Marianne ANSSI

CERT-FR

Centre gouvernemental de veille, d'alerte et de réponse aux attaques informatiques

logo ANSSI
Informations utiles

Que faire en cas d'intrusion ?

Les systèmes obsolètes

Liens utiles

 

L'ANSSI recrute

 

 

Les documents du CERT-FR

Publications récentes

Les alertes en cours

Les bulletins d'actualité

Les notes d'information

Année en cours Archive

 

Les Flux RSS du CERT-FR

Flux RSS complet

RSS

Flux RSS des alertes

RSS

Flux RSS SCADA

RSS

 

CERTA-2009-ACT-028

Imprimer ce document

Version PDF

À propos du CERT-FR

Le CERT-FR

Nous contacter

Contact us ( Drapeau anglais )

A propos du site

Communauté CSIRT

Les CSIRT

Le FIRST

L'EGC

 
Archives du CERT-FR

Année 2017 Archive

Année 2016 Archive

Année 2015 Archive

Année 2014 Archive

Année 2013 Archive

Année 2012 Archive

Année 2011 Archive

Année 2010 Archive

Année 2009 Archive

Année 2008 Archive

Année 2007 Archive

Année 2006 Archive

Année 2005 Archive

Année 2004 Archive

Année 2003 Archive

Année 2002 Archive

Année 2001 Archive

Année 2000 Archive

 

S . G . D . S . N
Agence nationale
de la sécurité des
systèmes d'information

République Française Paris, le 10 juillet 2009
No CERTA-2009-ACT-028

Affaire suivie par :

CERTA

Objet : Bulletin d'actualité 2009-28


Conditions d'utilisation de ce document : http://www.certa.ssi.gouv.fr/certa/apropos.html
Dernière version de ce document : http://www.certa.ssi.gouv.fr/site/CERTA-2009-ACT-028

Gestion du document

Le bulletin d'actualité est disponible dans son intégralité et au format PDF à l'adresse suivante :

http://www.certa.ssi.gouv.fr/site/CERTA-2009-ACT-028.pdf

Un extrait du bulletin, ne reprenant que les articles de la semaine, se trouve en HTML à l'adresse suivante :

http://www.certa.ssi.gouv.fr/site/CERTA-2009-ACT-028/

1 Vulnérabilité dans le composant ActiveX Microsoft Video

1.1 Les faits

Cette semaine Microsoft a publié un nouveau bulletin d'alerte faisant état d'une vulnérabilité dans le composant ActiveX MPEG2TuneRequest en charge du contrôle de flux vidéo dans Microsoft Internet Explorer pour les systèmes d'exploitation Microsoft Windows XP et Microsoft Windows Server 2003. La vulnérabilité se situe dans le fichier msvidctl.dll. Le CERTA a donc rapporté cette faille au travers de l'alerte CERTA-2009-ALE-010. Cette vulnérabilité peut être exploitée par le biais d'une page Web malveillante. La bonne exploitation de cette faille ne nécessite pas forcément la présence d'un flux vidéo sur la page visitée. Une personne malintentionnée peut alors exécuter du code arbitraire à distance et prendre le contrôle de la machine compromise.

1.2 Les recommandations

En attendant, le CERTA recommande d'appliquer le contournement provisoire de Microsoft consistant à changer la valeur du paramètre Compatibility Flags en 00000400 pour l'ensemble des CLSID du composant Microsoft Video. La liste exhaustive des CLSID est disponible dans l'alerte. Cette manipulation a été automatisée par Microsoft à l'aide d'une application téléchargeable sur son site (cf. la section Documentation) et permet ainsi de colmater temporairement la brèche en attendant un correctif définitif. Ce correctif pourrait paraître mardi prochain à l'occasion du Patch Tuesday mensuel.

Le CERTA rappelle également que la désactivation par défaut de l'exécution de code dynamique (JavaScript, Flash, ...) et des composants ActiveX est une bonne pratique pour la navigation sur l'Internet. De plus, l'utilisation d'un compte aux droits limités permet de modérer la portée de l'attaque.

