1 Le cloisonnement de Flash Player arrive sur Firefox
Cette semaine, Adobe a sorti une nouvelle version bêta de l’extension Flash Player pour le navigateur Firefox. La particularité de cette nouvelle version, aussi appelée mode protégé de Flash Player, est l’apport de mécanismes de cloisonnement (sandboxing), augmentant la sécurité grâce à la surveillance ou la limitation des actions effectuées par Flash Player.
Cette fonction est comparable au mode protégé d’Adobe Reader X ou au mode protégé de Flash Player du navigateur Chrome. Pour implémenter le cloisonnement, Adobe se base sur les mécanismes de sécurité offerts par le système d’exploitation Windows. Le processus Flash Player s’exécute ainsi avec des privilèges restreints qui limitent ses possibilités d’action. Lorsque ce processus cloisonné a besoin d’effectuer une action nécessitant de plus hauts privilèges, il doit faire une demande à un processus mandataire (appelé broker) qui, après vérification, va effectuer l’action à sa place si la demande est légitime. Le processus mandataire est donc responsable de mettre en œuvre une politique de sécurité et constitue, pour le processus cloisonné, la porte d’entrée sur le reste du système d’exploitation. Pour de plus amples détails, les lecteurs intéressés pourront consulter une série d’articles publiés par Adobe dont les liens se trouvent dans la section Documentation.
Le but de cette fonctionnalité est de limiter les dégâts d’une éventuelle exploitation de vulnérabilité dans Flash Player. Pour arriver à leurs fins, les attaquants devront désormais franchir, en plus, la barrière du cloisonnement. Selon Adobe, depuis sa sortie en novembre 2010, aucune exploitation réussie n’a encore été observée sur le mode protégé d’Adobe Reader X.
Actuellement, cette version est disponible seulement pour les versions 4.0 ou supérieures de Firefox, sur les systèmes Windows Vista et Windows 7. Rappelons également que cette version est encore en bêta, par conséquent, il est déconseillé de l’installer sur des machines en production avant la sortie de la version finale, prévue cette année.
Documentation
- Annonce de la sortie sur le blog d’Adobe :
http://blogs.adobe.com/asset/2012/02/flash-player-sandboxing-is-coming-to-firefox.html
- Articles techniques sur la méthode de cloisonnement utilisée dans Adobe Reader X, comparable à la méthode utilisée dans Flash Player pour Firefox :
http://blogs.adobe.com/asset/2010/10/inside-adobe-reader-protected-mode-part-1-design.html
http://blogs.adobe.com/asset/2010/10/inside-adobe-reader-protected-mode-%E2%80%93-part-2-%E2%80%93-the-sandbox-process.html
http://blogs.adobe.com/asset/2010/11/inside-adobe-reader-protected-mode-part-3-broker-process-policies-and-inter-process-communication.html
http://blogs.adobe.com/asset/2010/11/inside-adobe-reader-protected-mode-part-4-the-challenge-of-sandboxing.html
2 Contrôle des mécanismes d’accès à distance
Actuellement, le code source d’une version datant de 2006 du logiciel pcAnywhere, développé par la société Symantec, a été divulgué sur Internet. Ce logiciel permet la prise de contrôle à distance de postes. Le CERTA recommande à tous les utilisateurs de mettre à jour ce logiciel. Certaines vulnérabilités ont été découvertes dans ce logiciel.Il semble également important de rappeler la nécessité de restreindre les accès à ce type de services à un ensemble limité de postes. Qu’il s’agisse de serveur FTP permettant de mettre à jour un site Web, d’un service de connexion ou prise de contrôle à distance, ou tout autre point d’entrée sur un système d’information à usage restreint, il convient non seulement de maintenir une politique de mot de passe raisonnée, mais également lorsque cela est possible, de limiter les accès à ces ressources aux seuls postes administrateurs.
En effet, dans un incident récent, il est apparu que des identifiants de connexion FTP ont pu être dérobés par une personne malveillante. Ceux-ci ont ensuite été utilisés pour accéder à un serveur en production, depuis une adresse IP différente du poste où ils ont été dérobés. Une simple liste blanche d’adresses IP autorisées à se connecter au serveur FTP aurait rendu beaucoup plus difficile l’exploitation des identifiants dérobés.
3 Utilisation des noms de domaines accentués
L’AFNIC a annoncé qu’elle va autoriser les noms de domaines accentués pour les différents domaines de premier niveau qu’elle gère. Du 3 mai au 3 juillet 2012, les détenteurs de noms de domaines sans accent auront la possibilité d’obtenir un nom de domaine accentué équivalent. Passé cette date, la règle du « premier arrivé, premier servi » s’appliquera.
Le CERTA met en garde contre les possibilités de « typosquatting » liées à l’apparition de ces nouveaux caractères et recommande la réservation des nouveaux noms de domaines possibles.
