Marianne ANSSI

CERT-FR

Centre gouvernemental de veille, d'alerte et de réponse aux attaques informatiques

logo ANSSI
Informations utiles

Que faire en cas d'intrusion ?

Les systèmes obsolètes

Liens utiles

 

L'ANSSI recrute

 

 

Les documents du CERT-FR

Publications récentes

Les alertes en cours

Les bulletins d'actualité

Les notes d'information

Année en cours Archive

 

Les Flux RSS du CERT-FR

Flux RSS complet

RSS

Flux RSS des alertes

RSS

Flux RSS SCADA

RSS

 

CERTA-2009-ACT-051

Imprimer ce document

Version PDF

À propos du CERT-FR

Le CERT-FR

Nous contacter

Contact us ( Drapeau anglais )

A propos du site

Communauté CSIRT

Les CSIRT

Le FIRST

L'EGC

 
Archives du CERT-FR

Année 2017 Archive

Année 2016 Archive

Année 2015 Archive

Année 2014 Archive

Année 2013 Archive

Année 2012 Archive

Année 2011 Archive

Année 2010 Archive

Année 2009 Archive

Année 2008 Archive

Année 2007 Archive

Année 2006 Archive

Année 2005 Archive

Année 2004 Archive

Année 2003 Archive

Année 2002 Archive

Année 2001 Archive

Année 2000 Archive

 

S . G . D . S . N
Agence nationale
de la sécurité des
systèmes d'information

République Française Paris, le 18 décembre 2009
No CERTA-2009-ACT-051

Affaire suivie par :

CERTA

Objet : Bulletin d'actualité 2009-51


Conditions d'utilisation de ce document : http://www.certa.ssi.gouv.fr/certa/apropos.html
Dernière version de ce document : http://www.certa.ssi.gouv.fr/site/CERTA-2009-ACT-051

Gestion du document

Le bulletin d'actualité est disponible dans son intégralité et au format PDF à l'adresse suivante :

http://www.certa.ssi.gouv.fr/site/CERTA-2009-ACT-051.pdf

Un extrait du bulletin, ne reprenant que les articles de la semaine, se trouve en HTML à l'adresse suivante :

http://www.certa.ssi.gouv.fr/site/CERTA-2009-ACT-051/

1 Vulnérabilité dans Adobe Reader et Adobe Acrobat

L'éditeur Adobe a publié le 15 décembre 2009 un bulletin de sécurité portant sur l'existance d'une vulnérabilité dans les produits Adobe Reader et Adobe Acrobat. Cette vulnérabilité a fait l'objet d'un bulletin d'alerte du CERTA (cf. CERTA-2009-ALE-023) dans lequel le risque associé à son exploitation est l'exécution de code arbitraire. En effet, cette vulnérabilité peut être exploitée lors de l'ouverture d'un fichier au format PDF spécialement construit. Le savoir-faire destiné à exploiter cette vulnérabilité est d'ores et déjà disponible sur l'Internet. De plus, des codes exploitant cette vulnérabilité ont également été découverts.

L'éditeur Adobe a annoncé qu'un correctif de sécurité serait normalement publié le 12 janvier 2010. En l'attente de celui-ci, il est recommandé d'appliquer les contournements provisoires afin de limiter les risques d'exploitation de cette vulnérabilité. L'utilisation de logiciels alternatifs reste un contournement provisoire de même que la désactivation de l'interprétation du Javascript. Ce dernier point reste globalement une bonne pratique. L'activation du DEP (Data Execution Prevention) sous Windows peut également s'appliquer.

2 Vulnérabilités dans Cisco WebEx WRF Player

Cette semaine, le CERTA a publié un avis (CERTA-2009-AVI-550) à propos de multiples vulnérabilités affectant Cisco WebEx WRF Player. Cette application est utilisée pour lire les fichiers au format WRF. Une particularité de ce lecteur réside dans son installation :

  • soit un utilisateur va télécharger « manuellement » ce programme sur le site http://www.webex.com ;
  • soit le lecteur est installé automatiquement lors de la première connexion à un serveur WebEx pour lire un fichier WRF.

En cas d'installation manuelle, la mise à jour du logiciel doit également être effectuée manuellement. Par contre, si l'installation du programme a été faite automatiquement, alors la mise à jour du lecteur est effectuée automatiquement lors d'une connexion sur un serveur WebEx, à condition que ce serveur possède une version du client à jour.

