S . G . D . S . N Agence nationale de la sécurité des systèmes d'information

Paris, le 13 août 2010 No CERTA-2010-ACT-032

Affaire suivie par :

CERTA

Objet : Bulletin d'actualité 2010-32

Gestion du document

Le bulletin d'actualité est disponible dans son intégralité et au format PDF à l'adresse suivante :

http://www.certa.ssi.gouv.fr/site/CERTA-2010-ACT-032.pdf

Un extrait du bulletin, ne reprenant que les articles de la semaine, se trouve en HTML à l'adresse suivante :

http://www.certa.ssi.gouv.fr/site/CERTA-2010-ACT-032/

1 Mise à jour de sécurité mensuelle de Microsoft

Microsoft a publié 14 bulletins de sécurité pour le mois d'août 2010. Ces mises à jour de sécurité couvrent toutes les versions de Windows et corrigent des vulnérabilités dont les plus critiques permettant d'exécuter du code arbitraire à distance sans action de l'utilisateur ou encore d'élever ses privilèges.

Parmi les vulnérabilités corrigées, on peut citer les avis CERTA-2010-AVI-363 et CERTA-2010-AVI-364 qui portent sur des vulnérabilités dans le noyau ou des pilotes en mode noyau qui peuvent être exploitées afin de réaliser une élevation de privilèges.

Les avis CERTA-2010-AVI-367 et CERTA-2010-AVI-369 couvrent des vulnérabilités présentes dans Internet Explorer ou exploitable via le navigateur. Ainsi, une personne malveillante peut exécuter du code arbitraire à distance, notamment au moyen d'un fichier au format HTML spécialement construit.

L'avis CERTA-2010-AVI-370 sera le dernier cité dans cet article. Il porte sur une vulnérabilité dans le serveur SMB de Windows qui permet à un utilisateur distant non-authentifié d'exécuter du code arbitraire. Cette vulnérabilité rappelle celle décrite dans le bulletin de sécurité Microsoft MS08-067 du 11 novembre 2008 largement exploitée par le code malveillant Conficker.

L'application de ces correctifs est donc impérative pour élever le niveau de sécurité des systèmes d'information fonctionnant sous Windows.

2 «Patch tuesday», Adobe également

Le CERTA attire l'attention sur deux points :

• la vulnérabilité CVE-2010-2862 affectant Adobe Reader et Acrobat, liée aux police de caractères, et traitée dans l'alerte CERTA-2010-ALE-012, n'est toujours pas corrigée à l'heure de la rédaction de cet article ;
• concernant Flash Media Player, tous les greffons des différents navigateurs utilisés sur l'ordinateur doivent être mis à jour, manuellement si besoin.

2.1 Documentation

• Avis du CERTA CERTA-2010-AVI-377, Vulnérabilités dans Adobe AIR et Flash Player, du 11 août 2010 :

  http://www.certa.ssi.gouv.fr/site/CERTA-2010-AVI-377/
  

• Avis du CERTA CERTA-2010-AVI-378, Vulnérabilité dans ColdFusion, du 11 août 2010 :

  http://www.certa.ssi.gouv.fr/site/CERTA-2010-AVI-378/
  

• Avis du CERTA CERTA-2010-AVI-379, Vulnérabilités dans Adobe Flash Media Server, du 11 août 2010 :

  http://www.certa.ssi.gouv.fr/site/CERTA-2010-AVI-379/
  

• Alerte du CERTA CERTA-2010-ALE-012, Vulnérabilité dans Adobe Reader et Adobe Acrobat, du 06 août 2010 :

  http://www.certa.ssi.gouv.fr/site/CERTA-2010-ALE-012/
  

3 Mise à jour de sécurité importante pour l'Apple iOS

Dans le bulletin d'actualité de la semaine dernière, nous avions mentionné des deux failles de sécurité activement utilisées pour réaliser le Jailbreak de l'Apple iOS à distance, l'une permettant de s'introduire dans le système par le biais d'un document au format PDF spécialement construit et l'autre permettant d'élever ses privilèges. Comme nous l'avions écrit, ces vulnérabilités sont critiques et pourraient être exploitées par des codes malveillants (voir l'alerte CERTA-2010-ALE-011).

Apple a corrigé cette semaine ces deux vulnérabilités, l'avis du CERTA correspondant est référencé CERTA-2010-AVI-380. Le CERTA recommande vivement de mettre à jour les appareils fonctionant sous iOS. Cette mise à jour est manuelle, et peut être faite par le biais d'un ordinateur équipé du logiciel iTunes.

4 Rappel des avis émis

Dans la période du 06 août 2010 au 12 août 2010, le CERTA a émis les avis suivants :

• CERTA-2010-AVI-356 : Vulnérabilités dans IBM Tivoli Directory Server
• CERTA-2010-AVI-357 : Multiples vulnérabilités dans Cisco Firewall Services Module
• CERTA-2010-AVI-358 : Vulnérabilités dans les produits Cisco ASA
• CERTA-2010-AVI-359 : Multiples vulnérabilités dans FreeType
• CERTA-2010-AVI-360 : Vulnérabilité dans Foxit Reader
• CERTA-2010-AVI-361 : Vulnérabilité dans wget
• CERTA-2010-AVI-362 : Vulnérabilités dans Bugzilla
• CERTA-2010-AVI-363 : Vulnérabilités dans le noyau Windows
• CERTA-2010-AVI-364 : Vulnérabilités de pilotes en mode noyau de Windows
• CERTA-2010-AVI-365 : Vulnérabilités dans SSL/TLS et Secure Channel de Windows
• CERTA-2010-AVI-366 : Vulnérabilité dans Windows Movie Maker
• CERTA-2010-AVI-367 : Vulnérabilité dans Microsoft XML Core Services
• CERTA-2010-AVI-368 : Vulnérabilité du Codec MicrosoftMPEG Layer-3
• CERTA-2010-AVI-369 : Multiples vulnérabilités dans Microsoft Internet Explorer
• CERTA-2010-AVI-370 : Multiples vulnérabilités dans le seveur SMB de Microsoft Windows
• CERTA-2010-AVI-371 : Vulnérabilité dans Microsoft Cinepak Codec
• CERTA-2010-AVI-372 : Multiples vulnérabilités dans Microsoft Office Word
• CERTA-2010-AVI-373 : Vulnérabilité dans Microsoft Excel
• CERTA-2010-AVI-374 : Vulnérabilités dans la pile TCP/IP de Microsoft Windows
• CERTA-2010-AVI-375 : Vulnérabilités dans la fonctionnalité de suivi de services sous Microsoft Windows
• CERTA-2010-AVI-376 : Vulnérabilités dans Microsoft NET Common Language Runtime et Microsoft Silverlight
• CERTA-2010-AVI-377 : Vulnérabilités dans Adobe AIR et Flash Player
• CERTA-2010-AVI-378 : Vulnérabilité dans ColdFusion
• CERTA-2010-AVI-379 : Vulnérabilités dans Adobe Flash Media Server
• CERTA-2010-AVI-380 : Multiples vulnérabilités dans Apple iOS

Durant la même période, les avis suivants ont été mis à jour :

• CERTA-2009-AVI-482-010 : Vulnérabilité du protocole SSL/TLS (ajout du bulletin de sécurité Microsoft)
• CERTA-2010-AVI-325-002 : Multiples vulnérabilités dans OpenLDAP (ajout des références aux bulletins de sécurité SuSE, Ubuntu et Debian)

Gestion détaillée du document

13 août 2010

version initiale.