Global Security Mag Online

McAfee : une nouvelle diffusion massive d'un vers frappe Internet

McAfee — 2010-09-10T12:58:43Z

Le vers « Here You Have » déferle dans les messageries depuis le jeudi 9 septembre 2010. Cette menace arrive par e-mail et contient un lien semblant pointer vers un fichier pdf, celui-ci redirige en réalité l'utilisateur vers un programme malveillant. McAfee classe ce risque comme « moyen ».

En cliquant sur le lien, l'utilisateur active la partie malware du vers qui tente de désactiver les logiciels de sécurité, avant de s'envoyer à tous les contacts de son carnet d'adresses. Ceci a pour conséquence de paralyser les infrastructures des entreprises lors du chargement de l'e-mail. Ces messages infectieux peuvent revêtir différentes formes, ils font croire à l'utilisateur qu'ils proviennent d'un contact qu'il connait, le message le plus fréquent ressemble à ce modèle :

Subject : Here you have

Body : This is The Document I told you about, you can find it Here. [link] Please check it and reply as soon as possible.

Cheers,

Le lien inséré dans le mail pointe en réalité vers un fichier « .scr ». Les utilisateurs doivent impérativement supprimer ce message et ne surtout pas cliquer sur le lien. Dans l'après-midi du 9 septembre (heure Pacifique), le lien malicieux n'était plus actif.

McAfee recommande aux entreprises de filtrer cette URL au niveau de leurs passerelles de sécurité et serveurs de messagerie, mais également de bloquer le processus de création de fichiers « .scr » au niveau de leurs systèmes.

McAfee continue d'enquêter au sujet de cette menace, de plus amples informations seront disponibles sur le blog de McAfee Labs à l'adresse : http://www.avertlabs.com/research/blog/

Vigil@nce : Noyau Linux, déni de service via keyctl (KEYCTL_SESSION_TO_PARENT)

Vigil@nce — 2010-09-10T10:50:29Z

Ce bulletin a été rédigé par Vigil@nce : http://vigilance.fr/

SYNTHÈSE DE LA VULNÉRABILITÉ

Un attaquant peut utiliser keyctl(KEYCTL_SESSION_TO_PARENT) afin de stopper le noyau.

Gravité : 2/4
Date création : 03/09/2010

DESCRIPTION DE LA VULNÉRABILITÉ

La fonction keyctl_session_to_parent() du fichier security/keys/keyctl.c gère l'appel système KEYCTL_SESSION_TO_PARENT. Elle permet à un processus de passer à son père son keyring.

Lors du passage de keyring, un certain nombre de vérifications sont effectuées. Cependant, si le père n'a pas de keyring, un pointeur NULL est déréférencé, stoppant ainsi le noyau.

Un attaquant peut alors utiliser keyctl(KEYCTL_SESSION_TO_PARENT) afin de stopper le noyau.

ACCÈS AU BULLETIN VIGIL@NCE COMPLET

http://vigilance.fr/vulnerabilite/N...

Vigil@nce : HP Operations Agent, deux vulnérabilités

Vigil@nce — 2010-09-09T17:43:54Z

Ce bulletin a été rédigé par Vigil@nce : http://vigilance.fr/

SYNTHÈSE DE LA VULNÉRABILITÉ Deux vulnérabilités de HP Operations Agent sous Windows permettent à un attaquant d'élever ses privilège ou exécuter du code.

Gravité : 2/4
Date création : 02/09/2010

DESCRIPTION DE LA VULNÉRABILITÉ Deux vulnérabilités ont été annoncées dans HP Operations Agent.

Une vulnérabilité non spécifiée existe dans HP Operations Agent permettant a un attaquant local d'élever ses privilèges. [grav:1/4]

Une vulnérabilité non spécifiée existe dans HP Operations Agent permettant a un attaquant d'exécuter du code. [grav:2/4]

ACCÈS AU BULLETIN VIGIL@NCE COMPLET http://vigilance.fr/vulnerabilite/H...

