Objet: Bulletin d’actualité 2011-01

1 Vulnérabilités de la semaine

1.1 PHP et virgule flottante

Cette semaine, une vulnérabilité importante dans PHP a été corrigée. En effet, sous certaines conditions, le traitement d’une unique valeur en virgule flottante provoquait une boucle infinie entraînant un déni de service. La vulnérabilité intervenait lors de l’initialisation d’une variable avec une valeur représentée par une chaîne de caractères, cette représentation pouvant prendre plusieurs forme pour une même valeur (ex: « 10.2 », « 1.02E01 », « 102E-01 »…). L’exploitation de cette vulnérabilité est triviale, une simple requête de type GET peut suffire. Il est précisé sur le site de PHP que seules les plates-formes de type x86 en 32 bits seraient concernées par ce problème.

Le CERTA recommande bien sûr d’effectuer les mises à jour, en respect avec les processus de déploiement locaux.

2.1 Documentation

• Notes de mise à jour PHP :

  http://www.php.net/archive/2011.php
  

• Avis CERTA-2011-AVI-003 à propos de PHP du 07 janvier 2011:

  http://www.certa.ssi.gouv.fr/site/CERTA-2011-AVI-003/index.html
  

1.2 Rendu graphique des miniatures dans Windows

Cette semaine le CERTA a publié sa première alerte de l’année, CERTA-2011-ALE-001, à propos d’une vulnérabilité lors du rendu graphique des miniatures dans Windows. Elle concerne les systèmes Windows XP SP2/SP3, Windows Server 2003 SP2, Windows Vista SP1/SP2 et Windows Server 2008 SP2. Microsoft recommande comme moyen de contournement provisoire de limiter les droits de la bibliothèque en charge du rendu (CF. Alertes CERTA et Microsoft). Des exemples de code d’exploitation de cette vulnérabilité sont d’ores et déjà recensés sur l’Internet.

Microsoft précise que cette vulnérabilité, ainsi que celle du 23 décembre 2010 (CERTA-2010-ALE-021) concernant Internet Explorer, ne seront pas corrigées avec les mises à jour du mois de janvier.

Le CERTA recommande l’application, si possible, des moyens de contournements, le respect des bonnes pratiques en matière de SSI, et au besoin, l’utilisation de logiciels alternatifs.

Documentation

• Alerte CERTA-2010-ALE-021 du 23 décembre 2010:

  http://www.certa.ssi.gouv.fr/site/CERTA-2010-ALE-023/index.html
  

• Alerte CERTA-2011-ALE-001 du 05 janvier 2011:

  http://www.certa.ssi.gouv.fr/site/CERTA-2011-ALE-001/index.html
  

• Pré annonce des correctifs Microsoft pour le mois de janvier :

  http://blogs.technet.com/b/msrc/archive/2011/01/06/advance-notification-service-for-the-january-2011-security-bulletin-release.aspx
  

2 Contournement des sandbox de sécurité dans Flash Player

Flash Player utilise un mécanisme de bac à sable (sandbox) afin de cloisonner les interactions entre les fichiers locaux et le réseau. Ce mécanisme n’est pas à confondre avec la sandbox du plugin flash dans chrome évoqué dans CERTA-2010-ACT-048.

Flash Player assigne les fichiers SWF (ShockWave Flash) à des sandbox de sécurité différentes, selon leur origine. Les fichiers consultés depuis l’Internet sont ainsi assignés à des sandbox séparées correspondantes à leurs sites Web d’origine. Ces fichiers ne sont pas autorisés à charger des ressources ou fichiers locaux.

Les fichiers SWF locaux sont, quant à eux, par défaut placés dans la sandbox local-with-file-system. Ils sont alors autorisés à lire des fichiers locaux mais ne peuvent pas communiquer avec le réseau. Cette politique de sécurité est mise en place afin d’éviter qu’un fichier SWF malveillant soit utilisé pour faire de l’exfiltration de documents.

Un chercheur a découvert un moyen contourner cette restriction en permettant à un fichier, assigné à la sandbox local-with-file-system, d’envoyer des données sur le réseau. La prévention de l’accès au réseau est réalisée par un mécanisme de liste noire de gestionnaires de protocoles. En utilisant le gestionnaire de protocole MHTML qui n’est pas dans cette liste la prévention est contournée et des fichiers peuvent être envoyés sur le réseau. Ce gestionnaire de protocole est présent par défaut sous Windows 7.

Le CERTA rappelle que les différentes protections misent en place par cette technologie (blasklist, sandbox…), restent contournables et ne sont que des éléments constitutifs d’une défense en profondeur du SI.

2.1 Documentation

• Les différentes sandbox de sécurité dans Flash Player

  http://help.adobe.com/en_US/ActionScript/3.0_ProgrammingAS3/WS5b3ccc516d4fbf351e63e3d118a9b90204-7e3f.html
  

Rappel des avis émis

Dans la période du 27 décembre 2010 au 02 janvier 2011, le CERT-FR a émis les publications suivantes :

• CERTA-2010-AVI-634 : Vulnérabilité dans Pidgin
• CERTA-2010-AVI-635-001 : Vulnérabilités dans Django
• CERTA-2010-AVI-636 : Vulnérabilité dans IBM WebSphere Registry and Repository
• CERTA-2010-AVI-637 : Vulnérabilité dans IBM Tivoli Access Manager for e-business
• CERTA-2010-AVI-638 : Multiples vulnérabilités dans WordPress
• CERTA-2010-AVI-639 : Vulnérabilité dans VLC Media Player