1 Bulletins de sécurité Microsoft du mois de février

Le CERTA a publié le 14 février des avis de sécurité à la suite de la publication par Microsoft de ses bulletins de sécurité mensuels décrivant 7 vulnérabilités dans plusieurs produits. Les correctifs associés à ces bulletins concernent en particulier des vulnérabilités critiques présentes dans le navigateur Internet Explorer, le lecteur Windows Media. Le CERTA rappelle à cette occasion la nécessité d'application des correctifs de sécurité car il existe d'ores et déjà du code malveillant exploitant au moins une des failles décrites dans ces publications.

2 Vulnérabilté liées aux contrôles ActiveX

Le CERTA renouvelle sa recommandation de désactiver les contrôles ActiveX dans Internet Explorer. Dans ce contexte, une vulnérabilité critique dans le Remote Data Service (RDS) a été identifiée. Cette vulnérabilité permet de contourner la politique de sécurité établie dans Internet Explorer (paramètres des zones de sécurité) et pourrait conduire à l'exécution de code ou à la diffusion d'information. Comme cela a déjà été souligné à l'occasion des différents exercices SSI et d'une manière générale devant la récurrence des failles liées aux controles ActiveX (3 alertes du CERTA en 2005 : CERTA-2005-ALE-001, CERTA-2005-ALE-005, CERTA-2005-ALE-013), il est utile de prévoir l'utilisation d'un autre navigateur comme par exemple Firefox ou Opera.

Recommandations :

Pour se protéger de cette vulnérabilité, le CERTA suggère d'appliquer les directives de l'éditeur :
http://support.microsoft.com/kb/240797

Rappel des publications émises

Dans la période du 30 janvier 2006 au 05 février 2006, le CERT-FR a émis les publications suivantes :


Dans la période du 30 janvier 2006 au 05 février 2006, le CERT-FR a mis à jour les publications suivantes :

  • CERTA-2005-AVI-483 : Multiples vulnérabilités dans Xpdf et les bibliothèques dérivées