Marianne ANSSI

CERT-FR

Centre gouvernemental de veille, d'alerte et de réponse aux attaques informatiques

logo ANSSI
Informations utiles

Que faire en cas d'intrusion ?

Les systèmes obsolètes

Liens utiles

 

L'ANSSI recrute

 

 

Les documents du CERT-FR

Publications récentes

Les alertes en cours

Les bulletins d'actualité

Les notes d'information

Année en cours Archive

 

Les Flux RSS du CERT-FR

Flux RSS complet

RSS

Flux RSS des alertes

RSS

Flux RSS SCADA

RSS

 

CERTA-2011-ACT-001

Imprimer ce document

Version PDF

À propos du CERT-FR

Le CERT-FR

Nous contacter

Contact us ( Drapeau anglais )

A propos du site

Communauté CSIRT

Les CSIRT

Le FIRST

L'EGC

 
Archives du CERT-FR

Année 2017 Archive

Année 2016 Archive

Année 2015 Archive

Année 2014 Archive

Année 2013 Archive

Année 2012 Archive

Année 2011 Archive

Année 2010 Archive

Année 2009 Archive

Année 2008 Archive

Année 2007 Archive

Année 2006 Archive

Année 2005 Archive

Année 2004 Archive

Année 2003 Archive

Année 2002 Archive

Année 2001 Archive

Année 2000 Archive

 

S . G . D . S . N
Agence nationale
de la sécurité des
systèmes d'information

République Française Paris, le 07 janvier 2011
No CERTA-2011-ACT-001

Affaire suivie par :

CERTA

Objet : Bulletin d'actualité 2011-01


Conditions d'utilisation de ce document : http://www.certa.ssi.gouv.fr/certa/apropos.html
Dernière version de ce document : http://www.certa.ssi.gouv.fr/site/CERTA-2011-ACT-001

Gestion du document

Le bulletin d'actualité est disponible dans son intégralité et au format PDF à l'adresse suivante :

http://www.certa.ssi.gouv.fr/site/CERTA-2011-ACT-001.pdf

Un extrait du bulletin, ne reprenant que les articles de la semaine, se trouve en HTML à l'adresse suivante :

http://www.certa.ssi.gouv.fr/site/CERTA-2011-ACT-001/

1 Vulnérabilités de la semaine

1.1 PHP et virgule flottante

Cette semaine, une vulnérabilité importante dans PHP a été corrigée. En effet, sous certaines conditions, le traitement d'une unique valeur en virgule flottante provoquait une boucle infinie entraînant un déni de service. La vulnérabilité intervenait lors de l'initialisation d'une variable avec une valeur représentée par une chaîne de caractères, cette représentation pouvant prendre plusieurs forme pour une même valeur (ex: « 10.2 », « 1.02E01 », « 102E-01 »...). L'exploitation de cette vulnérabilité est triviale, une simple requête de type GET peut suffire. Il est précisé sur le site de PHP que seules les plates-formes de type x86 en 32 bits seraient concernées par ce problème.

Le CERTA recommande bien sûr d'effectuer les mises à jour, en respect avec les processus de déploiement locaux.

2.1 Documentation

1.2 Rendu graphique des miniatures dans Windows

Cette semaine le CERTA a publié sa première alerte de l'année, CERTA-2011-ALE-001, à propos d'une vulnérabilité lors du rendu graphique des miniatures dans Windows. Elle concerne les systèmes Windows XP SP2/SP3, Windows Server 2003 SP2, Windows Vista SP1/SP2 et Windows Server 2008 SP2. Microsoft recommande comme moyen de contournement provisoire de limiter les droits de la bibliothèque en charge du rendu (CF. Alertes CERTA et Microsoft). Des exemples de code d'exploitation de cette vulnérabilité sont d'ores et déjà recensés sur l'Internet.

Microsoft précise que cette vulnérabilité, ainsi que celle du 23 décembre 2010 (CERTA-2010-ALE-021) concernant Internet Explorer, ne seront pas corrigées avec les mises à jour du mois de janvier.

Le CERTA recommande l'application, si possible, des moyens de contournements, le respect des bonnes pratiques en matière de SSI, et au besoin, l'utilisation de logiciels alternatifs.

Documentation

2 Contournement des sandbox de sécurité dans Flash Player

Flash Player utilise un mécanisme de bac à sable (sandbox) afin de cloisonner les interactions entre les fichiers locaux et le réseau. Ce mécanisme n'est pas à confondre avec la sandbox du plugin flash dans chrome évoqué dans CERTA-2010-ACT-048.

Flash Player assigne les fichiers SWF (ShockWave Flash) à des sandbox de sécurité différentes, selon leur origine. Les fichiers consultés depuis l'Internet sont ainsi assignés à des sandbox séparées correspondantes à leurs sites Web d'origine. Ces fichiers ne sont pas autorisés à charger des ressources ou fichiers locaux.

Les fichiers SWF locaux sont, quant à eux, par défaut placés dans la sandbox local-with-file-system. Ils sont alors autorisés à lire des fichiers locaux mais ne peuvent pas communiquer avec le réseau. Cette politique de sécurité est mise en place afin d'éviter qu'un fichier SWF malveillant soit utilisé pour faire de l'exfiltration de documents.

Un chercheur a découvert un moyen contourner cette restriction en permettant à un fichier, assigné à la sandbox local-with-file-system, d'envoyer des données sur le réseau. La prévention de l'accès au réseau est réalisée par un mécanisme de liste noire de gestionnaires de protocoles. En utilisant le gestionnaire de protocole MHTML qui n'est pas dans cette liste la prévention est contournée et des fichiers peuvent être envoyés sur le réseau. Ce gestionnaire de protocole est présent par défaut sous Windows 7.

Le CERTA rappelle que les différentes protections misent en place par cette technologie (blasklist, sandbox...), restent contournables et ne sont que des éléments constitutifs d'une défense en profondeur du SI.

2.1 Documentation


3 Rappel des avis émis

Dans la période du 31 décembre 2010 au 06 janvier 2011, le CERTA a émis les avis suivants :

  • CERTA-2010-AVI-638 : Multiples vulnérabilités dans WordPress
  • CERTA-2010-AVI-639 : Vulnérabilité dans VLC Media Player
  • CERTA-2011-AVI-001 : Vulnérabilité dans Wireshark
  • CERTA-2011-AVI-002 : Vulnérabilité dans HP Photo Creative

Durant la même période, les avis suivants ont été mis à jour :

  • CERTA-2010-AVI-612-001 : Vulnérabilités dans MantisBT (ajout des références aux bulletins Fedora et aux CVE)


Liste des tableaux

Gestion détaillée du document

07 janvier 2011
version initiale.


CERTA
2014-01-17
Premier Ministre / Secrétariat Général de la Défense et de la Sécurité Nationale / Agence nationale de la sécurité des systèmes d'information webmestre Dernière mise à jour : le 2017-04-24