1 Incident de la semaine
De nombreux sites web permettent actuellement aux utilisateurs de mettre en ligne, sans contrôle particulier, des commentaires afin d’échanger leurs avis sur certains articles. Ces commentaires sont en général soumis à une modération réalisée par le webmaster du site et/ou par la mise en place d’un mécanisme de vérification destiné à lutter contre les commentaires automatiques indésirables (web spamming).
Cette semaine, le CERTA a été informé de l’existence de plusieurs sites web ayant des commentaires au contenu inapproprié.
L’impact lié à de telles pratiques peut nuire à l’image du site web ou de l’établissement représenté. En effet, souvent les commentaires automatiques indésirables font la promotion pour des biens qui peuvent être illégaux, frauduleux ou dont la vente est réglementée.
De plus, dans le cas de commentaires à caractère illégal, il se peut que la responsabilité des personnes en charge du site web soit engagée.
Afin de se prémunir contre de tels incidents, il est recommandé de mettre en œuvre un mécanisme de protection contre les envois automatiques de commentaires (captcha), mais également une procédure de modération des commentaires émis.
2 Vulnérabilité du noyau Linux et audit de code
En fin de semaine dernière, un article détaillant une vulnérabilité dans un composant du noyau Linux (tun) a été publié. Selon les auteurs, il est quasi impossible pour un outil d’audit de code, quel qu’il soit, de détecter cette vulnérabilité. Il s’en explique d’ailleurs dans la suite de l’article.
Il est vrai qu’en l’espèce, cette vulnérabilité est, même en faisant une revue de code « à la main », difficile à remarquer. D’après les auteurs, cette faille de type pointeur nul (Null pointer) permet même de s’affranchir des protections mises en place par le modèle de sécurité de SELinux.
La difficulté d’appréhension de la vulnérabilité réside dans le fait qu’elle met en jeu à la fois une manière d’écrire du code mais également le comportement du compilateur. En effet, le problème vient du fait que le compilateur, pour des raisons d’optimisation, sans doute légitime dans le cas d’un noyau, va enlever certains tests qui, selon lui, ne servent à rien. Typiquement, pour le compilateur, il n’est pas indispensable de tester si une variable est égale à NULL, si quelques lignes auparavant, on s’en est servi pour affecter une valeur à une autre variable. Ainsi, l’exemple simplifié de code source suivant :
variableB = variableA ; if (variableA == NULL) return ERROR ;
devient réellement dans le binaire
variableB = variableA ;
Il est alors possible de réaliser des attaques sur une vulnérabilité de type null pointer sur le binaire produit alors que le code source semble correct. Il suffisait ici de positionner le test de nullité avant l’affectation pour corriger l’erreur. Le correctif est donc trivial mais l’erreur d’écriture est très discrète et nécessite, pour être évitée, une bonne connaissance du compilateur…
3 Adobe Flash
3.1 Alerte CERTA-2009-ALE-013 et compléments d’information
Le CERTA a publié cette semaine l’alerte CERTA-2009-ALE-013 concernant une vulnérabilité de l’interprétation du format Shockwave Flash (SWF) par les produits Adobe.
Cela ne se limite pas au seul produit Adobe Flash Player. En effet, les dernières versions 9 datant de mi-2008 des logiciels Adobe Reader et Acrobat permettent l’interprétation de tels formats multimédia dans un document conteneur PDF (Portable Document Format).
Nous avions évoqué dans le bulletin d’actualité CERTA-2008-ACT-034 les particularités des fichiers de session utilisés par Flash (aussi appelés LSO ou Local Shared Objects). A cette occasion, nous avions abordé les difficultés de configuration pour cette application, qui se fait par défaut en ligne via le site d’Adobe.
D’autres opérations ne sont pas évidentes avec cette application, et en particulier :
- l’opération de mise à jour ;
- l’opération de désactivation de l’interprétation des formats Flash.
Par ailleurs, le format SWF est complexe et pas totalement accessible. Un applicatif Flash peut par exemple ouvrir des sockets en écoute (comme un serveur) ou établir une connexion sur un serveur distant sur un port donné. Il peut également avoir accès, sous certaines conditions, à des ressources système comme une caméra, le microphone, le presse-papiers, la souris et le clavier.
