S.G.D.S.N
Agence nationale
de la sécurité des
systèmes d'information
Paris, le 10 juillet 2009
N° CERTA-2009-ACT-028
Affaire suivie par: CERT-FR
le 10 juillet 2009

Bulletin d'actualité du CERT-FR

Objet: Bulletin d’actualité 2009-28

Gestion du document

Référence CERTA-2009-ACT-028
Titre Bulletin d’actualité 2009-28
Date de la première version 10 juillet 2009
Date de la dernière version 10 juillet 2009
Source(s)
Pièce(s) jointe(s) Aucune(s)
Tableau 1: Gestion du document

Une gestion de version détaillée se trouve à la fin de ce document.

1 Vulnérabilité dans le composant ActiveX Microsoft Video

1.1 Les faits

Cette semaine Microsoft a publié un nouveau bulletin d’alerte faisant état d’une vulnérabilité dans le composant ActiveX MPEG2TuneRequest en charge du contrôle de flux vidéo dans Microsoft Internet Explorer pour les systèmes d’exploitation Microsoft Windows XP et Microsoft Windows Server 2003. La vulnérabilité se situe dans le fichier msvidctl.dll. Le CERTA a donc rapporté cette faille au travers de l’alerte CERTA-2009-ALE-010. Cette vulnérabilité peut être exploitée par le biais d’une page Web malveillante. La bonne exploitation de cette faille ne nécessite pas forcément la présence d’un flux vidéo sur la page visitée. Une personne malintentionnée peut alors exécuter du code arbitraire à distance et prendre le contrôle de la machine compromise.

1.2 Les recommandations

En attendant, le CERTA recommande d’appliquer le contournement provisoire de Microsoft consistant à changer la valeur du paramètre Compatibility Flags en 00000400 pour l’ensemble des CLSID du composant Microsoft Video. La liste exhaustive des CLSID est disponible dans l’alerte. Cette manipulation a été automatisée par Microsoft à l’aide d’une application téléchargeable sur son site (cf. la section Documentation) et permet ainsi de colmater temporairement la brèche en attendant un correctif définitif. Ce correctif pourrait paraître mardi prochain à l’occasion du Patch Tuesday mensuel.

Le CERTA rappelle également que la désactivation par défaut de l’exécution de code dynamique (JavaScript, Flash, …) et des composants ActiveX est une bonne pratique pour la navigation sur l’Internet. De plus, l’utilisation d’un compte aux droits limités permet de modérer la portée de l’attaque.

La désactivation de composant ActiveX Microsoft Video peut nuire à la bonne lecture des flux vidéo sur l’Internet.

Il est également recommandé l’utilisation d’un navigateur alternatif si la lecture de flux vidéo est nécessaire ou que le composant ne peut pas être désactivé.

Documentation

2 Rumeurs concernant une vulnérabilité d’OpenSSH

Ces derniers jours, une rumeur concernant une vulnérabilité non corrigée (0-day) d’OpenSSH s’est répandue. Cette prétendue faille de sécurité permettrait de prendre le contrôle à distance du serveur. Elle aurait été exploitée au moins deux fois, les compromissions en découlant ayant été médiatisées sur l’Internet.

Le SANS a relayé cette information, et établi deux hypothèses :

  • il s’agirait d’une vulnérabilité qui n’affecterait pas la dernière version d’OpenSSH ;
  • la rumeur serait née suite au « maquillage » de deux compromissions pour faire croire à une vulnérabilité d’OpenSSH, les failles réellement exploitées reposant sur d’autres problèmes de sécurité.

Quelle que soit la vérité concernant cette affaire, il convient, pour les administrateurs, de ne pas paniquer, de s’assurer que les correctifs de sécurité ont bien tous été appliqués et de lire attentivement les journaux relatifs à cette application.

Documentation

3 Firefox 3.5

Le navigateur Firefox de la fondation Mozilla est sorti en version 3.5 le 30 juin 2009. Cette nouvelle mouture n’inclut pas à proprement parler de correctif de sécurité. En effet, sa sortie n’a pas été accompagnée d’un bulletin de sécurité. Cependant, cette nouvelle version inclut de nouvelles fonctionnalités ou des modifications notables pouvant avoir une influence sur le niveau de sécurité du logiciel :

  • le premier changement concerne l’utilisation d’un nouveau moteur de rendu des JavaScript nommé TraceMonkey (http://wiki.mozilla.org/JavaScript:TraceMonkey). Le CERTA a déjà évoqué les problèmes liés à cette technologie et aux risques qu’elle engendre. La prudence sera donc de mise en la matière car, comme tout nouveau produit, il peut manquer de maturité ;
  • le second changement est, quant à lui, assez intéressant. Il conceptualise la navigation privée qui consiste en la possibilité pour l’utilisateur d’activer un mode de fonctionnement du navigateur dans lequel aucune trace n’est stockée sur le système tant que l’on ne sort pas de celui-ci. On entend ici par traces : l’historique de navigation, la saisie dans la barre de liens, les fichiers de mise en cache, les cookies, etc.

    Après une première vérification rapide, il semblerait bien qu’une fois dans ce mode, le navigateur ne stocke plus rien dans les fichiers SQLite où, normalement, il place toutes ces informations. Évidemment, ce comportement particulier n’est pas sans incidence sur la facilité d’utilisation mais apporte une amélioration notable dans le niveau de confidentialité offert.

Enfin la granularité de configuration dans la gestion des informations privées stockées par le navigateur a, elle aussi, été augmentée permettant des réglages plus fins.

Rappel des avis émis

Dans la période du 29 juin au 05 juillet 2009, le CERT-FR a émis les publications suivantes :


Durant la même période, les publications suivantes ont été mises à jour :

Gestion détaillée du document

    le 10 juillet 2009
    version initiale.