1 Vulnérabilité dans le navigateur d’Android
Cette semaine, une preuve de faisabilité a été publiée sur l’Internet concernant une vulnérabilité dans le navigateur Android. Elle permet à une application malveillante de contourner l’isolation des applications (sandboxing) mise en place par le système.
Dans le cas présent, l’application malveillante permet d’injecter du code JavaScript dans le contexte d’une URL déjà chargée et ainsi de modifier le contenu affiché à l’utilisateur ou d’inclure un script malveillant.
Les versions vulnérables sont les versions 2.2.X, 2.3.X et 3.1. Des correctifs devraient être publiés dans les versions 2.3.5 et 3.2 et seront disponibles prochainement pour les versions 2.2.X.
En attendant le déploiement de ces mises à jour par les constructeurs et les opérateurs, le CERTA recommande la plus grande prudence lors de l’installation d’applications sur des ordiphones.
Documentation
- Référence CVE CVE-2011-2357 :
https://www.cve.org/CVERecord?id=CVE-2011-2357
- Correctifs dans le gestionnaire de versions du projet Android :
2 WordPress : plugins et thèmes
Récemment, une vulnérabilité a été découverte dans le greffon WordPress TimThumb. Celle-ci peut être qualifiée de critique puisqu’elle autorise l’inclusion et l’exécution de code PHP arbitraire à distance.
Son impact est d’autant plus grand que cette extension de WordPress est très répandue. En effet, ce greffon est embarqué dans de nombreux thèmes, commerciaux ou non. De plus, lors du téléchargement de ces thèmes, il n’est pas nécessairement fait mention de la présence de TimThumb ou d’autres modules d’extension. D’autre part, le suivi et les mises à jour des ces greffons ne sont pas non plus forcément assurés par les distributeurs de thèmes.
Ainsi, il est nécessaire d’accorder une attention particulière aux modules d’extension embarqués dans un thème WordPress lors de son installation et, le cas échéant, d’effectuer le suivi des mises à jour concernant ces modules.
Documentation
- TimThumb PHP script open holes in WordPress blog :
http://www.h-online.com/security/news/item/Timthumb-PHP-script-opens-hole-in-WordPress-blogs-1317479.html
Rappel des avis émis
Dans la période du 25 au 31 juillet 2011, le CERT-FR a émis les publications suivantes :
- CERTA-2011-AVI-410 : Vulnérabilités dans SquirrelMail
- CERTA-2011-AVI-411 : Vulnérabilités dans phpMyAdmin
- CERTA-2011-AVI-412 : Vulnérabilité dans Apple iOS
- CERTA-2011-AVI-413 : Vulnérabilités dans iWork
- CERTA-2011-AVI-414 : Vulnérabilités dans Nagios
- CERTA-2011-AVI-415 : Vulnérabilité dans ClamAV
- CERTA-2011-AVI-416-001 : Vulnérabilités dans Samba (SWAT)
- CERTA-2011-AVI-417 : Vulnérabilité dans EMC Data Protection Advisor
- CERTA-2011-AVI-418 : Multiples vulnérabilités dans EMC Captiva eInput
- CERTA-2011-AVI-419 : Vulnérabilité dans des produits Citrix
- CERTA-2011-AVI-420 : Vulnérabilités dans IBM Lotus Symphony
- CERTA-2011-AVI-421 : Vulnérabilité dans Drupal
Durant la même période, les publications suivantes ont été mises à jour :
- CERTA-2011-AVI-396-001 : Vulnérabilités dans Citrix Access Gateway Plug-in
- CERTA-2011-AVI-405-001 : Vulnérabilité dans Joomla!
