S . G . D . S . N
Agence nationale
de la sécurité des
systèmes d'information

Paris, le 11 juin 2010
N^o CERTA-2010-ACT-023

Affaire suivie par :

CERTA

Objet : Bulletin d'actualité 2010-23

Conditions d'utilisation de ce document :	http://www.certa.ssi.gouv.fr/certa/apropos.html
Dernière version de ce document :	http://www.certa.ssi.gouv.fr/site/CERTA-2010-ACT-023

Gestion du document

Le bulletin d'actualité est disponible dans son intégralité et au format PDF à l'adresse suivante :

http://www.certa.ssi.gouv.fr/site/CERTA-2010-ACT-023.pdf

Un extrait du bulletin, ne reprenant que les articles de la semaine, se trouve en HTML à l'adresse suivante :

http://www.certa.ssi.gouv.fr/site/CERTA-2010-ACT-023/

1 Alertes publiées cette semaine

1.1 Vulnérabilité Shockwave Flash pour les produits Adobe

Le 05 juin 2010, le CERTA a publié une alerte concernant certains produits Adobe sur plusieurs systèmes d'exploitation. En effet, une vulnérabilité causée par une erreur dans le traitement des fichiers au format Shockwave Flash permet à un utilisateur malveillant d'exécuter du code arbitraire à distance. Cette exploitation peut être réalisée directement au moyen d'un fichier SWF spécialement construit ou indirectement au moyen d'un fichier au format PDF.

Cette vulnérabilité a fait l'objet d'une publication de l'éditeur Adobe qui fait mention de plusieurs cas d'exploitation découverts sur l'Internet. Le CERTA a également eu connaissance de tels cas d'exploitation.

Dans l'attente d'un correctif de sécurité, l'alerte CERTA-2010-ALE-007 propose un contournement provisoire qui consiste à limiter les accès à la bibliothèque vulnérable authplay. Le nom et l'emplacement de cette bibliothèque varient en fonction du système d'exploitation et sont repris en détail dans l'alerte.

Un correctif de sécurité concernant Adobe Flash Player a été publié le 10 juin 2010 (avis CERTA-2010-AVI-261). La vulnérabilité reste néanmoins non corrigée et exploitable pour les utilisateurs d'Adobe Reader et d'Adobe Acrobat.

De façon générale, le CERTA recommande de désactiver l'interprétation du JavaScript par les lecteurs Adobe Reader et Adobe Acrobat. De plus, la désactivation de l'interprétation des animations Flash ainsi que des animations 3D peut être appliquée.

Documentation :

Avis de sécurité Adobe apsa10-01 du 04 juin 2010 :

http://www.adobe.com/support/security/advisories/apsa10-01.html

Bulletin d'alerte CERTA-2010-ALE-007 du 05 juin 2010 :

http://www.certa.ssi.gouv.fr/site/CERTA-2010-ALE-007/

Avis CERTA-2010-AVI-261 du 11 juin 2010 :

http://www.certa.ssi.gouv.fr/site/CERTA-2010-AVI-261/

1.2 Vulnérabilité dans le Centre d'aide et de support Windows

Une vulnérabilité non-corrigée a été découverte dans le Centre d'aide et de support Windows. Elle permet à un utilisateur distant malintentionné d'exécuter du code arbitraire, notamment, via un navigateur Internet. Tous les navigateurs peuvent servir de vecteur d'exploitation, notamment si Windows Media Player 9 est installé sur la machine. D'autres vecteurs d'exploitation sont potentiellement possibles, notamment les documents Office.

Cette vulnérabilité concerne la gestion du protocole HCP utilisé par le Centre d'aide et de support Windows . Un lien HCP spécialement malformé permet ainsi l'exécution de code arbitraire à distance.

Des exemples de code d'exploitation de cette vulnérabilité sont d'ores et déjà recensés sur l'Internet.

Dans l'attente d'un correctif de l'éditeur, des contournements provisoires sont listés dans le bulletin d'alerte CERTA-2010-ALE-008.

