Marianne ANSSI

CERT-FR

Centre gouvernemental de veille, d'alerte et de réponse aux attaques informatiques

logo ANSSI
Informations utiles

Que faire en cas d'intrusion ?

Les systèmes obsolètes

Liens utiles

 

L'ANSSI recrute

 

 

Les documents du CERT-FR

Publications récentes

Les alertes en cours

Les bulletins d'actualité

Les notes d'information

Année en cours Archive

 

Les Flux RSS du CERT-FR

Flux RSS complet

RSS

Flux RSS des alertes

RSS

Flux RSS SCADA

RSS

 

CERTFR-2015-ACT-028

Imprimer ce document

Version PDF

À propos du CERT-FR

Le CERT-FR

Nous contacter

Contact us ( Drapeau anglais )

A propos du site

Communauté CSIRT

Les CSIRT

Le FIRST

L'EGC

 
Archives du CERT-FR

Année 2017 Archive

Année 2016 Archive

Année 2015 Archive

Année 2014 Archive

Année 2013 Archive

Année 2012 Archive

Année 2011 Archive

Année 2010 Archive

Année 2009 Archive

Année 2008 Archive

Année 2007 Archive

Année 2006 Archive

Année 2005 Archive

Année 2004 Archive

Année 2003 Archive

Année 2002 Archive

Année 2001 Archive

Année 2000 Archive

 

S . G . D . S . N
Agence nationale
de la sécurité des
systèmes d'information

République Française Paris, le 13 juillet 2015
No CERTFR-2015-ACT-028

Affaire suivie par :

CERT-FR

Objet : Bulletin d'actualité CERTFR-2015-ACT-028

1 - Vulnérabilité CVE-2015-5119 dans Adobe Flash Player

Le mercredi 8 juillet, le CERT-FR a publié l'alerte CERTFR-2015-ALE-005 concernant une vulnérabilité de type "jour zéro" dans Adobe Flash Player. Cette vulnérabilité (CVE-2015-5119), ainsi que des codes d'exploitation prêts à l'emploi, ont été rendus publics suite à l'exfiltration de données qui a touchée l'entreprise italienne "Hacking Team". Plusieurs éditeurs ont identifiés une exploitation active dans la nature avant la diffusion du correctif de sécurité. Adobe classe cette vulnérabilité comme "critique" et conseille de mettre à jour Flash Player vers sa dernière version (18.0.0.203).

Détails de la vulnérabilité

Cette vulnérabilité affecte les versions de Flash Player de 9 à 18.0.0.194 incluse. Elle touche les greffons présents dans Internet Explorer, Chrome, Firefox et Safari. La vulnérabilité exploite une "utilisation après libération" dans un objet Flash de type ByteArray. Lorsqu'un objet est assigné à l'intérieur d'un objet de type ByteArray, la méthode ValueOf de cet objet est appelée. Dans le cadre de l'exploitation de cette vulnérabilité, cette méthode est réécrite afin de libérer l'objet ByteArray parent et d'allouer des objets de type Vectors qui viendront prendre la place de l'objet ByteArray en mémoire. Le retour de la fonction ValueOf est écrit dans l'un de ces objets Vectors et permet d'étendre sa taille : une primitive de lecture/écriture arbitraire en mémoire est ainsi créée.

Résumé des vulnérabilités corrigées

Le correctif proposé par Adobe corrige 35 autres vulnérabilités dans le lecteur Flash, parmi celles-ci:

  • 12 concernent des vulnérabilités de type "utilisation après libération" qui permettent d'exécuter du code arbitraire à distance (CVE-2015-3118, CVE-2015-3124, CVE-2015-5117, CVE-2015-3127, CVE-2015-3128, CVE-2015-3129, CVE-2015-3131, CVE-2015-3132, CVE-2015-3136, CVE-2015-3137, CVE-2015-4428, CVE-2015-4430, CVE-2015-5119);
  • 6 sont dues à des corruptions mémoires qui peuvent entrainer l'exécution de code arbitraire à distance (CVE-2015-3117, CVE-2015-3123, CVE-2015-3130, CVE-2015-3133, CVE-2015-3134, CVE-2015-4431);
  • 5 peuvent être utilisées pour contourner la "politique d'origine commune" et ainsi mener à une atteinte à la confidentialité des données (CVE-2014-0578, CVE-2015-3115, CVE-2015-3116, CVE-2015-3125, CVE-2015-5116);
  • 5 concernent des problèmes de confusion de type au sein de l'interpréteur Flash (CVE-2015-3119, CVE-2015-3120, CVE-2015-3121, CVE-2015-3122, CVE-2015-4433);
  • 3 concernent des problèmes de dépassement de tampon dans le tas (CVE-2015-3135, CVE-2015-4432, CVE-2015-5118);
  • 2 sont liées à des déréférencements de pointeur nul (CVE-2015-3126, CVE-2015-4429);
  • 2 concernent des techniques permettant d'outrepasser des protections de sécurité (CVE-2015-3114, CVE-2015-3097).

