30 avril Toulouse : Thales Roadshow 2024 : « Unlock your Cyber ! »

Abonnez-vous gratuitement à notre NEWSLETTER

Vulnérabilités

CERT-XMCO : Avis d’expert, semaine du 6 au 12 décembre

décembre 2010 par CERT-XMCO

- Date : 14 Decembre 2010

- Gravité : Moyenne

- Description :
Chaque semaine, les consultants du service de veille synthétisent et analysent les faits marquants de la semaine :

* Avis d’expert :
Le CERT-XMCO recommande l’installation des dernières versions des logiciels VMware ESX Server [1], Firefox [2], Thunderbird [3], et Exim [4]. La vulnérabilité relative à Exim est actuellement exploitée [5] sur Internet.

* Résumé des évènements majeurs :

- Vulnérabilités :
Une nouvelle vulnérabilité au sein d’Internet Explorer [6] 6, 7 et 8 a été découverte. Celle-ci est liée à la gestion des "import" en CSS et peut être utilisée afin de compromettre un système [7]. Cependant, seule une preuve de concept permettant de provoquer un déni de service est actuellement disponible [8].

- Correctifs :
Mozilla [9] et VMware [10] ont publié de nouvelles versions de leurs logiciels Firefox [2], Thunderbird [3] et VMware ESX Server [1].

- Exploits :
Un code d’exploitation ciblant une vulnérabilité du serveur mail Exim découverte il y a plus de 2 ans a été publié. La faille permet de compromettre un serveur en envoyant un mail spécialement conçu [5].

- Cybercriminalité / Attaques :

Le magazine Forbes a récemment découvert que certains sites internet espionnaient leurs visiteurs [11]. Plus précisément, environ 50 sites utiliseraient des scripts JavaScript afin de savoir si un internaute a déjà visité d’autres sites "concurrents".

Les forces de l’ordre russes ont arrêté quatre cybercriminels impliqués dans la compromission de l’ensemble des distributeurs automatiques de billets d’une petite ville de 200 000 habitants [12].

- Conférence / Recherche :

Un chercheur a annoncé avoir réussi à mettre en place l’ASLR au sein de l’iOS sur les iPhones "jailbreakés" [13]. De son côté, Apple ne souhaite toujours pas implémenter cette protection pour son OS mobile. (Mac OS "Leopard" et "Snow Leopard" n’intègrent que partiellement cette protection)

- Entreprises :

Microsoft [14] a annoncé la date de publication de son "Patch Tuesday" du mois de décembre. Le 14 décembre prochain, 17 bulletins corrigeront 40 vulnérabilités, parmi lesquelles la dernière faille 0day exploitée par Stuxnet (élévation de privilèges via le planificateur de tâche [15]), ainsi que celle présente au sein d’Internet Explorer (attribut "clip" [16]). Des codes d’exploitations sont disponibles sur Internet pour ces deux failles.

Microsoft [17] a annoncé l’arrivée d’une nouvelle fonctionnalité dédiée à la protection de la vie privée des utilisateurs au sein de la prochaine version d’Internet Explorer (9). "Tracking Protection" fonctionne sur le même principe que l’extension Ad-Bloc de Firefox. Il s’agit d’un mécanisme permettant de bloquer certains contenus à partir de liste noire disponible sur Internet.

Une société a étudié le fonctionnement du racourciseur d’URL proposé par McAfee [18]. D’après leurs expériences, McAfee proposerait un service qui vérifie uniquement si un site héberge des fichiers malveillants. Or, de plus en plus d’attaques concernent le vol d’informations personnelles (phishing) et ce type de vérification n’est pas effectuée alors que cela est déjà mis en place par certains sites comme Facebook...

- International :

Wikileaks a fait la une de nombreuses sources d’informations de cette semaine. Après avoir publié quelques-uns des 250 000 "câbles" diplomatiques obtenus, le site a subi de nombreuses attaques de déni de service [19]. Son fondateur, Julian Assange a été arrêté au Royaume-Uni dans le cadre d’une affaire de viol en Suède [20]. Il est actuellement incarcéré à Londres en attendant un jugement d’ici plusieurs semaines. Des "hacktivistes" s’en sont alors pris à différentes sociétés tels que PayPal [21], Mastercard [22], ou encore Visa pour avoir mis en place des mesures répressives sans attendre de jugement. Selon de nombreuses rumeurs, les États-Unis seraient responsables de toutes ces péripéties et chercheraient à faire extrader Assange vers les USA pour pouvoir l’y juger. La France, ainsi que bon nombre d’états occidentaux ont voulu faire pression pour museler le site. De nombreux internautes ont réagi en fournissant des redirections DNS vers les adresses IP des serveurs, ainsi qu’en mettant en place des miroirs de Wikileaks. D’un autre côté, plusieurs voix se sont élevées contre Wikileaks. Parmi celles-ci, plusieurs proches d’Assange accusent Wikileaks de chercher à tirer des profits de ces révélations [23]. Un jeune néerlandais a enfin été arrêté pour avoir participé aux attaques de déni de service contre plusieurs sociétés [24]. Le site serait depuis hébergé en Russie par un hébergeur "bulletproof" capable de résister à des attaques informatiques, voire juridiques.

La NASA a révélé que 10 ordinateurs utilisés dans le cadre de son programme spatial ont été vendus au public [25]. Les disques durs n’ont pas été formatés alors qu’ils contenaient des informations sensibles.

- XMCO :

Le cabinet XMCO est à la recherche d’un stagiaire pour janvier 2011 :
http://www.xmcopartners.com/stage-fr.html

L’application iCERT-XMCO pour iPad est, maintenant, disponible :
http://itunes.apple.com/fr/app/icert-xmco/id365470210?mt=8

Enfin, nous vous rappelons que vous pouvez suivre l’actualité de la sécurité en retrouvant le CERT-XMCO sur Twitter :
http://twitter.com/certxmco

- Références :

[1]
http://seclists.org/fulldisclosure/2010/Dec/74

[2]
http://www.mozilla.org/security/known-vulnerabilities/firefox36.html#firefox3.6.13

[3]
http://www.mozilla.org/security/known-vulnerabilities/thunderbird31.html#thunderbird3.1.7

[4]
http://www.exim.org/lurker/message/20101207.215955.bb32d4f2.en.html

http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2010-4344

[5]
http://www.metasploit.com/redmine/projects/framework/repository/entry/modules/exploits/unix/smtp/exim4_string_format.rb?rev=11299

http://seclists.org/fulldisclosure/2010/Dec/222