S.G.D.S.N
Agence nationale
de la sécurité des
systèmes d'information
Paris, le 17 juillet 2009
N° CERTA-2009-ACT-029
Affaire suivie par: CERT-FR
le 17 juillet 2009

Bulletin d'actualité du CERT-FR

Objet: Bulletin d’actualité 2009-29

Gestion du document

Référence CERTA-2009-ACT-029
Titre Bulletin d’actualité 2009-29
Date de la première version 17 juillet 2009
Date de la dernière version 17 juillet 2009
Source(s)
Pièce(s) jointe(s) Aucune(s)
Tableau 1: Gestion du document

Une gestion de version détaillée se trouve à la fin de ce document.

1 Les vulnérabilités de la semaine

Cette semaine le CERTA a publié deux alertes dont une corrigée aujourd’hui.

1.1 Vulnérabilité dans Microsoft Office Web Components Control

L’alerte de sécurité CERTA-2009-ALE-011 fait état d’une vulnérabilité non précisée par l’éditeur dans Microsoft Office Web Components Control. Elle est exploitable au moyen d’une page web spécifiquement écrite visualisée dans Internet Explorer et permet l’exécution de code arbitraire à distance. Le CERTA recommande la mise en place du contournement provisoire décrit dans l’alerte (cf. la section Documentation) ou d’utiliser un navigateur alternatif.

1.2 Vulnérabilité dans Mozilla Firefox

L’alerte de sécurité CERTA-2009-ALE-012 concernait une vulnérabilité dans Mozilla Firefox. Elle est corrigée dans la version 3.5.1 du navigateur, annoncée dans le bulletin de sécurité MFSA 2009-41 du 16 juillet. Cette vulnérabilité impactait le compilateur à la volée (JIT – Just In Time Compiler) JavaScript et permettait l’exécution de code arbitraire à distance au moyen d’une page Web malveillante. Un code exploitant cette vulnérabilité circule sur l’Internet et le CERTA recommande la mise à jour du navigateur.

1.3 Documentation

2 Correctifs Microsoft du mois de juillet

Cette semaine, Microsoft a émis six nouveaux bulletins de sécurité. Trois sont considérés comme importants par l’éditeur et trois comme critiques. Voici un aperçu des vulnérabilités :

  • plusieurs vulnérabilités dans DirectShow permettent l’exécution de code arbitraire à distance (MS09-028) ;
  • plusieurs vulnérabilités dans le moteur de polices Embedded OpenType permettent l’exécution de code arbitraire à distance (MS09-029) ;
  • une vulnérabilité dans Microsoft Office Publisher permet l’exécution de code arbitraire à distance (MS09-030) ;
  • une vulnérabilité dans Microsoft ISA Server permet à une personne malintentionnée d’élever ses privilèges (MS09-031) ;
  • une vulnérabilité dans le contrôle ActiveX Microsoft Video permet l’exécution de code arbitraire à distance (MS09-032) ;
  • une vulnérabilité dans Virtual PC et Virtual Server permet une élévation de privilèges dans le système d’exploitation invité (MS09-033).

Les alertes CERTA-2009-ALE-009 (DirectShow) et CERTA-2009-ALE-010 (ActiveX Microsoft Video) sont ainsi corrigées par ces mises à jour.

Il est important de noter que l’alerte CERTA-2009-ALE-011 relative aux Microsoft Office Web Components n’est pas comblée par ce lot de correctifs. Il est donc recommandé de rester vigilant et d’appliquer sans tarder les contournements provisoires décrits dans l’alerte.

2.1 Cas particulier de MS09-032

Pour ce dernier bulletin, le passage de l’état vulnérable à l’état corrigé par Microsoft est intéressant : le bulletin MS09-032, pointé par l’avis CERTA-2009-AVI-278, est un correctif intitulé Mise à jour cumulative pour les kill bits ActiveX. Ce correctif positionne dans la base de registres de Windows des paramètres (kill bits) désactivant des contrôles ActiveX vulnérables.

Or, c’est exactement ce que faisait le contournement provisoire proposé par Microsoft et détaillé dans l’alerte CERTA-2009-ALE-010. Ceci revient à dire que le contournement provisoire vaut pour une solution définitive.

Ce faisant, Microsoft considère que le positionnement d’un kill bit sur un contrôle ActiveX vulnérable suffit à corriger la vulnérabilité. Or, intrinsèquement, désactiver un composant ne revient pas à corriger les vulnérabilités qu’il renferme.

On aurait tout à fait pu imaginer la sortie d’un véritable correctif permettant de continuer à utiliser ce contrôle ActiveX susceptible d’avoir une certaine utilité.

Dans tout les cas, le CERTA rappelle que les contrôles ActiveX étant une technologie à risque, il est recommandé de s’en dispenser.

2.2 Documentation

3 Sites Web et compatibilité des navigateurs

Les sites Web ne sont pas toujours conçus pour être lisibles sur tous les navigateurs.

C’est le cas de certains sites Web qui peuvent avoir une apparence étrange, voire illisible, au cours d’une visite via le dernier navigateur Microsoft Internet Explorer 8.

Pour les utilisateurs de ce navigateur, il est possible :

  • d’activer le mode « affichage de compatibilité », à l’aide d’un bouton qui se trouve à droite de la barre d’adressage ;
  • de modifier dans la configuration d’Internet Explorer, par Outils -> Paramètres d’affichage de compatibilité, l’option générale d’affichage. Elle sera alors valable pour tous les sites visités ;
  • dans le cadre d’un réseau d’entreprise, d’utiliser les paramètres de stratégie de groupe qui se trouvent pour les différentes entités dans Administrative Templates/Windows Components/Internet Explorer/Compatibility View.

Pour les administrateurs de sites Web, afin de rendre leurs sites accessibles au plus grand nombre, il est envisageable d’ajouter à la page HTML le tag indiqué ci-dessous afin qu’Internet Explorer 8, au cours de son interprétation du code, utilise directement le moteur de rendu de la précédente version Internet Explorer 7.

<meta http-equ= »X-UA-Compatible » content= »IE=7″>

Les différents modes à préciser dans le tag sont documentés par Microsoft dans les liens fournis ci-après.

Rappel des avis émis

Dans la période du 06 au 12 juillet 2009, le CERT-FR a émis les publications suivantes :


Gestion détaillée du document

    le 17 juillet 2009
    version initiale.