Recommandations

Le CERT-FR recommande de désactiver l'exécution automatique de code Flash au sein des navigateurs jusqu'à installation du correctif. Le CERT-FR conseille également d'installer des outils permettant de durcir les systèmes et de rendre l'exploitation de vulnérabilités plus difficile. En particulier, sous Windows, l'outil EMET proposé par Microsoft, permet de bloquer l'exploitation de la vulnérabilité identifiée par CVE-2015-5119. Enfin, le CERT-FR préconise d'activer les mises à jour automatiques pour l'ensemble des logiciels.

Documentation

  • Bulletin de sécurité Adobe APSB15-16

    https://helpx.adobe.com/security/products/flash-player/apsb15-16.html

  • Bulletin de sécurité Adobe APSA15-03

    https://helpx.adobe.com/security/products/flash-player/apsa15-03.html

  • Bulletin d'alerte du CERT-FR CERTFR-2015-ALE-005

    http://cert.ssi.gouv.fr/site/CERTFR-2015-ALE-005/index.html

  • Avis de sécurité du CERT-FR CERTFR-2015-AVI-284

    http://cert.ssi.gouv.fr/site/CERTFR-2015-AVI-284/index.html

  • Microsoft EMET

    http://www.microsoft.com/emet

2 - Activer l'exécution à la demande des modules complémentaires d'un navigateur

Suite à la publication récente d'une correction de vulnérabilité affectant Adobe Flash (cf. avis CERTFR-2015-AVI-284), le CERT-FR rappelle que la plupart des navigateurs permettent l'activation à la demande de certains modules complémentaires.

L'utilisation de ces options est fortement recommandée.

En demandant l'accord de l'utilisateur avant exécution, cette option permet d'éviter le chargement automatique d'un plugin potentiellement malveillant ou non désiré. Ainsi, cette configuration a pour effet de bloquer le lancement automatique d'une charge malveillante qui tenterait d'exploiter un module complémentaire vulnérable.

Configuration sous Microsoft Internet Explorer

Pour Internet Explorer, les options de configuration se trouvent dans le menu « Outils », « gérer les modules complémentaires ». Ensuite sélectionner « Barres d'outils et extensions » puis double cliquer sur l'extension choisie (« Flash » par exemple). Dans la fenêtre qui s'affiche, cliquer sur le bouton « supprimer tous les sites ».

Configuration sous Mozilla Firefox

Concernant Mozilla Firefox, aller dans le menu « Outils », « modules complémentaires », « Plugins ». Pour l'extension choisie, sélectionner ensuite l'option « demander pour activer ».

Configuration sous Google Chrome

L'option de configuration pour Google Chrome se situe dans le menu « paramètres », « afficher les paramètres avancés », « paramètres de contenu ». L'option à cocher est « me laisser choisir quand exécuter le contenu du plug-in » dans la section «Plug-ins ».

Documentation


3 - Rappel des avis émis

Dans la période du 06 au 12 juillet 2015, le CERT-FR a émis les publications suivantes :

  • CERTFR-2015-AVI-287 : Vulnérabilité dans VMware Workstation
  • CERTFR-2015-AVI-286 : Multiples vulnérabilités dans les produits Juniper
  • CERTFR-2015-AVI-285 : Vulnérabilité dans OpenSSL
  • CERTFR-2015-AVI-284 : Multiples vulnérabilités dans Adobe Flash Player
  • CERTFR-2015-AVI-283 : Multiples vulnérabilités dans le noyau Linux Ubuntu
  • CERTFR-2015-AVI-282 : Multiples vulnérabilités dans OpenSSH
  • CERTFR-2015-AVI-281 : Vulnérabilité dans MariaDB
  • CERTFR-2015-AVI-280 : Multiples vulnérabilités dans Schneider Electric Wonderware System Platform

Durant la même période, les publications suivantes ont été mises à jour :

  • CERTFR-2015-ALE-005-001 : Vulnérabilité dans Adobe Flash Player (fermeture de l'alerte.)
  • CERTFR-2015-ALE-003-001 : Nouvelle campagne d'hameçonnage de type rançongiciel (fermeture de l'alerte.)

Gestion détaillée du document

13 juillet 2015
version initiale.
Dernière version de ce document : http://cert.ssi.gouv.fr/site/CERTFR-2015-ACT-028

CERT-FR
2015-07-13
Premier Ministre / Secrétariat Général de la Défense et de la Sécurité Nationale / Agence nationale de la sécurité des systèmes d'information webmestre Dernière mise à jour : le 2017-06-22