Marianne ANSSI

CERTA

Centre d'Expertise Gouvernemental de
Réponse et de Traitement des Attaques informatiques
liseret droit
Contact

Contacter le CERTA

Contact us ( Drapeau anglais )

A propos du site

 
Recherche

Rechercher sur le site

 
Les documents du CERTA

Page d'accueil

Les alertes en cours

Les bulletins d'actualité

Les notes d'information

Année en cours

 
Les Flux RSS du CERTA

Flux RSS complet

RSS

Flux RSS des alertes

RSS

 
Informations utiles

Que faire en cas d'intrusion ?

Les mémentos du CERTA

Les systèmes obsolètes

 
CERTA-2011-ACT-001

Imprimer ce document

Version PDF

A propos du CERTA

L'ANSSI

Le CERTA

Les CERT

Le FIRST

L'EGC

Liens utiles

 
Archives du CERTA

Année 2012

Année 2011

Année 2010

Année 2009

Année 2008

Année 2007

Année 2006

Année 2005

Année 2004

Année 2003

Année 2002

Année 2001

Année 2000

 


S . G . D . S . N
Agence nationale
de la sécurité des
systèmes d'information

 République Française Paris, le 07 janvier 2011
No CERTA-2011-ACT-001

Affaire suivie par :

CERTA

Objet : Bulletin d'actualité 2011-01

Conditions d'utilisation de ce document : http://www.certa.ssi.gouv.fr/certa/apropos.html
Dernière version de ce document : http://www.certa.ssi.gouv.fr/site/CERTA-2011-ACT-001

Gestion du document

Le bulletin d'actualité est disponible dans son intégralité et au format PDF à l'adresse suivante :

http://www.certa.ssi.gouv.fr/site/CERTA-2011-ACT-001.pdf

Un extrait du bulletin, ne reprenant que les articles de la semaine, se trouve en HTML à l'adresse suivante :

http://www.certa.ssi.gouv.fr/site/CERTA-2011-ACT-001/

1 Vulnérabilités de la semaine

1.1 PHP et virgule flottante

Cette semaine, une vulnérabilité importante dans PHP a été corrigée. En effet, sous certaines conditions, le traitement d'une unique valeur en virgule flottante provoquait une boucle infinie entraînant un déni de service. La vulnérabilité intervenait lors de l'initialisation d'une variable avec une valeur représentée par une chaîne de caractères, cette représentation pouvant prendre plusieurs forme pour une même valeur (ex: « 10.2 », « 1.02E01 », « 102E-01 »...). L'exploitation de cette vulnérabilité est triviale, une simple requête de type GET peut suffire. Il est précisé sur le site de PHP que seules les plates-formes de type x86 en 32 bits seraient concernées par ce problème.

Le CERTA recommande bien sûr d'effectuer les mises à jour, en respect avec les processus de déploiement locaux.

2.1 Documentation

1.2 Rendu graphique des miniatures dans Windows

Cette semaine le CERTA a publié sa première alerte de l'année, CERTA-2011-ALE-001, à propos d'une vulnérabilité lors du rendu graphique des miniatures dans Windows. Elle concerne les systèmes Windows XP SP2/SP3, Windows Server 2003 SP2, Windows Vista SP1/SP2 et Windows Server 2008 SP2. Microsoft recommande comme moyen de contournement provisoire de limiter les droits de la bibliothèque en charge du rendu (CF. Alertes CERTA et Microsoft). Des exemples de code d'exploitation de cette vulnérabilité sont d'ores et déjà recensés sur l'Internet.

Microsoft précise que cette vulnérabilité, ainsi que celle du 23 décembre 2010 (CERTA-2010-ALE-021) concernant Internet Explorer, ne seront pas corrigées avec les mises à jour du mois de janvier.

Le CERTA recommande l'application, si possible, des moyens de contournements, le respect des bonnes pratiques en matière de SSI, et au besoin, l'utilisation de logiciels alternatifs.

Documentation

2 Contournement des sandbox de sécurité dans Flash Player

Flash Player utilise un mécanisme de bac à sable (sandbox) afin de cloisonner les interactions entre les fichiers locaux et le réseau. Ce mécanisme n'est pas à confondre avec la sandbox du plugin flash dans chrome évoqué dans CERTA-2010-ACT-048.

Flash Player assigne les fichiers SWF (ShockWave Flash) à des sandbox de sécurité différentes, selon leur origine. Les fichiers consultés depuis l'Internet sont ainsi assignés à des sandbox séparées correspondantes à leurs sites Web d'origine. Ces fichiers ne sont pas autorisés à charger des ressources ou fichiers locaux.

Les fichiers SWF locaux sont, quant à eux, par défaut placés dans la sandbox local-with-file-system. Ils sont alors autorisés à lire des fichiers locaux mais ne peuvent pas communiquer avec le réseau. Cette politique de sécurité est mise en place afin d'éviter qu'un fichier SWF malveillant soit utilisé pour faire de l'exfiltration de documents.

Un chercheur a découvert un moyen contourner cette restriction en permettant à un fichier, assigné à la sandbox local-with-file-system, d'envoyer des données sur le réseau. La prévention de l'accès au réseau est réalisée par un mécanisme de liste noire de gestionnaires de protocoles. En utilisant le gestionnaire de protocole MHTML qui n'est pas dans cette liste la prévention est contournée et des fichiers peuvent être envoyés sur le réseau. Ce gestionnaire de protocole est présent par défaut sous Windows 7.

Le CERTA rappelle que les différentes protections misent en place par cette technologie (blasklist, sandbox...), restent contournables et ne sont que des éléments constitutifs d'une défense en profondeur du SI.

2.1 Documentation


3 Rappel des avis émis

Dans la période du 31 décembre 2010 au 06 janvier 2011, le CERTA a émis les avis suivants :

  • CERTA-2010-AVI-638 : Multiples vulnérabilités dans WordPress
  • CERTA-2010-AVI-639 : Vulnérabilité dans VLC Media Player
  • CERTA-2011-AVI-001 : Vulnérabilité dans Wireshark
  • CERTA-2011-AVI-002 : Vulnérabilité dans HP Photo Creative

Durant la même période, les avis suivants ont été mis à jour :

  • CERTA-2010-AVI-612-001 : Vulnérabilités dans MantisBT (ajout des références aux bulletins Fedora et aux CVE)

Gestion détaillée du document

07 janvier 2011
version initiale.


CERTA
2012-01-04

liserest gauche
Premier Ministre / Secrétariat Général de la Défense et de la Sécurité Nationale / Agence nationale de la sécurité des systèmes d'information webmestre Dernière mise à jour : le 25/05/2012