Marianne ANSSI

CERTA

Centre d'Expertise Gouvernemental de
Réponse et de Traitement des Attaques informatiques
liseret droit
Contact

Contacter le CERTA

Contact us ( Drapeau anglais )

A propos du site

 
Recherche

Rechercher sur le site

 
Les documents du CERTA

Page d'accueil

Les alertes en cours

Les bulletins d'actualité

Les notes d'information

Année en cours

 
Les Flux RSS du CERTA

Flux RSS complet

RSS

Flux RSS des alertes

RSS

 
Informations utiles

Que faire en cas d'intrusion ?

Les mémentos du CERTA

Les systèmes obsolètes

 
CERTA-2010-ACT-023

Imprimer ce document

Version PDF

A propos du CERTA

L'ANSSI

Le CERTA

Les CERT

Le FIRST

L'EGC

Liens utiles

 
Archives du CERTA

Année 2012

Année 2011

Année 2010

Année 2009

Année 2008

Année 2007

Année 2006

Année 2005

Année 2004

Année 2003

Année 2002

Année 2001

Année 2000

 


S . G . D . S . N
Agence nationale
de la sécurité des
systèmes d'information

 République Française Paris, le 11 juin 2010
No CERTA-2010-ACT-023

Affaire suivie par :

CERTA

Objet : Bulletin d'actualité 2010-23

Conditions d'utilisation de ce document : http://www.certa.ssi.gouv.fr/certa/apropos.html
Dernière version de ce document : http://www.certa.ssi.gouv.fr/site/CERTA-2010-ACT-023

Gestion du document

Le bulletin d'actualité est disponible dans son intégralité et au format PDF à l'adresse suivante :

http://www.certa.ssi.gouv.fr/site/CERTA-2010-ACT-023.pdf

Un extrait du bulletin, ne reprenant que les articles de la semaine, se trouve en HTML à l'adresse suivante :

http://www.certa.ssi.gouv.fr/site/CERTA-2010-ACT-023/

1 Alertes publiées cette semaine

1.1 Vulnérabilité Shockwave Flash pour les produits Adobe

Le 05 juin 2010, le CERTA a publié une alerte concernant certains produits Adobe sur plusieurs systèmes d'exploitation. En effet, une vulnérabilité causée par une erreur dans le traitement des fichiers au format Shockwave Flash permet à un utilisateur malveillant d'exécuter du code arbitraire à distance. Cette exploitation peut être réalisée directement au moyen d'un fichier SWF spécialement construit ou indirectement au moyen d'un fichier au format PDF.

Cette vulnérabilité a fait l'objet d'une publication de l'éditeur Adobe qui fait mention de plusieurs cas d'exploitation découverts sur l'Internet. Le CERTA a également eu connaissance de tels cas d'exploitation.

Dans l'attente d'un correctif de sécurité, l'alerte CERTA-2010-ALE-007 propose un contournement provisoire qui consiste à limiter les accès à la bibliothèque vulnérable authplay. Le nom et l'emplacement de cette bibliothèque varient en fonction du système d'exploitation et sont repris en détail dans l'alerte.

Un correctif de sécurité concernant Adobe Flash Player a été publié le 10 juin 2010 (avis CERTA-2010-AVI-261). La vulnérabilité reste néanmoins non corrigée et exploitable pour les utilisateurs d'Adobe Reader et d'Adobe Acrobat.

De façon générale, le CERTA recommande de désactiver l'interprétation du JavaScript par les lecteurs Adobe Reader et Adobe Acrobat. De plus, la désactivation de l'interprétation des animations Flash ainsi que des animations 3D peut être appliquée.

Documentation :

1.2 Vulnérabilité dans le Centre d'aide et de support Windows

Une vulnérabilité non-corrigée a été découverte dans le Centre d'aide et de support Windows. Elle permet à un utilisateur distant malintentionné d'exécuter du code arbitraire, notamment, via un navigateur Internet. Tous les navigateurs peuvent servir de vecteur d'exploitation, notamment si Windows Media Player 9 est installé sur la machine. D'autres vecteurs d'exploitation sont potentiellement possibles, notamment les documents Office.

Cette vulnérabilité concerne la gestion du protocole HCP utilisé par le Centre d'aide et de support Windows . Un lien HCP spécialement malformé permet ainsi l'exécution de code arbitraire à distance.

Des exemples de code d'exploitation de cette vulnérabilité sont d'ores et déjà recensés sur l'Internet.

Dans l'attente d'un correctif de l'éditeur, des contournements provisoires sont listés dans le bulletin d'alerte CERTA-2010-ALE-008.

Documentation :

2 Bulletins Microsoft

Plusieurs vulnérabilités dans des produits Microsoft ont été corrigées cette semaine. Ces mises à jour ont été traitées dans les bulletins de sécurité CERTA-2010-AVI-244 à CERTA-2010-AVI-253 le 09 juin 2010 et traitent des vulnérabilités suivantes :

