S.G.D.S.N
Agence nationale
de la sécurité des
systèmes d'information
Paris, le 16 juillet 2010
N° CERTA-2010-ACT-028
Affaire suivie par: CERT-FR
le 16 juillet 2010

Bulletin d'actualité du CERT-FR

Objet: Bulletin d’actualité 2010-28

Gestion du document

Référence CERTA-2010-ACT-028
Titre Bulletin d’actualité 2010-28
Date de la première version 16 juillet 2010
Date de la dernière version 16 juillet 2010
Source(s)
Pièce(s) jointe(s) Aucune(s)
Tableau 1: Gestion du document

Une gestion de version détaillée se trouve à la fin de ce document.

1 Vulnérabilité non corrigée en cours d’exploitation

Le CERTA a eu connaissance d’une vulnérabilité liée à la gestion des fichiers de raccourcis (.lnk) sous Microsoft Windows. À la date du présent document, cette vulnérabilité n’est pas encore corrigée et fait l’objet d’une exploitation sur l’Internet. Le CERTA a donc publié l’alerte CERTA-2010-ALE-009 décrivant le problème et les détails sur le code exploitant la faille ainsi que les moyens de le détecter.

Il conviendra de surveiller activement cette publication qui sera, sans doute, amenée à être modifiée en fonction des nouveaux éléments que le CERTA pourra obtenir.

Documentation

2 Logiciels obsolètes

Cette semaine le CERTA a mis à jour la note d’information CERTA-2005-INF-003 sur les logiciels tombés en obsolescence. Parmi les nouveautés apparues dans cette note, on trouve en particulier la fin du support pour Microsoft Windows 2000 et Microsoft Windows XP Service Pack 2. Ces versions ne feront donc plus l’objet de correctifs de sécurité. Il est donc indispensable, si ce n’ést déjà fait, de passer à des versions de Windows encore maintenues.

Documentation

3 Attaques contre les sites utilisant GuppY

Depuis quelques jours, un attaquant vise tout particulièrement les sites fonctionnant avec GuppY et non mis à jour pour réaliser des défigurations. Il exploite plusieurs vulnérabilités différentes, notamment une concernant le module galerie. Le but de ces attaques semble être la simple modification de pages Web, ceci affectant la page d’accueil dans certains cas constatés. L’attaquant est également susceptible de déposer des portes dérobées.

Le CERTA recommande donc aux administrateurs et webmestres de veiller à ce que leur gestionnaire de contenu soit bien à jour. Pour mémoire, la dernière version de GuppY proposée en téléchargement (http://www.freeguppy.org) est la version 4.6.13a. Quant à la gestion du module optionnel galerie, il est important de suivre les recommandations de sécurité de l’auteur, à savoir verrouiller l’accès au répertoire :

site_guppy/galerie/_admin.

4 Une extension malveillante sur addons.mozilla.org

Cette semaine Mozilla a publié un avis de sécurité à propos d’une extension malveillante qui interceptait les identifiants utilisés en ligne. L’extension en question, « Mozilla Sniffer » (nom ironique), a été retirée du site le 12 juillet 2010 et ajoutée à la liste des applications bloquées, ce qui fait apparaître un message d’alerte aux utilisateurs, les encourageant à la désinstaller. L’application a déjà été téléchargée près de 2000 fois depuis sa mise en ligne le 6 juin 2010, et cela alors qu’elle était marquée comme «en cours de développement». Elle n’était pas directement visible sur le site addons.mozilla.org. Ce statut particulier signifie que l’application, bien que soumise à des antivirus, n’a pas encore été humainement validée et présente donc un niveau de sécurité limité.

Les extensions sont des logiciels à part entière pour lesquels il n’est pas évident de suivre les cycles de développement, ni même d’en connaître l’origine. Le CERTA recommande donc la plus grande prudence lors de leur installation et a fortiori de ne pas installer d’applications non validées, surtout si elles sont recommandées par un tiers qui n’est pas de confiance.

Documentation

Rappel des avis émis

Dans la période du 05 au 11 juillet 2010, le CERT-FR a émis les publications suivantes :


Durant la même période, les publications suivantes ont été mises à jour :

Gestion détaillée du document

    le 16 juillet 2010
    version initiale.