1 Un « gadget » malveillant

Le 14 août 2010, une entreprise privée de sécurité informatique annonçait avoir découvert qu’un site Web mettant à disposition des widgets pour diverses plates-formes (blogs, réseaux sociaux, etc.) en fournissait également un malveillant. Un widget est un outil souvent interactif, généralement de petite taille et aux fonctionalités limitées, qui propose des informations ou des divertissements. Ils sont destinés à être intégrés dans diverses plates-formes de blog, sur la page d’accueil de son navigateur, sur le bureau de son ordinateur, etc.

Ce code malveillant était en libre téléchargement sur au moins deux annuaires en ligne, et plus de 5000 téléchargements ont été relevés par les compteurs de ces sites. Il était toutefois nécessaire d’effectuer manuellement l’installation de ce programme sur un blog ou un réseau social pour que la page accueillant celui-ci devienne malveillante.

Or, il a été depuis constaté que ce widget faisait également partie de la configuration par défaut des domaines « inactifs » enregistrés chez un des cinq plus gros fournisseurs de nom de domaine. En effet, après le dépôt d’un domaine, le premier choix proposé au propriétaire est l’installation (sur son nouveau domaine) d’une page indiquant au visiteur que le site est en construction. L’objectif est que le visiteur n’obtienne pas d’erreur du type « serveur introuvable » dans son navigateur. Pour chaque création de nouveau nom de domaine, en utilisant les réglages par défaut, une nouvelle page contenant le widget malveillant était donc créée.

Il est difficile d’evaluer le nombre de pages affectées par le code malveillant. Par une analyse du comportement de ce dernier, il a été découvert que l’attaquant utilisait un outil d’analyse de trafic, qui a enregistré plus de 2.5 millions de pages affichées contenant le code malveillant.

Le CERTA recommande de ne pas intégrer d’éléments tiers dont la source n’est pas digne de confiance sur son site Web. La désactivation dans son navigateur des fonctionnalités JavaScript réduit également la surface d’attaque lors de l’accès à des pages Web. Il est également impératif de maintenir le navigateur Web à jour.

2 Résolution d’une vulnérabilité d’Adobe Reader

Une vulnérabilité dans le traitement des polices de caractères par Adobe Reader et Adobe Acrobat a été confirmée par l’éditeur Adobe le 5 août 2010 et le CERTA l’a relayée dans son alerte CERTA-2010-ALE-012.

Le manque de vérification des bornes dans une table entrant dans la définition d’une police TrueType permettait à un attaquant d’exécuter du code arbitraire. Un fichier au format PDF spécialement conçu est suffisant pour que l’agresseur exploite la faille. Ce dernier doit inciter un utilisateur légitime à ouvrir ce fichier. Les ressorts de l’ingéniérie sociale sont nombreux pour cela. Ledit fichier peut se trouver sur un site web ou en pièce jointe d’un courriel.

La bibliothèque de programmes fautive a été corrigée et de nouvelles versions de ces logiciels ont été publiées par l’éditeur le 19 août 2010. L’avis CERTA-2010-AVI-394 contient les liens pour obtenir les correctifs.

Comme toujours, le CERTA recommande fortement la mise à jour des logiciels pour limiter la surface d’attaque. En effet, de nombreuses attaques utilisant un fichier PDF réussissent en exploitant des vulnérabilités pourtant déjà corrigées dans le lecteur Adobe Reader.

Rappel des avis émis

Dans la période du 09 au 15 août 2010, le CERT-FR a émis les publications suivantes :


Durant la même période, les publications suivantes ont été mises à jour :