Rechercher
Contactez-nous Suivez-nous sur Twitter En francais English Language
 











Abonnez-vous gratuitement à notre NEWSLETTER

Newsletter FR

Newsletter EN

Vulnérabilités

Se désabonner

CERT-XMCO : Avis d’expert : semaine du 12 au 25 décembre

décembre 2011 par CERT-XMCO

 Date : 27 Decembre 2011

 Gravité : Elevée

 Description : Chaque semaine, les consultants du service de veille synthétisent et analysent les faits marquants de la semaine :

* Avis d’expert : À la suite de la publication par Microsoft et Adobe des nombreux correctifs dans le cadre de leurs cycles de sécurité, le CERT-XMCO recommande l’installation des correctifs MS11-087 [1] (Windows), MS11-092 [2] (Windows Media), MS11-090 [3] (Windows) et APSB11-30 [4] (Adobe Reader). Ce dernier correctif correspondrait à une faille de sécurité actuellement exploitée par les pirates dans le cadre d’attaque ciblée sur Internet.

Enfin, l’équipe responsable des aspects "sécurité" du logiciel TYPO3 [5] recommande l’installation de la dernière version du logiciel à la suite de la correction d’une faille de sécurité permettant de prendre le contrôle complet du système depuis Internet. Cette faille serait, elle aussi, activement exploitée par les pirates.

* Résumé des évènements majeurs :

 Vulnérabilités :

De nombreuses vulnérabilités ont été rendues publiques cette semaine. Parmi les logiciels concernés figurent Java [6], le noyau Linux [7] (pilot BATMAN, KVM et l’IOCTL "SG_IO"), IBM ECM [8] et DB2 [9], Novell Sentinel Log Manager [10], Windows 7 [11], Kaspersky Internet Security [12].

 Correctifs :

Dans le cadre de son "Patch Tuesday" [13] du mois de décembre, Microsoft a publié des correctifs pour Windows [1] (MS11-087), Office avec support du Chinois [14] (MS11-088), Word [15] (MS11-089), les contrôles ActiveX sur Internet Explorer [3] (MS11-090), Publisher [16] (MS11-091), Windows Media [2] (MS11-092), le composant OLE de Windows [17] (MS11-093), PowerPoint [18] (MS11-094), Active Directory [19] (MS11-095), Excel [20] (MS11-096), le processus CSRSS de Windows [21] (MS11-097), Windows [22] (MS11-098), et enfin Internet Explorer [23] (MS11-099). L’exploitation de ces failles permettait à un pirate d’élever localement ses privilèges, voire de prendre le contrôle du système à distance.

Dans le même temps, Adobe a publié les bulletins APSB11-29 [24] et APSB11-30 [25] correspondant à des correctifs pour Coldfusion (XSS) et Adobe Reader et Adobe Acrobat (prise de contrôle d’un système à distance).

Plusieurs autres correctifs ont aussi été publiés. Ceux-ci concernent les produits IBM Rational Rhapsody [26], Lotus Domino [27], IBM Java [28], AIX [29] (X et Inventory Scout), Tivoli Federated Identity Manager [30], Barracuda Control Center [31] et Barracuda Web Filter [31], HP Managed Printing Administration [33], HP-UX [34], les produits WebSense [35], VLC [36], phpMyAdmin [37] (PMASA-2011-19, PMASA-2011-20), Mozilla Firefox et Thunderbird [38], Avaya Call Management System [39], le serveur DNS Unbound [40], RoundCube [41], Novell Access Manager [42], TYPO3 [43], Solaris [44], JBoss Enterprise Portal Platform [45], RSA SecurID Software Token [46] et RSA Adaptive Authentication [47], Google Chrome [48], Cacti [49] et enfin Winamp [50].

Enfin, Oracle a publié une mise à jour de Java [51] (Java SE 6 Update 30). Celle-ci n’apporterait cependant pas de correctif de sécurité.

