30 avril Toulouse : Thales Roadshow 2024 : « Unlock your Cyber ! »

Abonnez-vous gratuitement à notre NEWSLETTER

Vulnérabilités

CERT-XMCO : Avis d’expert : semaine du 31 mai au 6 juin 2010

juin 2010 par CERT-XMCO

– Date : 08 Juin 2010

– Gravité : Elevée

– Description : Chaque semaine, les consultants du service de veille synthétisent et analysent les faits marquants de la semaine :

* Avis d’expert : Cette semaine, Adobe a publié un bulletin d’alerte (0-day) pour son lecteur Flash et la suite Acrobat. Cette faille est actuellement exploitée sur Internet. Par ailleurs, une preuve de concept illustrant l’exploitation d’une faille Java liée au parseur MIDI a été publiée alors même que celle-ci a été récemment corrigée dans l’un des derniers bulletins de sécurité (JDK/JRE 6 Update 19) d’Oracle.

Le CERT-XMCO retient par ailleurs 3 évènements majeurs :
– La publication des correctifs Microsoft prévue le 9 juin ;
– La mise en accusation de plusieurs cybercriminels aux États-Unis ;
– Enfin, la mise à disposition gratuitement de l’application iCERT-XMCO durant le mois de juin.

* Résumé des évènements majeurs :

– Vulnérabilité :

Cette semaine, Microsoft a annoncé la publication de 10 bulletins de sécurité dans le cadre de son "Patch Tuesday" du mois de juin [1]. Six d’entre eux (dont deux "critiques") concernent Windows, deux autres bulletins jugés "importants" concernent Office, et un autre affectant simultanément Windows et Office est également jugé "important". Enfin, un dernier bulletin "critique" concerne Internet Explorer. Dans le lot, deux vulnérabilités publiques (XSS dans Sharepoint [2], et fuite d’information via Internet Explorer [3]) seront corrigées.

De son côté, Adobe a publié en fin de semaine une alerte (APSA10-01) [4] pour ses logiciels Flash Player, Adobe Reader et Adobe Acrobat. L’exploitation d’une faille de sécurité au sein du lecteur Flash permet à des pirates de compromettre un système. D’après Adobe, cette faille serait massivement exploitée par les cybercriminels. D’après la société VUPEN, la faille de sécurité (0-day) aurait été découverte il y a 6 mois par l’un de ses chercheurs qui aurait immédiatement alerté l’éditeur américain. Un délai de correction surement trop long pour un logiciel aussi critique... Néanmoins, aucun exploit n’a été rendu public pour le moment.

De son côté, un chercheur a publié une preuve de concept [5] permettant d’exploiter une des failles présentées dans le bulletin de sécurité d’Oracle du mois de mars (Update 19 de Java JRE/JDK 6) [5bis]. La faille en question affecte le parseur MIDI. L’exploit se présente sous la forme d’un applet Java et est donc exploitable sur tous les navigateurs dotés du plug-in Java, et ce, indépendamment du système d’exploitation. Le CERT-XMCO recommande donc à tous les utilisateurs d’installer la dernière version de Java (JRE/JDK 6 Upade 20) [5ter] si cela n’a pas déjà été fait.

– Cybercriminalité/attaques :

Les premiers rootkits pour Androïd ont été diffusés [6]. L’envoi d’un simple SMS ou un appel téléphonique permettrait à un pirate d’obtenir discrètement un accès à distance à un smartphone. D’autre part, après HTC, c’est au tour de Samsung de livrer des cartes mémoire avec un malware embarqué. La société s’est excusée, et a précisé que seul le marché allemand aurait été touché...

– Entreprise/juridique :

Avec l’objectif d’augmenter son niveau de sécurité, Google a annoncé migrer son environnement de travail Microsoft vers un environnement Apple/Unix [7]. Depuis janvier, les nouvelles recrues du géant de la recherche se verraient offrir le choix entre un poste Apple équipé de Mac OS X, et un PC équipé d’un système GNU/Linux. Microsoft a vivement réagi à cette annonce en donnant sa vision de l’attaque "Aurora" et des sécurités actuellement intégrées à son environnement de travail [8].

Dans le même temps, Microsoft a annoncé avoir aidé le département de la justice américain ainsi que le FBI à réunir des preuves permettant de mettre en place un mandat d’accusation contre trois cybercriminels pour avoir participé à une attaque massive [9]. Parmi ces trois personnes, deux sont de nationalité américaine. La troisième est suédoise. Le QG serait lui situé en Ukraine. Cet exemple montre bien le niveau auquel il faut travailler pour s’attaquer aux cybercriminels : multiples nationalités, multiples lieux de résidence, multiples juridictions, multiples lieux d’action et de modes opératoires... Travailler au seul niveau national pour lutter contre la cybercriminalité est simplement impossible.

Enfin, XMCO Partners souhaite rappeler que son application de veille pour iPhone iCERT-XMCO est disponible gratuitement sur l’App Store [10] d’Apple pendant le mois de juin. Cette application vous permettra de suivre de manière régulière la publication de nouvelles vulnérabilités logicielles, les alertes, les attaques ainsi que plus largement l’actualité de la sécurité informatique.
N’hésitez pas à nous faire parvenir vos commentaires et vos suggestions pour les prochaines mises à jour !

Vous pouvez dorénavant suivre le CERT-XMCO sur Twitter :
http://twitter.com/certxmco

– Référence :

[1]
http://www.xmcopartners.com/veille/client/index.xmco?nv=CXA-2010-0693

http://www.microsoft.com/technet/security/bulletin/ms10-jun.mspx

[2]
http://www.xmcopartners.com/veille/client/index.xmco?nv=CXA-2010-0524

http://www.microsoft.com/technet/security/advisory/983438.mspx

[3]
http://www.xmcopartners.com/veille/client/index.xmco?nv=1265277537

http://www.microsoft.com/technet/security/advisory/980088.mspx

[4]
http://www.xmcopartners.com/veille/client/index.xmco?nv=CXA-2010-0701

http://www.adobe.com/support/security/advisories/apsa10-01.html

[5]
http://www.xmcopartners.com/veille/client/index.xmco?nv=CXA-2010-0685

[5bis]
http://www.xmcopartners.com/veille/client/index.xmco?nv=CXA-2010-0388