La désactivation de composant ActiveX Microsoft Video peut nuire à la bonne lecture des flux vidéo sur l'Internet.

Il est également recommandé l'utilisation d'un navigateur alternatif si la lecture de flux vidéo est nécessaire ou que le composant ne peut pas être désactivé.

Documentation

2 Rumeurs concernant une vulnérabilité d'OpenSSH

Ces derniers jours, une rumeur concernant une vulnérabilité non corrigée (0-day) d'OpenSSH s'est répandue. Cette prétendue faille de sécurité permettrait de prendre le contrôle à distance du serveur. Elle aurait été exploitée au moins deux fois, les compromissions en découlant ayant été médiatisées sur l'Internet.

Le SANS a relayé cette information, et établi deux hypothèses :

  • il s'agirait d'une vulnérabilité qui n'affecterait pas la dernière version d'OpenSSH ;
  • la rumeur serait née suite au « maquillage » de deux compromissions pour faire croire à une vulnérabilité d'OpenSSH, les failles réellement exploitées reposant sur d'autres problèmes de sécurité.

Quelle que soit la vérité concernant cette affaire, il convient, pour les administrateurs, de ne pas paniquer, de s'assurer que les correctifs de sécurité ont bien tous été appliqués et de lire attentivement les journaux relatifs à cette application.

Documentation

3 Firefox 3.5

Le navigateur Firefox de la fondation Mozilla est sorti en version 3.5 le 30 juin 2009. Cette nouvelle mouture n'inclut pas à proprement parler de correctif de sécurité. En effet, sa sortie n'a pas été accompagnée d'un bulletin de sécurité. Cependant, cette nouvelle version inclut de nouvelles fonctionnalités ou des modifications notables pouvant avoir une influence sur le niveau de sécurité du logiciel :

  • le premier changement concerne l'utilisation d'un nouveau moteur de rendu des JavaScript nommé TraceMonkey (http://wiki.mozilla.org/JavaScript:TraceMonkey). Le CERTA a déjà évoqué les problèmes liés à cette technologie et aux risques qu'elle engendre. La prudence sera donc de mise en la matière car, comme tout nouveau produit, il peut manquer de maturité ;
  • le second changement est, quant à lui, assez intéressant. Il conceptualise la navigation privée qui consiste en la possibilité pour l'utilisateur d'activer un mode de fonctionnement du navigateur dans lequel aucune trace n'est stockée sur le système tant que l'on ne sort pas de celui-ci. On entend ici par traces : l'historique de navigation, la saisie dans la barre de liens, les fichiers de mise en cache, les cookies, etc.

    Après une première vérification rapide, il semblerait bien qu'une fois dans ce mode, le navigateur ne stocke plus rien dans les fichiers SQLite où, normalement, il place toutes ces informations. Évidemment, ce comportement particulier n'est pas sans incidence sur la facilité d'utilisation mais apporte une amélioration notable dans le niveau de confidentialité offert.

Enfin la granularité de configuration dans la gestion des informations privées stockées par le navigateur a, elle aussi, été augmentée permettant des réglages plus fins.


4 Rappel des avis émis

Dans la période du 03 au 10 juillet 2009, le CERTA a émis les avis suivants :

  • CERTA-2009-AVI-265 : Multiples vulnérabilités dans Drupal
  • CERTA-2009-AVI-266 : Multiples vulnérabilités dans FCKeditor
  • CERTA-2009-AVI-267 : Vulnérabilités de IBM Tivoli Identity Manager
  • CERTA-2009-AVI-268 : Multiples vulnérabilités dans Sun Solaris
  • CERTA-2009-AVI-269 : Vulnérabilité dans VLC
  • CERTA-2009-AVI-270 : Vulnérabilité dans VMware ESX Service Console


Liste des tableaux

Gestion détaillée du document

10 juillet 2009
version initiale.


CERTA
2014-01-17
Premier Ministre / Secrétariat Général de la Défense et de la Sécurité Nationale / Agence nationale de la sécurité des systèmes d'information webmestre Dernière mise à jour : le 2017-06-28