 Conférence / Recherche :

Selon une récente étude réalisée par la société Accuvant, le navigateur web de Google [52] serait le navigateur le plus sûr du marché pour naviguer sur Internet. Pour aboutir à ce résultat, les chercheurs ne seraient pas intéressés au nombre de failles de sécurité rapportées et/ou corrigées, qui ne décrivent pas forcément la qualité ou la sécurité d’un logiciel ; mais plutôt aux fonctions de sécurité implémentées au sein de ces logiciels.

OpenDNS, une société qui offre un service gratuit de résolution de noms de domaines, vient de lancer un nouveau "service" baptisé DNSCrypt [53]. Celui-ci vise à simplifier la sécurisation de ce protocole. En effet, bien que le protocole DNS soit utilisé partout et tout le temps (internet, ail, messagerie instantanée, etc.), il est réputé pour être particulièrement sensible en matière de sécurité. Malgré cela, il n’intègre, de base, aucune fonction de sécurisation. L’objectif de l’outil et du protocole est de chiffrer les données échangées entre le client et le serveur DNS interrogé afin de garantir la confidentialité et l’intégrité de données.

Selon les résultats d’une étude publiée par la société ViaForensic, l’application Google Wallet [54] stockerait des données sensibles de façon non sécurisée.

Le NIST [55] a publié un brouillon détaillant le fonctionnement du modèle de vérification de confiance au niveau du BIOS.

Tout comme l’a fait Google pour Chrome, Microsoft devrait ajouter, en 2012, une fonction de mise à jour automatique à Internet Explorer [56].

Microsoft serait actuellement en train de travailler sur une nouvelle méthode d’authentification [57] pour Windows 8. Microsoft s’est probablement inspirée du mécanisme d’authentification de Google pour les smartphones Android. Au lieu de reconnaitre le déplacement d’un doigt passant par des points clairement identifiés sur l’écran tactile du smartphone, l’utilisateur devra reproduire des mouvements enregistrés au préalable à l’aide de son doigt sur une photo. Pour complexifier la chose, plusieurs types de mouvements seront demandés à l’utilisateur lors de l’enregistrement de son "geste" d’authentification : un cercle, une ligne et enfin un clic.

 Cybercriminalité / Attaques :

Symantec [58] a confirmé les récentes attaques contre le secteur de la défense américain. Celles-ci reposent sur la faille découverte par le CSIRT de Lockheed Martin au sein d’Adobe Reader, qui a été corrigée cette semaine. Selon plusieurs chercheurs, le récent 0day Adobe aurait pu être utilisé pour obtenir des informations secrètes sur les drones de combat américain.

Afin de dérober les informations contenues dans la piste magnétique des cartes bancaires, les pirates ne s’attaquent plus seulement aux distributeurs automatiques de billets, mais également aux autres équipements intégrant un lecteur de cartes. Ainsi, la chaine américaine de supermarchés Lucky a annoncé avoir détecté la présence de skimmers [59] sur les lecteurs de cartes présents sur les bornes de paiement présentes dans les caisses libre-service.

Un analyste spécialisé en cyber-défense travaillant pour l’U.S. Air Force Research Institute [60] a annoncé dans une interview au journal "The Diplomat" que ce ne sont pas les États-Unis et Israël qui se cachent derrière Stuxnet, mais la Russie. En effet, selon lui, il est inconcevable que ces deux grands pays en soient à l’origine étant donné que tous deux démentent officiellement toute implication dans cette affaire, alors que "rien ne les y oblige"...

Alors que l’on vient tout juste d’apprendre que Gemmet, une filiale de l’autorité de certification KPN, aurait été victime de pirates, une autre autorité de certification baptisée GlobalSign [61] vient de publier une analyse de l’attaque dont elle a été victime au début du mois de septembre. Il est important de noter que pour une fois, une autorité de certification présente en détail les différents tenants et aboutissants de cet incident de sécurité. Il semblerait que l’autorité de certification ait manoeuvré de la meilleure façon qu’il soit, aussi bien en terme de communication qu’en terme de gestion d’incident, pour sortir grandi par cet incident de sécurité.

Visa serait actuellement en train de mener une enquête dans le cadre de la possible compromission des systèmes d’un prestataire de paiement [62] basé dans l’est de l’Europe (probablement en Roumanie). D’après les premières informations, Visa semble avoir été informée de la mise en vente sur internet de données personnelles appartenant aux détenteurs de carte de paiement.