Vigil@nce : phpMyAdmin, Cross Site Scripting via backtrace

Vigil@nce — 2010-09-09T14:45:24Z

Ce bulletin a été rédigé par Vigil@nce : http://vigilance.fr/

SYNTHÈSE DE LA VULNÉRABILITÉ

Un attaquant peut employer la fonctionnalité backtrace pour provoquer un Cross Site Scripting dans phpMyAdmin.

Gravité : 2/4
Date création : 02/09/2010

DESCRIPTION DE LA VULNÉRABILITÉ

Le serveur phpMyAdmin permet d'administrer une base de données MySQL via un navigateur web.

La page Error.class.php vérifie incorrectement les données passées par URL.

Un attaquant peut donc employer la fonctionnalité backtrace pour provoquer un Cross Site Scripting dans phpMyAdmin.

ACCÈS AU BULLETIN VIGIL@NCE COMPLET

http://vigilance.fr/vulnerabilite/p...

CERT-XMCO : compromission d'un système implémentant Adobe Reader lors de l'ouverture d'un fichier PDF malicieux (APSA10-02)

CERT-XMCO — 2010-09-09T11:19:43Z

- Date : 08 Septembre 2010

- Plateforme : Windows

- Programme : Adobe Reader

- Gravité : Urgente

- Exploitation : Avec un fichier malicieux

- Dommage : Accès au système

- Description : Une vulnérabilité "0-day" a été découverte au sein du logiciel Adobe Reader et Acrobat. Adobe vient de réagir en publiant l'alerte APSA10-02. L'exploitation de cette vulnérabilité permettrait de compromettre un système implémentant les dernières versions de la visionneuse PDF.

Selon les premières informations disponibles, la vulnérabilité serait liée à une erreur lors du traitement de la table "SING", et plus précisément du champ "uniqueName", d'une police d'écriture TrueType par une fonction de la librairie "CoolType.dll". En incitant un utilisateur à ouvrir un PDF malicieux, un pirate pourrait provoquer un débordement de tas et prendre le contrôle du système ciblé.

La vulnérabilité est activement exploitée et a été découverte lors d'une attaque de Phishing utilisant le sujet "David Leadbetter's One Point Lesson". De plus, un exploit est disponible au sein du framework Metasploit (voir CXA-2010-1151).

- Vulnérable :
* Adobe Reader 8.2.4
* Adobe Reader 9.3.4

Les versions antérieures seraient également vulnérables.

- Référence :

http://www.adobe.com/support/securi...

http://contagiodump.blogspot.com/20...

https://cert.xmco.fr/veille/client/...

- Référence CVE :

http://cve.mitre.org/cgi-bin/cvenam...

- Correction :

Aucun correctif n'est actuellement disponible.

- Lien extranet XMCO Partners :

http://xmcopartners.com/veille/clie...

Avis du CERTA : CERTA-2010-ALE-014 : Vulnérabilité dans Adobe Reader et Adobe Acrobat

CERTA — 2010-09-09T00:00:00Z

- Vulnérabilités

Avis du CERTA : CERTA-2010-AVI-425 : Vulnérabilité dans RSA Access Manager Agent

CERTA — 2010-09-09T00:00:00Z

- Vulnérabilités

Avis du CERTA : CERTA-2010-AVI-424 : Vulnérabilité dans RSA Access Manager Server

CERTA — 2010-09-09T00:00:00Z

- Vulnérabilités

Avis du CERTA : CERTA-2010-AVI-423 : Multiples vulnérabilités dans Apple iOS

CERTA — 2010-09-09T00:00:00Z

- Vulnérabilités

Vigil@nce : Noyau Linux, déni de service via irda_bind

Vigil@nce — 2010-09-08T15:41:12Z

Ce bulletin a été rédigé par Vigil@nce : http://vigilance.fr/

SYNTHÈSE DE LA VULNÉRABILITÉ

Un attaquant peut utiliser irda_bind() afin de stopper le noyau.