Documentation :

Bulletin d'alerte CERTA-2010-ALE-008 du 10 juin 2010 :

http://www.certa.ssi.gouv.fr/site/CERTA-2010-ALE-008/

2 Bulletins Microsoft

Plusieurs vulnérabilités dans des produits Microsoft ont été corrigées cette semaine. Ces mises à jour ont été traitées dans les bulletins de sécurité CERTA-2010-AVI-244 à CERTA-2010-AVI-253 le 09 juin 2010 et traitent des vulnérabilités suivantes :

De multiples vulnérabilités ont été corrigées dans les pilotes noyau de Windows. Elles permettent une élévation de privilèges en tant qu'utilisateur Système (CERTA-2010-AVI-244 ) ;
de multiples vulnérabilités ont été corrigées dans les composants de gestion multimédia de Windows. Elles permettent l'exécution de code arbitraire à distance, notamment via la lecture de documents de type ASF ou MJPEG (CERTA-2010-AVI-245) ;
deux vulnérabilités ont été corrigées dans le contrôle ActiveX Microsoft Data Analyzer (CVE-2010-0252) et dans Microsoft Internet Explorer 8 Developer Tools (CVE-2010-0811). Ces vulnérabilités peuvent être exploitées par une personne malveillante afin d'exécuter du code arbitraire à distance au moyen d'un site Web ou d'un document Microsoft Office spécialement construits (CERTA-2010-AVI-246) ;
deux vulnérabilités dans Internet Explorer ont été corrigées. Elles permettent à une personne malveillante d'exécuter du code arbitraire à distance au moyen d'une page Web spécialement construite (CERTA-2010-AVI-247) ;
une vulnérabilité dans la validation des objets COM dans Microsoft Office permet à une personne malintentionnée d'exécuter du code arbitraire à distance via un document Microsoft Office spécialement conçu (CERTA-2010-AVI-248) ;
une vulnérabilité due à une mauvaise validation de données dans le pilote OpenType Compact Font Format (CFF) permet à un utilisateur d'élever ses privilèges sur le système (CERTA-2010-AVI-249) ;
quatorze vulnérabilités dans Microsoft Office ont été corrigées. Certaines sont exploitables au moyen d'un fichier Microsoft Excel spécifiquement réalisé permettant ainsi à une personne malintentionnée d'exécuter du code arbitraire à distance, et cela avec les droits de l'utilisateur victime. Ce bulletin de sécurité remplace le MS10-017 pour certains systèmes affectés (CERTA-2010-AVI-250) ;
trois vulnérabilités ont été corrigées dans Microsoft SharePoint dont une révélée publiquement. Cette dernière permet à une personne malintentionnée d'élever ses privilèges au moyen d'un lien spécifiquement écrit (CERTA-2010-AVI-251) ;
un traitement incorrect par IIS d'informations d'authentification est exploitable par un utilisateur malveillant pour exécuter du code arbitraire à distance, au moyen d'une requête HTTP particulière (CERTA-2010-AVI-252) ;
une vulnérabilité dans Microsoft .NET concernant le traitement de la signature des documents XML permet à un utilisateur malveillant de modifier un document signé sans que cette manipulation soit detectée (CERTA-2010-AVI-253).

Compte tenu de la criticité de certaines vulnérabilités, le CERTA préconise l'application dans les plus brefs délais des correctifs.

3.1 Documentation

Avis du CERTA CERTA-2010-AVI-244 du 09 juin 2010 :

http://www.certa.ssi.gouv.fr/site/CERTA-2010-AVI-244/

Avis du CERTA CERTA-2010-AVI-245 du 09 juin 2010 :

http://www.certa.ssi.gouv.fr/site/CERTA-2010-AVI-245/

Avis du CERTA CERTA-2010-AVI-246 du 09 juin 2010 :

http://www.certa.ssi.gouv.fr/site/CERTA-2010-AVI-246/

Avis du CERTA CERTA-2010-AVI-247 du 09 juin 2010 :

http://www.certa.ssi.gouv.fr/site/CERTA-2010-AVI-247/

Avis du CERTA CERTA-2010-AVI-248 du 09 juin 2010 :

http://www.certa.ssi.gouv.fr/site/CERTA-2010-AVI-248/

Avis du CERTA CERTA-2010-AVI-249 du 09 juin 2010 :

http://www.certa.ssi.gouv.fr/site/CERTA-2010-AVI-249/

Avis du CERTA CERTA-2010-AVI-250 du 09 juin 2010 :