Le code source de la version 11 du système d’exploitation Solaris [63] aurait été publié sur Internet. Très peu d’informations sont disponibles au sujet de cette fuite d’information. Il s’agirait d’un fichier de 100 Mo de données correspondant à la version 11 Build 175 de l’OS, et à la révision 33 du système de fichiers propriétaire ZFS.

 Entreprise :

Microsoft [64] vient d’annoncer qu’il arrêtera de supporter les produits des gammes "professionnelles" Windows XP et Office 2003 à partir du 8 avril de l’année 2014. À partir de cette date, l’éditeur ne publiera plus aucun correctif de sécurité concernant ces deux logiciels. L’éditeur aura donc offert respectivement 12 ans et 10 ans de supports pour ces deux logiciels. C’est l’abandon progressif des utilisateurs de ces deux logiciels qui aurait poussé l’éditeur à prendre cette décision.

Afin de mettre un terme à l’affaire "CarrierIQ" [65], la société éditrice du logiciel vient de publier un descriptif très complet de sa solution installée sur de nombreux smartphones aux États-Unis. Celui-ci présente entre autres le fonctionnement de la solution, mais il identifie aussi les données présentes sur un smartphone auxquelles un opérateur est en mesure d’accéder. Enfin, le document précise comment les données personnelles sont protégées grâce au processus défini par CarrierIQ.

 Internationnal :

Les États-Unis [66] ont publié leurs priorités en matière de R&D dans le secteur de sécurité. Afin de répondre aux différents challenges précédemment identifiés, le document propose une stratégie reposant sur 4 points principaux permettant de rendre le cyber-espace plus sûr et plus fiable. Les quatre points en questions sont :
 induire le changement ;
 développer les Fondements scientifiques ;
 maximiser l’impact de la recherche ;
 et enfin, accélérer la mise en application.

D’après une étude demandée par le gouvernement, entre 500 000 et 1 million de passeports biométriques [67] seraient des faux, alors que ceux-ci sont considérés comme infalsifiables. La faille de sécurité ne se situerait pas au niveau du document administratif en lui-même, mais plutôt dans le processus à suivre pour l’obtenir. En effet, il est possible d’obtenir un passeport biométrique en présentant simplement un acte de naissance. Or il est tout à fait possible de produire un faux acte de naissance à l’aide d’une simple photocopieuse.

 Juridique :

Tandis que la France vient tout juste de porter plainte contre X dans une affaire de phishing, l’unité de police baptisée PCeU [68] ("Police Central e-Crime Unit") a procédé à l’arrestation de 6 personnes dans le cadre d’une affaire similaire ayant permis aux pirates de dérober plus d’un million de Livres sterling à des étudiants anglais boursiers.

XMCO a récemment publié un nouvel article sur son blog :

* 50 000 cartes bancaires françaises piratées en septembre
https://cert.xmco.fr/blog/index.php?post/2011/12/19/50-000-cartes-bancaires-fran%C3%A7aises-pirat%C3%A9es-en-septembre

Enfin, nous vous rappelons que vous pouvez suivre l’actualité de la sécurité en retrouvant le CERT-XMCO sur Twitter :
http://twitter.com/certxmco

 Référence :

[1]

https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2011-2166

http://technet.microsoft.com/fr-fr/security/bulletin/ms11-087

[2]

https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2011-2171

http://technet.microsoft.com/fr-fr/security/bulletin/ms11-092

[3]

https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2011-2169

http://technet.microsoft.com/fr-fr/security/bulletin/ms11-090

[4]

https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2011-2205

http://www.adobe.com/support/security/bulletins/apsb11-30.html

[5]

https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2011-2201

http://typo3.org/teams/security/security-bulletins/typo3-core/typo3-core-sa-2011-004/

De nombreuses vulnérabilités ont été rendues publiques cette semaine. Parmi les logiciels concernés figurent Java [6], le noyau Linux [7] (pilot BATMAN, KVM et l’IOCTL "SG_IO")

