1 Attention à l’inclusion de code de source tierce

Un récent incident traité par le CERTA concernait un site diffusant du contenu malveillant. Celui-ci consistait en un code JavaScript redirigeant le navigateur de la victime vers une adresse IP différente de celle du serveur Web, qui ensuite tentait de fournir une charge utile malveillante.

Après investigation, il s’est révélé que ce code n’avait pas été ajouté sur les pages Web suite à une compromission du serveur. Un module JavaScript permettant d’afficher une gallerie interactive avait été téléchargée sur un site proposant des services d’hébergement et de gestion de développement de logiciels.

C’est le code initial, mis à disposition par le créateur du module JavaScript qui avait été détourné de son usage principal. Un attaquant a pu éditer le code du module de gallerie, et insérer son code supplémentaire, obfusqué. Pendant plusieurs semaines, à chaque fois qu’un développeur de site voulait récupérer le module, il installait donc, à son insu, du code malveillant.

Le CERTA rappelle qu’il convient d’être prudent lorsque du code tiers est inclus dans un projet quel qu’il soit, même lorsque la source paraît être de confiance.

2 Mise à jour mensuelle Microsoft

Cette semaine, Microsoft a publié plusieurs correctifs de sécurité. Sur les sept bulletins édités, un est jugé critique par Microsoft et les six autres sont considérés comme importants.

Les vulnérabilités corrigées permettent :

  • une exécution de code arbitraire à distance ;
  • une élévation de privilège ;
  • une atteinte à la confidentialité des données ;
  • une injection de code indirecte à distance.

Le CERTA recommande l’application de ces mises à jour dès que possible.

Documentation

3 FreeBSD, nouvelle branche et fins de support

Le projet FreeBSD vient d’annoncer la sortie de la version 9.0, donc la création d’une nouvelle branche.

Le CERTA en profite pour rappeler que la sortie d’une nouvelle branche s’accompagne rapidement de la fin du support d’une branche plus ancienne, et ce, quel que soit l’éditeur ou le projet.

La fin de support signifie la migration impérative vers des versions maintenues. Cette migration est toujours un projet d’ampleur, afin de s’assurer de l’absence de régressions ou de remédier à celles-ci. Il faut donc anticiper ces fins de support.

Dans le cas de FreeBSD, trois fins de support son annoncées pour 2012 :

  • le 31 mars 2012 : FreeBSD 7.3 ;
  • le 31 juillet 2012 : FreeBSD 8.1 ;
  • le 31 juillet 2012 : FreeBSD 8.2.

Documentation

4 Rappel des avis émis

  • CERTA-2012-AVI-004 : Multiples vulnérabilités dans Google Chrome
  • CERTA-2012-AVI-005 : Vulnérabilité dans les imprimantes HP LaserJet P3015
  • CERTA-2012-AVI-006 : Multiples vulnérabilités dans OpenSSL
  • CERTA-2012-AVI-007 : Vulnérabilité dans le noyau Microsoft Windows
  • CERTA-2012-AVI-008 : Vulnérabilité dans le gestionnaire de liaisons de Microsoft Windows
  • CERTA-2012-AVI-009 : Vulnérabilité dans le processus CSRSS de Windows
  • CERTA-2012-AVI-010 : Vulnérabilités dans Windows Media
  • CERTA-2012-AVI-011 : Vulnérabilité dans Microsoft Windows
  • CERTA-2012-AVI-012 : Vulnérabilité dans les protocoles SSL/TLS dans Microsoft Windows
  • CERTA-2012-AVI-013 : Vulnérabilité dans Microsoft AntiXSS
  • CERTA-2012-AVI-014 : Vulnérabilités dans Adobe Reader et Adobe Acrobat

Durant la même période, les publications suivantes ont été mises à jour :

  • CERTA-2011-ALE-008-002 : Vulnérabilité dans Adobe Reader et Acrobat (publication d’un correctif pour les versions 10)

Rappel des avis émis

Dans la période du 02 au 08 janvier 2012, le CERT-FR a émis les publications suivantes :