http://www.certa.ssi.gouv.fr/site/CERTA-2010-AVI-250/

Avis du CERTA CERTA-2010-AVI-251 du 09 juin 2010 :

http://www.certa.ssi.gouv.fr/site/CERTA-2010-AVI-251/

Avis du CERTA CERTA-2010-AVI-252 du 09 juin 2010 :

http://www.certa.ssi.gouv.fr/site/CERTA-2010-AVI-252/

Avis du CERTA CERTA-2010-AVI-253 du 09 juin 2010 :

http://www.certa.ssi.gouv.fr/site/CERTA-2010-AVI-253/

3 Kill Bit pour Microsoft Office

Le bulletin de sécurité Office MS10-036 a introduit la notion de Kill bit pour les applications Office. Comme les Kill bit pour Internet Explorer, elle permet d'empêcher le chargement de contrôles ActiveX ou objets OLE dans les applications Office.

L'administrateur peut configurer via une entrée de registre les CLSID qu'il souhaite ne pas voir charger dans Office.

Cette nouvelle fonctionnalité est disponible pour Office 2003 et Office 2007.

Le bulletin d'actualité CERTA-2009-ACT-012 proposait un contournement basé sur le blocage des fichiers XML. Il est rendu caduc par cette nouvelle fonctionnalité de Kill bit.

3.1 Documentation

Article technique Microsoft kb983632 :
```
http://support.microsoft.com/kb/983632
```
Bulletin d'actualité du CERTA du 20 mars 2009, CERTA-2009-ACT-012 :
```
http://www.certa.ssi.gouv.fr/site/CERTA-2009-ACT-012/
```

4 Rappel des avis émis

Dans la période du 04 au 10 juin 2010, le CERTA a émis les avis suivants :

CERTA-2010-AVI-236 : Vulnérabilité dans HP StorageWorks Storage Mirroring
CERTA-2010-AVI-237 : Vulnérabilités dans OpenSSL
CERTA-2010-AVI-238 : Multiples vulnérabilités dans MySQL Enterprise Monitor
CERTA-2010-AVI-239 : Vulnérabilités dans IBM DB2
CERTA-2010-AVI-240 : Vulnérabilité dans CA ARCserve Backup
CERTA-2010-AVI-242 : Multiples vulnérabilités dans Novell eDirectory
CERTA-2010-AVI-243 : Multiples vulnérabilités dans Apple Safari
CERTA-2010-AVI-244 : Multiples vulnérabilités dans les pilotes noyaux de Windows
CERTA-2010-AVI-245 : Multiples vulnérabilités dans la décompression de fichiers multimédia sous Windows
CERTA-2010-AVI-246 : Vulnérabilité dans certains contrôles ActiveX
CERTA-2010-AVI-247 : Vulnérabilité dans Internet Explorer
CERTA-2010-AVI-248 : Vulnérabilité dans Microsoft Office
CERTA-2010-AVI-249 : Vulnérabilité dans le pilote CFF de Windows
CERTA-2010-AVI-250 : Multiples vulnérabilités dans Microsoft Office Excel
CERTA-2010-AVI-251 : Vulnérabilités dans Microsoft SharePoint
CERTA-2010-AVI-252 : Vulnérabilité dans Microsoft IIS
CERTA-2010-AVI-253 : Vulnérabilité dans Microsoft NET
CERTA-2010-AVI-254 : Vulnérabilité dans IBM WebSphere
CERTA-2010-AVI-255 : Vulnérabilité dans McAfee UTM Firewall
CERTA-2010-AVI-256 : Vulnérabilités dans Cisco Unified Contact Center Express
CERTA-2010-AVI-257 : Vulnérabilité dans Cisco Application Extension Platform

Durant la même période, les avis suivants ont été mis à jour :

CERTA-2010-AVI-241-001 : Vulnérabilités dans OpenOffice.org (précision sur les versions touchées.)

Enfin, deux vulnérabilités non corrigées ont chacune fait l'objet d'une alerte :

CERTA-2010-ALE-007 : Vulnérabilité Shockwave Flash pour les produits Adobe
CERTA-2010-ALE-008 : Vulnérabilité dans le Centre d'aide et de support Windows

Gestion détaillée du document

11 juin 2010: version initiale.

CERTA
2012-01-04