Documentation
- Document de l’AFNIC décrivant les nouvelles spécifications :
http://www.afnic.fr/medias/documents/afnic-idn-specifications-techniques.pdf
4 Rappel des avis émis
Dans la période du 28 janvier 2012 au 09 février 2012, le CERTA a émis les publications suivantes :
- CERTA-2012-AVI-052 : Multiples vulnérabilités dans Drupal
- CERTA-2012-AVI-053 : Vulnérabilités dans Bugzilla
- CERTA-2012-AVI-054 : Vulnérabilités dans Mac OS X
- CERTA-2012-AVI-055 : Vulnérabilité dans PHP
- CERTA-2012-AVI-056 : Vulnérabilités dans Blue Coat Reporter
- CERTA-2012-AVI-057 : Vulnérabilité dans EMC Documentum
- CERTA-2012-AVI-058 : Vulnérabilité dans Skype
- CERTA-2012-AVI-059 : Vulnérabilités dans DotNetNuke
- CERTA-2012-AVI-060 : Vulnérabilité dans EMC Documentum xPlore
- CERTA-2012-AVI-061 : Vulnérabilité dans Xen
- CERTA-2012-AVI-062 : Vulnérabilité dans IBM AIX
- CERTA-2012-AVI-063 : Multiples vulnérabilités dans Apache pour HP-UX
- CERTA-2012-AVI-064 : Vulnérabilités dans RealPlayer
- CERTA-2012-AVI-065 : Multiples vulnérabilités dans JBoss Operations Network
- CERTA-2012-AVI-066 : Vulnérabilité dans JBoss Enterprise Platform
- CERTA-2012-AVI-067 : Vulnérabilité dans Red Hat Network Satellite
- CERTA-2012-AVI-068 : Vulnérabilité dans Red Hat Network Proxy
- CERTA-2012-AVI-069 : Vulnérabilités dans Google Chrome
- CERTA-2012-AVI-070 : Vulnérabilité dans Avaya Interaction Center
Durant la même période, les publications suivantes ont été mises à jour :
- CERTA-2011-AVI-630-001 : Multiples vulnérabilités dans Adobe Flash Player (ajout du bulletin Oracle)
- CERTA-2012-AVI-032-001 : Vulnérabilités dans pcAnywhere (ajout du CVE CVE-2012-0290)
Rappel des avis émis
Dans la période du 30 janvier au 05 février 2012, le CERT-FR a émis les publications suivantes :
- CERTA-2012-ALE-001-001 : Vulnérabilité dans Cisco IronPort
- CERTA-2012-AVI-034 : Vulnérabilité dans le noyau linux
- CERTA-2012-AVI-035 : Vulnérabilité dans Cisco IP Video Phone E20
- CERTA-2012-AVI-036 : Multiples vulnérabilités dans Postfix Admin
- CERTA-2012-AVI-037 : Vulnérabilité dans IBM solidDB
- CERTA-2012-AVI-038 : Vulnérabilité dans Samba
- CERTA-2012-AVI-039 : Vulnérabilités dans FFmpeg
- CERTA-2012-AVI-040 : Vulnérabilités dans SAP NetWeaver
- CERTA-2012-AVI-041 : Vulnérabilités dans IBM DB2 Accessories Suite
- CERTA-2012-AVI-042 : Vulnérabilité dans JBoss
- CERTA-2012-AVI-043 : Vulnérabilité dans IBM Web Experience Factory
- CERTA-2012-AVI-044 : Vulnérabilité dans RSA enVision
- CERTA-2012-AVI-045 : Vulnérabilité dans des produits Oracle
- CERTA-2012-AVI-046 : Vulnérabilités dans VMware ESX et ESXi
- CERTA-2012-AVI-047 : Multiples vulnérabilités dans les produits Mozilla
- CERTA-2012-AVI-048 : Vulnérabilité dans Ubuntu Software Properties
- CERTA-2012-AVI-049 : Vulnérabilité dans Ubuntu AccountsService
- CERTA-2012-AVI-050 : Vulnérabilités dans Apache
- CERTA-2012-AVI-051 : Vulnérabilité dans HP Network Automation
- CERTA-2012-AVI-052 : Multiples vulnérabilités dans Drupal
- CERTA-2012-AVI-053 : Vulnérabilités dans Bugzilla
- CERTA-2012-AVI-054 : Vulnérabilités dans Mac OS X
- CERTA-2012-AVI-055 : Vulnérabilité dans PHP
- CERTA-2012-AVI-056 : Vulnérabilités dans Blue Coat Reporter
- CERTA-2012-AVI-057 : Vulnérabilité dans EMC Documentum
Durant la même période, les publications suivantes ont été mises à jour :
- CERTA-2011-AVI-381-001 : Multiples vulnérabilités dans Bind
- CERTA-2011-AVI-580-002 : Vulnérabilités dans Java
- CERTA-2011-AVI-645-001 : Vulnérabilité dans ISC BIND
- CERTA-2012-AVI-006-001 : Multiples vulnérabilités dans OpenSSL