De manière générale, il n’est pas recommandé de déployer des applications qui ne sont globalement pas maîtrisables et qui offrent par ailleurs, des fonctionnalités trop riches, si leur utilité n’est pas clairement avérée. Ces dernières peuvent aussi naturellement intéresser les personnes malveillantes.
En particulier, les méthodes de protection ne sont pas simples à mettre en place lorsqu’un service comme Adobe Flash est installé sur le système. La meilleure des solutions consiste, pour prévenir les risques, à ne pas l’installer et s’assurer que cette politique est bien respectée.
3.2 Documentation associée
- Bulletin d’actualité CERTA-2008-ACT-034, « Fichiers de session avec Adobe », 22 août 2009 :
http://www.certa.ssi.gouv.fr/site/CERTA-2008-ACT-034.pdf
- Alerte CERTA-2009-ALE-013, « Vulnérabilité Shockwave Flash pour les produits Adobe », 23 juillet 2009 :
http://www.certa.ssi.gouv.fr/site/CERTA-2009-ALE-013/
- Bulletin d’actualité CERTA-2008-ACT-016, « Vulnérabilité dans le lecteur », 18 avril 2008 :
http://www.certa.ssi.gouv.fr/site/CERTA-2008-ACT-016.pdf
- Bulletin d’actualité CERTA-2008-ACT-024, « Adobe 9 et autres nouveautés », 13 juin 2008 :
http://www.certa.ssi.gouv.fr/site/CERTA-2008-ACT-024.pdf
- Documentation Adobe, « La sécurité dans Flash Player » :
http://livedocs.adobe.com/flash/9.0_fr/main/00000347.html
4 Tout le monde ne supporte plus Internet Explorer 6
Même si Microsoft Internet Explorer 6 est toujours supporté par Microsoft au moins jusqu’en juillet 2010 lorsque celui-ci est installé sur un Microsoft Windows XP ou un Microsoft Windows Media Center, certains sites web ne vont pas attendre cette date.
En effet, des sites Internet commencent à publier des annonces, sur leurs pages d’accueil par exemple, expliquant qu’ils vont bientôt arrêter de maintenir la compatibilité de leurs sites avec le navigateur Microsoft Internet Explorer 6.
Le CERTA profite de cette actualité afin de rappeler que ce navigateur est plutôt en fin de vie et que deux nouvelles versions sont aujourd’hui disponibles. Le CERTA recommande donc d’anticiper la fin du support par l’éditeur de migrer au plus tôt vers une version plus récente afin de ne pas se trouver bloquer face à une incompatibilité entre le navigateur et le site que l’on veut consulter.
Rappel des avis émis
Dans la période du 13 au 19 juillet 2009, le CERT-FR a émis les publications suivantes :
- CERTA-2009-ALE-011-001 : Vulnérabilité dans Microsoft Office Web Components Control
- CERTA-2009-ALE-012-001 : Vulnérabilité dans Mozilla Firefox
- CERTA-2009-AVI-272-001 : Vulnérabilité de Apache mod_proxy
- CERTA-2009-AVI-273 : Multiples vulnérabilités dans Microsoft DirectShow
- CERTA-2009-AVI-274 : Multiples vulnérabilités dans Microsoft Windows Embedded OpenType
- CERTA-2009-AVI-275 : Vulnérabilité de Microsoft Office Publisher
- CERTA-2009-AVI-276 : Vulnérabilité de ISA Server
- CERTA-2009-AVI-277 : Vulnérabilité dans Virtual PC et Virtual Server
- CERTA-2009-AVI-278 : Vulnérabilité dans le contrôle ActiveX Microsoft Video
- CERTA-2009-AVI-279 : Multiples vulnérabilités dans des produits Oracle
- CERTA-2009-AVI-280 : Vulnérabilité dans DHCP Dhclient
- CERTA-2009-AVI-281 : Multiples vulnérabilités dans WordPress
- CERTA-2009-AVI-282 : Vulnérabilité dans Firefox
Durant la même période, les publications suivantes ont été mises à jour :
- CERTA-2009-ALE-009-001 : Vulnérabilité dans Microsoft DirectShow
- CERTA-2009-ALE-010-001 : Vulnérabilité dans le contrôle ActiveX Microsoft Video
