S.G.D.S.N
Agence nationale
de la sécurité des
systèmes d'information
Paris, le 15 avril 2011
N° CERTA-2011-ACT-015
Affaire suivie par: CERT-FR
le 15 avril 2011

Bulletin d'actualité du CERT-FR

Objet: Bulletin d’actualité 2011-15

Gestion du document

Référence CERTA-2011-ACT-015
Titre Bulletin d’actualité 2011-15
Date de la première version 15 avril 2011
Date de la dernière version 15 avril 2011
Source(s)
Pièce(s) jointe(s) Aucune(s)
Tableau 1: Gestion du document

Une gestion de version détaillée se trouve à la fin de ce document.

1 Alerte dans les produits Adobe

En début de semaine, le CERTA a émis une alerte concernant les produits Adobe. Une vulnérabilité non corrigée est en effet présente dans les produits Adobe Flash Player, Adobe Acrobat et Adobe Reader. L’alerte CERTA-2011-ALE-003 donne la liste des versions vulnérables. Un document spécialement conçu par une personne malintentionn’ee peut provoquer l’exécution de code arbitraire sur le système de la victime.

Cette vulnérabilité est actuellement activement exploitée sur l’Internet, via des documents Flash (.swf) inclus dans des fichiers au format Microsoft Word (.doc) ou Microsoft Excel (.xls) et diffusés par courrier électronique, la cible principale étant les systèmes Windows.

Adobe a annoncé la mise à disposition de mises à jour pour Adobe Flash le 15 avril 2011, jour de la publication de cet article. Toutefois, au moment de la rédaction de celui-ci, ces mises à jour ne sont pas disponibles.

Adobe indique que les mises à jour des autres produits concernés seront disponibles avant la semaine du 25 avril 2011. L’alerte sera alors modifiée au regard de ces nouvelles informations. Seule la version d’Adobe Reader X pour Windows est retardée au 14 juin 2011. Adobe considère que le Protected Mode empêche l’exploitation de la faille sur ce logiciel.

Il est à noter que les utilisateurs de Google Chrome peuvent déjà mettre à jour leur logiciel pour atteindre la version 10.0.648.205 corrigeant la vulnérabilité (se reporter à l’avis CERTA-2011-AVI-227).

Dans tous les cas, il reste impératif de mettre à jour les logiciels déclarés vulnérables dès la sortie des correctifs.

Documentation

2 Mise à jour Microsoft du mois d’avril

Cette semaine, Microsoft a publié un nombre élevé de mises à jour pour ses différents logiciels. En effet, ce ne sont pas moins de 17 bulletins qui ont été émis pour un total de 64 vulnérabilités corrigées. Parmi ces bulletins, 16 traitent de vulnérabilités autorisant une exécution de code arbitraire à distance et 9 sont classés comme étant critiques par l’éditeur.

Deux de ces vulnérabilités retiennent particulièrement l’attention. Il s’agit de deux failles critiques autorisant l’exécution de code arbitraire à distance, exposées dans les bulletins MS11-019 et MS11-020, et qui concernent respectivement le client et le serveur SMB de Microsoft Windows. De part leur complémentarité, ces deux vulnérabilités sont particulièrement dangereuses. En effet, un ver utilisant ces vulnérabilités comme mécanisme de propagation pourrait aisément compromettre l’ensemble d’un réseau suite à la contamination d’un serveur ou d’un simple poste client. Il est donc impératif de mettre à jour rapidement l’ensemble des systèmes Microsoft Windows.

Notons aussi que Microsoft a publié, dans ces bulletins, des mises à jour concernant des failles dans Internet Explorer 6, 7 et 8 ainsi que dans le protocole MHMTL qui sont d’ores et déjà activement exploitées. Ici encore, une mise à jour dans les plus brefs délais s’impose.

D’autres parts, des mises à jour Microsoft Office, Excel et Powerpoint sont aussi présentes. Bien que classées comme importantes et non comme critiques par l’éditeur, il convient d’appliquer les mises à jour et de rappeler aux utilisateurs d’être vigilant à l’égard des pièces jointes.

Par ailleurs, il semblerait que la mise à jour MS11-025 concernant la bibliothèque Microsoft Foundation Class pose problème avec certains logiciels. Cependant, aucune note officielle de Microsoft ou des éditeurs concernés ne confirme cet état de fait.

Documentation

3 User Shell Folders et problèmes applicatifs

Il existe au sein de la base de registre de Microsoft Windows des clés de registre nommées Shell Folders et User Shell Folders permettant de stocker les chemins d’accès de différents répertoires jouant un rôle particulier pour le système d’exploitation. Ces clés se situent respectivement aux emplacements suivants :

HKEY_CURRENT_USER\software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders

HKEY_CURRENT_USER\software\Microsoft\Windows\CurrentVersion\Explorer\User Shell Folders

Des valeurs enregistrent, par exemple, le chemin d’accès au répertoire « Mes Documents », au bureau ou à l’endroit où sont stockés les fichiers de session. Dans les dernières versions du système d’exploitation de Microsoft, les répertoires des bibliothèques d’images, de musiques ou de vidéos sont également référencés.

Si l’une de ces valeurs pointe sur un lecteur et que ce dernier est inaccessible lors de l’installation ou de la suppression d’une application, Microsoft Windows affiche alors une erreur et stoppe le processus en cours d’exécution. Ce type d’erreur peut donc facilement bloquer le déploiement d’une application ou d’une mise à jour.

Le problème est connu chez Microsoft qui a publié un « Fix it » (cf. la section Documentation). Ce problème est également connu chez Adobe qui a publié un article dans sa base de connaissance (cf. la section Documentation). Le CERTA recommande donc d’utiliser avec précaution le changement de ces valeurs afin d’éviter tout problème lors du déploiement de nouvelles applications ou de mises à jour.

Documentation

Rappel des avis émis

Dans la période du 04 au 10 avril 2011, le CERT-FR a émis les publications suivantes :


Durant la même période, les publications suivantes ont été mises à jour :

Gestion détaillée du document

    le 15 avril 2011
    version initiale.