CERTA
|
CERTA Centre d'Expertise Gouvernemental de |
 |
|
Affaire suivie par : CERTA Objet : Bulletin d'actualité
2010-02
Gestion du documentLe bulletin d'actualité est disponible dans son intégralité et au format PDF à l'adresse suivante : http://www.certa.ssi.gouv.fr/site/CERTA-2010-ACT-002.pdf Un extrait du bulletin, ne reprenant que les articles de la semaine, se trouve en HTML à l'adresse suivante : http://www.certa.ssi.gouv.fr/site/CERTA-2010-ACT-002/ 1 Vulnérabilité non corrigée dans Microsoft Internet ExplorerLe 14 janvier 2010, Microsoft a publié un bulletin de sécurité concernant une vulnérabilité non corrigée dans son navigateur Internet Explorer. Le CERTA a donc publié l'alerte CERTA-2010-ALE-001 afin de prévenir sa communauté des risques associés à cette vulnérabilité. La faille est due à une référence à un pointeur non valide et permet à une personne malintentionnée d'exécuter du code arbitraire à distance. Les versions 6, 7 et 8 d'Internet Explorer sont concernées. Des exploitations limitées de cette vulnérabilité ont déjà été constatées. Dans l'attente d'un correctif, il est préférable d'utiliser un navigateur alternatif. Sinon, afin de limiter l'impact de cette vulnérabilité, le CERTA recommande les actions suivantes :
Documentation
2 Trois avis critiquesLe CERTA a publié, le 13 janvier 2010, 3 avis critiques qu'il est impératif de prendre en compte dès que possible :Multiples vulnérabilités dans des produits OracleDe nombreuses vulnérabilités, dont certaines permettant l'exploitation de code arbitraire à distance, ont été corrigées dans les produits Oracle suivants :
Vulnérabilité dans Microsoft WindowsUne vulnérabilité concernant la mise en uvre de la technologie EOT (Embedded OpenType) permet à un
utilisateur mal intentionné d'exécuter du code
arbitraire.
Multiples vulnérabilités dans Adobe Reader et AcrobatDe multiples vulnérabilités présentes dans Adobe Reader et Acrobat peuvent être exploitées, au moyen d'un fichier au format PDF spécialement construit, par une personne malveillante afin de provoquer l'arrêt inopiné de l'application ou d'exécuter du code arbitraire à distance. Cet avis corrige l'alerte CERTA-2009-ALE-023.Documentation
3 La version d'Adobe Flash Player installée par défaut avec Windows XP est vulnérableCette semaine Microsoft a publié un avis de sécurité rappelant que la version 6 d'Adobe Flash Player installée par défaut avec Windows XP est vulnérable et permet l'exécution de code arbitraire au moyen d'un document spécifiquement construit. Ce défaut de sécurité a déjà été signalé par Microsoft dans son bulletin du 13 novembre 2006, MS06-069.Microsoft recommande de mettre à jour Adobe Flash Player avec la dernière version proposée par Adobe. Attention, la mise à jour nécessite des droits administrateur. Si un utilisateur aux droits restreints tente de la faire, il n'aura pas obligatoirement de message d'erreur l'informant de l'échec de celle ci et il pourra croire que son player est à jour. Documentation
4 Vulnérabilité dans différents modèles de clés USB chiffréesLa société Syss a révélé en décembre 2009 une vulnérabilité dans l'implémentation logicielle du mécanisme de chiffrement de certains modèles de clés USB chiffrées ( http://www.syss.de/index.php?id=108&L=1&tx_ttnews[tt_news]=528&tx_ttnews[backPid]=59&cHash=d0a8db6e51). Les modèles affectés utilisent un mécanisme de chiffrement logiciel qui s'exécute sur la machine et non un mécanisme matériel s'exécutant sur la clé elle-même. Il est à noter que certains de ces modèles avaient obtenu la certification FIPS 104-2 Level 2. Certains fabricants des modèles concernés proposent des mises à jour logicielles pour corriger le problème :
|
|
||||||||||||||||||||||||||||
|
|||||||||||||||||||||||||||||||
