– Date : 31 Mai 2010

– Gravité : Moyenne

– Description :

Chaque semaine, les consultants du service de veille synthétisent et analysent les faits marquants de la semaine :

* Avis d’expert :

Cette semaine, Oracle, VMware et Adobe ont publié de nouveaux correctifs.
D’autre part, le CERT-XMCO retient 3 évènements majeurs :

– La découverte d’une nouvelle méthode permettant de faire de "l’hameçonnage" (phishing) grâce aux onglets des navigateurs (Firefox, Safari, IE...) ;

– Le vol de millions d’identifiants (jeux en ligne et skyblogs) ;

– L’annonce par Microsoft de la mise en place de deux nouveaux programmes visant à aider les États à protéger leurs Systèmes d’Informations.

* Résumé des évènements majeurs :

– Vulnérabilité :

Cette semaine, Oracle, VMware et Adobe ont tous les trois publié des bulletins de sécurité.
Les exécutables "tar" et "cpio" sont mis à jour [1] au sein de Solaris afin de corriger une faille de sécurité importante permettant de prendre le contrôle d’un système.

VMware ESX(i) a également été mis à jours après [2] la découverte de multiples failles de sécurité.

Enfin, une nouvelle version d’Adobe Photoshop CS4 a été publiée par Adobe à la suite de la découverte de faille de sécurité critique [3] dans la gestion de certains types de fichiers. Nous attirons votre attention sur le fait que des preuves de concept permettant de compromettre un système ont été rendues publiques.

Par ailleurs, un chercheur aurait découvert une faille de sécurité [4] au sein de l’iPhone 3GS. Une connexion USB établie entre un iPhone et un système d’exploitation Ubuntu 10.4 permettrait de contourner le code de verrouillage et ainsi d’accéder en lecture/écriture à certains dossiers.

Un développeur de la société Mozilla a présenté une nouvelle technique permettant de mener des campagnes de phishing [5]. Cette attaque repose sur une mauvaise gestion des évènements JavaScript lors du changement d’onglets au sein des navigateurs (Firefox, Safari, IE8...). En contrôlant un site web, un pirate peut facilement piéger un utilisateur peu attentif et ainsi mener une attaque de phishing.

Parallèlement, un autre chercheur a rendu publique une preuve de concept [6] permettant à un pirate d’obtenir des informations personnelles via l’exploitation d’une faille dans le moteur javascript de Firefox.

– Cybercriminalité/attaques :

Skyrock a annoncé la perte de plus de 32 millions de mots de passe [7]. Un pirate aurait exploité une faille de sécurité afin de mettre la main sur une base de données contenant les identifiants des blogs "SkyBlog". Dans le même registre, une autre base de plus de 17 Go d’identifiants de jeux en ligne a été découverte par Symantec. L’utilisation conjointe du malware "Infostealer.Gampass" et "Trojan.Loginck" aurait permis de dérober 44 millions de comptes pouvant être revendus jusqu’à 10 euros sur les marchés "underground" [8].

– Entreprise/juridique :

Un responsable de Microsoft annonçait le lancement, dès cet été, de deux nouveaux programmes visant à aider les états à protéger leurs systèmes d’informations [9]. DISP (Defensive Information Sharing Program) permettra aux organismes étatiques d’accéder à des informations relatives aux vulnérabilités traitées par Microsoft avant la publication des correctifs. Quant au CIPP (Critical Infrastructure Partner Program), il permettra aux états d’obtenir des conseils personnalisés dans le domaine de la sécurisation des infrastructures critiques.

Après Symantec et Oracle, c’est au tour de McAfee d’annoncer le rachat vers la fin du mois de juin de Trust Digital [10]. Cette société, spécialisée dans la gestion d’un parc de smartphone, permettra à l’éditeur de solutions antivirales d’étendre la couverture offerte par ePolicy Orchestrator.

– Référence :

[1] http://www.xmcopartners.com/veille/client/index.xmco?nv=CXA-2010-0666

http://blogs.sun.com/security/entry/cve_2010_0624_heap_based

[2] http://www.xmcopartners.com/veille/client/index.xmco?nv=CXA-2010-0667
http://lists.vmware.com/pipermail/security-announce/2010/000093.html

[3] http://www.xmcopartners.com/veille/client/index.xmco?nv=CXA-2010-0661

http://www.adobe.com/support/security/bulletins/apsb10-13.html

[4] http://www.xmcopartners.com/veille/client/index.xmco?nv=CXA-2010-0669

http://marienfeldt.wordpress.com/2010/03/22/iphone-business-security-framework/

[5] http://www.xmcopartners.com/veille/client/index.xmco?nv=CXA-2010-0655

http://www.korben.info/tabjacking-phishing.html

[6] http://www.xmcopartners.com/veille/client/index.xmco?nv=CXA-2010-0665

http://soroush.secproject.com/blog/2010/05/cross-site-url-hijacking-by-using-error-object-in-mozilla-firefox/

[7]
http://www.xmcopartners.com/veille/client/index.xmco?nv=CXA-2010-0653
http://www.zataz.com/news/20256/skyrock--skyblog--piratage.html

[8] http://www.xmcopartners.com/veille/client/index.xmco?nv=CXA-2010-0668

http://www.symantec.com/connect/blogs/44-million-stolen-gaming-credentials-uncovered

[9] http://www.xmcopartners.com/veille/client/index.xmco?nv=CXA-2010-0652

http://blogs.technet.com/b/ecostrat/archive/2010/05/17/strengthening-the-security-cooperation-program.aspx

[10] http://www.xmcopartners.com/veille/client/index.xmco?nv=CXA-2010-0654

http://finance.yahoo.com/news/McAfee-Inc-to-Acquire-Trust-bw-3755087999.html?x=0&.v=1

– Correction :

Aucun correctif n’est actuellement disponible.