Gravité : 2/4
Date création : 01/09/2010

DESCRIPTION DE LA VULNÉRABILITÉ

La fonction irda_bind() du fichier net/irda/af_irda.c associe une socket AF_IRDA à un point de communication.

Lorsque la fonction irda_bind() est appelée, la fonction irda_open_tsap() du fichier net/irda/af_irda.c est utilisée pour ouvrir un point de communication. Cependant, lorsque irda_open_tsap() échoue, irda_bind() libère incorrectement les ressources allouées. Lorsque la socket plus tard est détruite, un pointeur NULL est déréférencé stoppant ainsi le noyau.

Un attaquant peut donc utiliser irda_bind() de nombreuses fois afin de stopper le noyau.

ACCÈS AU BULLETIN VIGIL@NCE COMPLET

http://vigilance.fr/vulnerabilite/N...

Vigil@nce : NetWare 6.5, buffer overflow de SSHD.NLM

Vigil@nce — 2010-09-08T09:49:17Z

Ce bulletin a été rédigé par Vigil@nce : http://vigilance.fr/

SYNTHÈSE DE LA VULNÉRABILITÉ

Un attaquant authentifié peut provoquer un buffer overflow dans le service SSHD de Netware, afin de mener un déni de service, et éventuellement de faire exécuter du code.

Gravité : 2/4
Date création : 01/09/2010

DESCRIPTION DE LA VULNÉRABILITÉ

Le module SSHD.NLM implémente le service SSH pour Novell Netware.

Les commandes SCP et SFTP permettent de faire du transfert de fichier via SSH. Cependant, SSHD.NLM ne vérifie pas la taille des chemins, ce qui provoque un buffer overflow.

Un attaquant authentifié peut donc provoquer un buffer overflow dans le service SSHD de Netware, afin de mener un déni de service, et éventuellement de faire exécuter du code.

ACCÈS AU BULLETIN VIGIL@NCE COMPLET

http://vigilance.fr/vulnerabilite/N...

Vigil@nce : Noyau Linux, fuite de mémoire via xfs_ioc_fsgetxattr

Vigil@nce — 2010-09-08T09:46:45Z

Ce bulletin a été rédigé par Vigil@nce : http://vigilance.fr/

SYNTHÈSE DE LA VULNÉRABILITÉ

Un attaquant peut utiliser l'IOCTL XFS_IOC_FSGETXATTR du pilote XFS afin de lire des données du noyau.

Gravité : 1/4
Date création : 07/09/2010

DESCRIPTION DE LA VULNÉRABILITÉ

La fonction xfs_ioc_fsgetxattr() du fichier fs/xfs/linux-2.6/xfs_ioctl.c gère l'IOCTL XFS_IOC_FSGETXATTR permettant d'obtenir les attributs étendus d'un fichier sur un système de fichier XFS.

La fonction copy_to_user() copie un bloc de mémoire noyau dans un bloc de mémoire utilisateur.

La fonction xfs_ioc_fsgetxattr() utilise une structure locale initialisée avec différentes informations. Cette structure est ensuite copiée dans un tampon fourni par l'appelant via un appel à la fonction copy_to_user(). Cependant, tous les champs de la structure locale ne sont pas initialisés. Plusieurs octets sont alors fui vers l'appelant.

Un attaquant peut alors utiliser l'IOCTL XFS_IOC_FSGETXATTR du pilote XFS afin de lire des données du noyau.

ACCÈS AU BULLETIN VIGIL@NCE COMPLET

http://vigilance.fr/vulnerabilite/N...

Avis du CERTA : CERTA-2010-AVI-421 : Vulnérabilités dans Apple Safari

CERTA — 2010-09-08T00:00:00Z

- Vulnérabilités

Avis du CERTA : CERTA-2010-AVI-420 : Multiples vulnérabilités dans Mozilla Firefox

CERTA — 2010-09-08T00:00:00Z

- Vulnérabilités

Avis du CERTA : CERTA-2010-AVI-419 : Multiples vulnérabilités dans Mozilla Thunderbird

CERTA — 2010-09-08T00:00:00Z

- Vulnérabilités