Le principe de téléchargement automatique du lecteur est très pratique pour l'utilisateur. Le mécanisme de mise à jour qui en découle semble efficace. Pour autant, ce système présente les risques suivants :

  • si un utilisateur va consulter un fichier au format WRF malveillant hébergé sur un serveur qui ne contient pas la version du lecteur à jour, alors une des vulnérabilités pourra être exploitée ;
  • si un utilisateur va se connecter à un serveur WebEx maîtrisé par des personnes malintentionnées, alors il téléchargera automatiquement une version vulnérable du lecteur avant de consulter le fichier malveillant.

Il est difficile d'émettre des recommandations pour se protéger de ces vulnérabilités. L'installation manuelle du lecteur semble préférable dans la mesure où le mécanisme de mise à jour est davantage maîtrisé. Néanmoins, le problème reste entier pour ceux qui n'ont jamais installé ce logiciel. Le plus sûr peut être de télécharger le lecteur sur le site officiel si l'on a l'intention d'aller consulter un fichier au format WRF.

3 Compte utilisateur sous Windows et mises à jour

Il est généralement admis qu'une bonne pratique de sécurité est d'utiliser un compte avec des droits limités pour naviguer sur l'Internet ou encore faire de la bureautique. Ainsi, l'impact d'un incident de sécurité sera moindre, certains codes malveillants héritant des privilèges de l'utilisateur. Néanmoins, cette pratique pose un problème lorsqu'il faut appliquer des mises à jour. En effet, l'installation des correctifs de sécurité de certains logiciels tiers nécessite généralement de basculer sur un compte administrateur.

La recherche des mises à jour est une opération qui tend à s'automatiser, mais cette automatisation n'est pas toujours adaptée aux comptes ayant des droits limités. Si certains logiciels font apparaître un message pour signaler clairement l'existence d'une nouvelle version, ce n'est pas le cas pour toutes les applications. Par exemple, Mozilla Firefox, sous certaines versions de Windows, n'informe pas les utilisateurs de la possibilité d'installer une mise à jour (l'option de recherche de mises à jour est même « grisée » lorsque l'on utilise le navigateur avec un compte utilisateur). D'autres programmes posent des problèmes encore plus subtils. Par exemple, la mise à jour manuelle d'Adobe Flash Player provoque le téléchargement d'un greffon (plug-in) pour le navigateur. C'est ce greffon qui est chargé ensuite de récupérer les mises à jour. Lorsque l'opération est effectuée depuis un compte utilisateur, en apparence, les mises à jour sont recherchées mais dans les faits, rien ne se passe.

L'utilisation des comptes utilisateur rend ardue la tâche d'installation des correctifs de sécurité pour les applications. Il est nécessaire de régulièrement basculer sur le compte administrateur et de penser à tout mettre à jour, ce qui requiert une bonne connaissance de son propre système.


4 Rappel des avis émis

Dans la période du 11 au 17 décembre 2009 , le CERTA a émis les avis suivants :

  • CERTA-2009-AVI-542 : Vulnérabilité des produits Symantec Veritas VRTSweb
  • CERTA-2009-AVI-543 : Vulnérabilité dans Ruby
  • CERTA-2009-AVI-544 : Multiples vulnérabilités dans HP OpenView Network Node Manager
  • CERTA-2009-AVI-545 : Multiples vulnérabilités dans Moodle
  • CERTA-2009-AVI-546 : Vulnérabilités dans PostgreSQL
  • CERTA-2009-AVI-547 : Multiples vulnérabilités dans Mozilla Firefox
  • CERTA-2009-AVI-548 : Vulnérabilité dans VMware vCenter Lab Manager
  • CERTA-2009-AVI-549 : Multiples vulnérabilités dans Drupal
  • CERTA-2009-AVI-550 : Multiples vulnérabilités dans Cisco WebEx WRF Player
  • CERTA-2009-AVI-551 : Multiples vulnérabilités dans IBM WebSphere
  • CERTA-2009-AVI-552 : Vulnérabilité dans des produits Horde

Pendant la même période, les avis suivants ont été mis à jour :

  • CERTA-2009-AVI-149-001 : Vulnérabilité dans mod_perl pour Apache (ajout des bulletins de sécurité Sun Solaris et Mandriva )
  • CERTA-2009-AVI-508-001 : Multiples vulnérabilités dans GIMP (ajout du bulletin de sécurité Sun Solaris)


Liste des tableaux

Gestion détaillée du document

18 décembre 2009
version initiale.


CERTA
2014-01-17
Premier Ministre / Secrétariat Général de la Défense et de la Sécurité Nationale / Agence nationale de la sécurité des systèmes d'information webmestre Dernière mise à jour : le 2017-09-22