[6]

https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2011-2149

http://blog.infobytesec.com/2011/12/pwning-java-update-process-2007-today.html

[7]

https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2011-2157

https://lists.open-mesh.org/pipermail/b.a.t.m.a.n/2011-December/005904.html

https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2011-2228

https://lkml.org/lkml/2011/12/22/270

https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2011-2231

http://permalink.gmane.org/gmane.comp.emulators.kvm.devel/83564

[8]

https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2011-2192

http://www.ibm.com/support/docview.wss?uid=swg21574454

[9]

https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2011-2233

http://www.ibm.com/support/docview.wss?uid=swg21576372

[10]

https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2011-2206

http://packetstormsecurity.org/files/107974/novellslm-traversal.txt

[11]

https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2011-2209

http://www.h-online.com/security/news/item/Highly-critical-zero-day-vulnerability-in-Windows-discovered-1398625.html

[12]

https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2011-2215

http://packetstormsecurity.org/files/108043/VL-129.txt

[13]

https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2011-2138

http://technet.microsoft.com/en-us/security/bulletin/ms11-dec

[14]

https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2011-2167

http://technet.microsoft.com/fr-fr/security/bulletin/ms11-088

[15]

https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2011-2168

http://technet.microsoft.com/fr-fr/security/bulletin/ms11-089

[16]

https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2011-2170

http://technet.microsoft.com/fr-fr/security/bulletin/ms11-091/

[17]

https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2011-2172

http://technet.microsoft.com/fr-fr/security/bulletin/ms11-093

[18]

https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2011-2173

http://technet.microsoft.com/fr-fr/security/bulletin/ms11-094

[19]

https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2011-2174

http://technet.microsoft.com/fr-fr/security/bulletin/ms11-095

[20]

https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2011-2175

http://technet.microsoft.com/fr-fr/security/bulletin/ms11-096

[21]

https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2011-2176

http://technet.microsoft.com/fr-fr/security/bulletin/ms11-097

[22]

https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2011-2177

http://technet.microsoft.com/fr-fr/security/bulletin/ms11-098

[23]

https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2011-2178

http://technet.microsoft.com/fr-fr/security/bulletin/ms11-099

[24]

https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2011-2179

http://www.adobe.com/support/security/bulletins/apsb11-29.html

[25]

https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2011-2205

http://www.adobe.com/support/security/bulletins/apsb11-30.html

[26]

https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2011-2232

http://www.ibm.com/support/docview.wss?uid=swg21576352

[27]

https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2011-2222

http://www.ibm.com/support/docview.wss?uid=swg21575247

[28]

https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2011-2218

http://www.ibm.com/support/docview.wss?uid=swg21571596

[29]

https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2011-2180

http://aix.software.ibm.com/aix/efixes/security/invscout_advisory2.asc

https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2011-2189

http://aix.software.ibm.com/aix/efixes/security/xorg_advisory.asc

[30]

https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2011-2183

http://www.ibm.com/support/docview.wss?uid=swg21575309

http://www.ibm.com/support/docview.wss?uid=swg24031351

http://www.ibm.com/support/docview.wss?uid=swg24031348

http://www.ibm.com/support/docview.wss?uid=swg24029500

[31]

https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2011-2221

http://securityreason.com/exploitalert/11071

[32]

https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2011-2164

http://www.vulnerability-lab.com/get_content.php?id=29

[33]

https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2011-2230

http://h20000.www2.hp.com/bizsupport/TechSupport/Document.jsp?objectID=c03128469

[34]

https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2011-2191

http://h20000.www2.hp.com/bizsupport/TechSupport/Document.jsp?objectID=c02945548

[35]

https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2011-2229

http://archives.neohapsis.com/archives/bugtraq/2011-12/0091.html

http://archives.neohapsis.com/archives/bugtraq/2011-12/0093.html

http://archives.neohapsis.com/archives/bugtraq/2011-12/0094.html

http://archives.neohapsis.com/archives/bugtraq/2011-12/0095.html

[36]

https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2011-2220

http://www.videolan.org/security/sa1108.html

[37]

https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2011-2219

http://www.phpmyadmin.net/home_page/security/PMASA-2011-19.php

http://www.phpmyadmin.net/home_page/security/PMASA-2011-20.php

[38]

https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2011-2216

http://www.mozilla.org/security/known-vulnerabilities/firefox.html#firefox9

http://www.mozilla.org/security/known-vulnerabilities/thunderbird.html#thunderbird9