  • De multiples vulnérabilités ont été corrigées dans les pilotes noyau de Windows. Elles permettent une élévation de privilèges en tant qu'utilisateur Système (CERTA-2010-AVI-244 ) ;
  • de multiples vulnérabilités ont été corrigées dans les composants de gestion multimédia de Windows. Elles permettent l'exécution de code arbitraire à distance, notamment via la lecture de documents de type ASF ou MJPEG (CERTA-2010-AVI-245) ;
  • deux vulnérabilités ont été corrigées dans le contrôle ActiveX Microsoft Data Analyzer (CVE-2010-0252) et dans Microsoft Internet Explorer 8 Developer Tools (CVE-2010-0811). Ces vulnérabilités peuvent être exploitées par une personne malveillante afin d'exécuter du code arbitraire à distance au moyen d'un site Web ou d'un document Microsoft Office spécialement construits (CERTA-2010-AVI-246) ;
  • deux vulnérabilités dans Internet Explorer ont été corrigées. Elles permettent à une personne malveillante d'exécuter du code arbitraire à distance au moyen d'une page Web spécialement construite (CERTA-2010-AVI-247) ;
  • une vulnérabilité dans la validation des objets COM dans Microsoft Office permet à une personne malintentionnée d'exécuter du code arbitraire à distance via un document Microsoft Office spécialement conçu (CERTA-2010-AVI-248) ;
  • une vulnérabilité due à une mauvaise validation de données dans le pilote OpenType Compact Font Format (CFF) permet à un utilisateur d'élever ses privilèges sur le système (CERTA-2010-AVI-249) ;
  • quatorze vulnérabilités dans Microsoft Office ont été corrigées. Certaines sont exploitables au moyen d'un fichier Microsoft Excel spécifiquement réalisé permettant ainsi à une personne malintentionnée d'exécuter du code arbitraire à distance, et cela avec les droits de l'utilisateur victime. Ce bulletin de sécurité remplace le MS10-017 pour certains systèmes affectés (CERTA-2010-AVI-250) ;
  • trois vulnérabilités ont été corrigées dans Microsoft SharePoint dont une révélée publiquement. Cette dernière permet à une personne malintentionnée d'élever ses privilèges au moyen d'un lien spécifiquement écrit (CERTA-2010-AVI-251) ;
  • un traitement incorrect par IIS d'informations d'authentification est exploitable par un utilisateur malveillant pour exécuter du code arbitraire à distance, au moyen d'une requête HTTP particulière (CERTA-2010-AVI-252) ;
  • une vulnérabilité dans Microsoft .NET concernant le traitement de la signature des documents XML permet à un utilisateur malveillant de modifier un document signé sans que cette manipulation soit detectée (CERTA-2010-AVI-253).

Compte tenu de la criticité de certaines vulnérabilités, le CERTA préconise l'application dans les plus brefs délais des correctifs.

3.1 Documentation

3 Kill Bit pour Microsoft Office

Le bulletin de sécurité Office MS10-036 a introduit la notion de Kill bit pour les applications Office. Comme les Kill bit pour Internet Explorer, elle permet d'empêcher le chargement de contrôles ActiveX ou objets OLE dans les applications Office.

L'administrateur peut configurer via une entrée de registre les CLSID qu'il souhaite ne pas voir charger dans Office.

Cette nouvelle fonctionnalité est disponible pour Office 2003 et Office 2007.

Le bulletin d'actualité CERTA-2009-ACT-012 proposait un contournement basé sur le blocage des fichiers XML. Il est rendu caduc par cette nouvelle fonctionnalité de Kill bit.

3.1 Documentation


4 Rappel des avis émis

Dans la période du 04 au 10 juin 2010, le CERTA a émis les avis suivants :

  • CERTA-2010-AVI-236 : Vulnérabilité dans HP StorageWorks Storage Mirroring
  • CERTA-2010-AVI-237 : Vulnérabilités dans OpenSSL
  • CERTA-2010-AVI-238 : Multiples vulnérabilités dans MySQL Enterprise Monitor
  • CERTA-2010-AVI-239 : Vulnérabilités dans IBM DB2
  • CERTA-2010-AVI-240 : Vulnérabilité dans CA ARCserve Backup
  • CERTA-2010-AVI-242 : Multiples vulnérabilités dans Novell eDirectory
  • CERTA-2010-AVI-243 : Multiples vulnérabilités dans Apple Safari
  • CERTA-2010-AVI-244 : Multiples vulnérabilités dans les pilotes noyaux de Windows
  • CERTA-2010-AVI-245 : Multiples vulnérabilités dans la décompression de fichiers multimédia sous Windows
  • CERTA-2010-AVI-246 : Vulnérabilité dans certains contrôles ActiveX
  • CERTA-2010-AVI-247 : Vulnérabilité dans Internet Explorer
  • CERTA-2010-AVI-248 : Vulnérabilité dans Microsoft Office
  • CERTA-2010-AVI-249 : Vulnérabilité dans le pilote CFF de Windows
  • CERTA-2010-AVI-250 : Multiples vulnérabilités dans Microsoft Office Excel
  • CERTA-2010-AVI-251 : Vulnérabilités dans Microsoft SharePoint
  • CERTA-2010-AVI-252 : Vulnérabilité dans Microsoft IIS
  • CERTA-2010-AVI-253 : Vulnérabilité dans Microsoft NET
  • CERTA-2010-AVI-254 : Vulnérabilité dans IBM WebSphere
  • CERTA-2010-AVI-255 : Vulnérabilité dans McAfee UTM Firewall
  • CERTA-2010-AVI-256 : Vulnérabilités dans Cisco Unified Contact Center Express
  • CERTA-2010-AVI-257 : Vulnérabilité dans Cisco Application Extension Platform

Durant la même période, les avis suivants ont été mis à jour :

  • CERTA-2010-AVI-241-001 : Vulnérabilités dans OpenOffice.org (précision sur les versions touchées.)

Enfin, deux vulnérabilités non corrigées ont chacune fait l'objet d'une alerte :

  • CERTA-2010-ALE-007 : Vulnérabilité Shockwave Flash pour les produits Adobe
  • CERTA-2010-ALE-008 : Vulnérabilité dans le Centre d'aide et de support Windows

Gestion détaillée du document

11 juin 2010
version initiale.


CERTA
2012-01-04

liserest gauche
Premier Ministre / Secrétariat Général de la Défense et de la Sécurité Nationale / Agence nationale de la sécurité des systèmes d'information webmestre Dernière mise à jour : le 09/02/2012