVE et des bulletins de sécurité Debian et SuSE)
• CERTA-2009-AVI-515-001 : Vulnérabilité dans BIND avec DNSSEC (ajout du bulletin de sécurité Sun)

Gestion détaillée du document

27 novembre 2009

version initiale.