[39]

https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2011-2213

https://support.avaya.com/css/P8/documents/100146780

[40]

https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2011-2208

http://unbound.nlnetlabs.nl/downloads/CVE-2011-4528.txt

[41]

https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2011-2207

http://trac.roundcube.net/wiki/Changelog

[42]

https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2011-2202

http://www.novell.com/support/viewContent.do?externalId=7009901

[43]

https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2011-2201

http://typo3.org/teams/security/security-bulletins/typo3-core/typo3-core-sa-2011-004/

[44]

https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2011-2196

http://blogs.oracle.com/sunsecurity/entry/multiple_vulnerabilities_in_network_time

[45]

https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2011-2190

https://rhn.redhat.com/errata/RHSA-2011-1822.html

[46]

https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2011-2185

http://seclists.org/bugtraq/2011/Dec/att-88/ESA-2011-039.txt

[47]

https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2011-2181

http://archives.neohapsis.com/archives/bugtraq/2011-12/att-0073/ESA-2011-036.txt

[48]

https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2011-2182

http://googlechromereleases.blogspot.com/2011/12/stable-channel-update.html

[49]

https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2011-2163

http://forums.cacti.net/viewtopic.php?f=4&t=45871

[50]

https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2011-2154

http://forums.winamp.com/showthread.php?t=332010

[51]

https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2011-2165

http://www.oracle.com/technetwork/java/javase/6u30-relnotes-1394870.html

[52]

https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2011-2150

http://www.accuvant.com/capability/accuvant-labs/security-research/browser-security-comparison-quantitative-approach

[53]

https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2011-2151

http://www.opendns.com/technology/dnscrypt/

[54]

https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2011-2156

http://viaforensics.com/mobile-security/forensics-security-analysis-google-wallet.html

[55]

https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2011-2159

http://www.fiercegovernmentit.com/story/nist-details-trusted-root-bios-verification-model/2011-12-11

[56]

https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2011-2188

http://windowsteamblog.com/ie/b/ie/archive/2011/12/15/ie-to-start-automatic-upgrades-across-windows-xp-windows-vista-and-windows-7.aspx

[57]

https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2011-2210

http://blogs.msdn.com/b/b8/archive/2011/12/16/signing-in-with-a-picture-password.aspx

[58]

https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2011-2153

http://www.techcentral.ie/article.aspx?id=17937#.TuXwvwh0hVI.twitter

[59]

https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2011-2155

http://savemart.com/index.php?id=449

[60]

https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2011-2161

http://the-diplomat.com/2011/12/10/was-russia-behind-stuxnet/?all=true

[61]

https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2011-2184

http://www.globalsign.co.uk/company/press/121411-security-incident-report.html

[62]

https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2011-2204

http://www.pcworld.com/businesscenter/article/246293/visa_investigates_security_breach_at_european_payment_processor.html

[63]

https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2011-2211

http://www.phoronix.com/scan.php?page=news_item&px=MTAzMDE

[64]

https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2011-2152

http://www.microsoft.com/france/windows/entreprise/produits/windows-vista-et-xp/windows-xp/fin-support-windows-xp.aspx

[65]

https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2011-2160

http://www.carrieriq.com/PR.20111212.pdf

[66]

https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2011-2158

http://www.whitehouse.gov/blog/2011/12/06/federal-cybersecurity-rd-strategic-plan-released

[67]

https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2011-2212

http://www.leparisien.fr/faits-divers/plus-de-10-des-passeports-biometriques-seraient-des-faux-19-12-2011-1775325.php

[68]

https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2011-2162

http://www.scmagazineuk.com/arrests-made-by-pceu-after-phishing-campaign-investigation/article/219094/

 Référence CVE :

http://cve.mitre.org/cgi-bin/cvename.cgi?name=[REFERENCE-CVE]

 Lien extranet XMCO :
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2011-2241


Voir les articles précédents

    

Voir les articles suivants