– Date : 15 Juin 2010

– Gravité : Elevée

– Description :

Chaque semaine, les consultants du service de veille synthétisent et analysent les faits marquants de la semaine :

* Avis d’expert :

Cette semaine, le CERT-XMCO retient 4 évènements majeurs :
– Adobe a corrigé 32 vulnérabilités au sein de Flash Player dont la vulnérabilité critique "0-day" référencée CVE-2010-1297 ;
– Tavis Ormandy, chercheur chez Google, a découvert une vulnérabilité critique au sein de Windows (gestion des URL "hcp ://") et publié un code d’exploitation fonctionnel ;
– La publication de 10 correctifs Microsoft (Excel, Office, Noyau Windows, SharePoint, .NET, IIS, Internet Explorer...) ;
– Le SSTIC 2010 a tenu ses promesses avec des présentations toujours aussi intéressantes.

Le CERT-XMCO recommande vivement de mettre à jour Flash Player afin de parer les exploitations massives menées depuis quelques jours par des groupes de pirates.

* Résumé des évènements majeurs :

– Vulnérabilité :

Plusieurs correctifs critiques ont été publiés cette semaine.
Suite à l’exploitation d’une vulnérabilité critique [1] découverte au sein d’Adobe Reader, Acrobat et Flash Player, Adobe a publié le bulletin APSB10-14 [2]. Le lecteur Flash Player a été mis à jour, mais la vulnérabilité référencée CVE-2010-1297 [3] reste exploitable au sein des visionneuses PDF qui devraient également être mises à jour à la fin du mois de juin. Le CERT-XMCO recommande de rester vigilant lors de l’ouverture de fichiers PDF provenant de sources douteuses et incite les entreprises ainsi que les particuliers à mettre à jour rapidement Flash Player vers la version 10.1.53.64.

Le "Black tuesday" du mois de juin [4] a permis de corriger un grand nombre de vulnérabilités au sein des logiciels Microsoft avec la sortie de 10 correctifs. Le CERT-XMCO conseille d’installer les correctifs MS10-034 [5] (kill-bits), MS10-035 [6] (Internet Explorer) et MS10-033 [7] (Windows Media) qui corrigent des vulnérabilités exploitables principalement sur des postes de travail.

– Conférences :

La conférence annuelle du SSTIC s’est déroulée du 9 au 11 juin dans la bonne humeur. Comme chaque année les conférences concernaient la sécurité de domaines variés (santé, cyberdéfense, hardware, GSM...) et étaient très intéressantes [8]. Un compte rendu de ces conférences sera présent dans le prochain numéro de l’ActuSécu.

– Cybercriminalité/attaques :

Une attaque massive a été menée en fin de semaine à l’encontre des serveurs web IIS/ASP [9]. Plus de 100 000 sites différents ont ainsi été compromis via une attaque d’injection SQL. Les pirates ont ainsi inséré une iframe pointant vers le site "http://ww.robint.us/u.js".

La faille Java "Launch()" corrigée en avril [10] revient sur le devant de la scène. De nombreux applets malicieux exploitant la vulnérabilité référencée CVE-2010-0886 [11] ont été identifiés sur plusieurs sites malveillants.

Les attaques de phishing/spam se sont amplifiées cette semaine. Twitter a été la première cible. Des millions d’emails d’alerte sur des attaques de force brute ont été envoyés à de nombreux utilisateurs de ce site de microblogging afin d’inciter à installer un logiciel de sécurité qui s’avère être un cheval de Troie. Les spammeurs continuent d’inonder nos boîtes aux lettres d’emails contenant des liens vers des sites d’achat de médicaments.

– Entreprise/juridique :
Après la sortie de l’iPad, AT&T a colmaté une brèche ayant permis la fuite de plus de 114 000 adresses emails d’utilisateurs du produit d’Apple [12].

Vous pouvez dorénavant suivre le CERT-XMCO sur Twitter :
http://twitter.com/certxmco

– Référence :

[1] http://www.xmcopartners.com/veille/client/index.xmco?nv=CXA-2010-0701

http://www.adobe.com/support/security/advisories/apsa10-01.html

[2] http://www.xmcopartners.com/veille/client/index.xmco?nv=CXA-2010-0734

http://www.adobe.com/support/security/bulletins/apsb10-14.html

[3] http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2010-1297

[4] http://www.xmcopartners.com/veille/client/index.xmco?nv=CXA-2010-0693

http://www.microsoft.com/technet/security/bulletin/ms10-jun.mspx

[5] http://www.xmcopartners.com/veille/client/index.xmco?nv=CXA-2010-0716

http://www.microsoft.com/france/technet/security/bulletin/ms10-034.mspx

[6] http://www.xmcopartners.com/veille/client/index.xmco?nv=CXA-2010-0719

http://www.microsoft.com/france/technet/security/bulletin/ms10-035.mspx

[7] http://www.xmcopartners.com/veille/client/index.xmco?nv=CXA-2010-0714

http://www.microsoft.com/france/technet/security/bulletin/ms10-033.mspx

[8] http://www.sstic.org/2010/actes/

[9] http://www.xmcopartners.com/veille/client/index.xmco?nv=CXA-2010-0732

http://isc.sans.edu/diary.html?storyid=8935&rss

[10] http://www.xmcopartners.com/veille/client/index.xmco?nv=CXA-2010-0727

http://www.sophos.com/blogs/sophoslabs/?p=9974

http://www.xmcopartners.com/veille/client/index.xmco?nv=CXA-2010-0432

http://archives.neohapsis.com/archives/fulldisclosure/2010-04/0122.html

[11] http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2010-0886

[12] http://www.xmcopartners.com/veille/client/index.xmco?nv=CXA-2010-0726

http://gawker.com/5559346/

– Référence CVE :

http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2010-1297

http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2010-0886

– Lien extranet XMCO Partners :
http://xmcopartners.com/veille/client/index.xmco?nv=CXA-2010-0745