1 Bulletins de sécurité Microsoft du mois de février
Le CERTA a publié le 14 février des avis de sécurité à la suite de la publication par Microsoft de ses bulletins de sécurité mensuels décrivant 7 vulnérabilités dans plusieurs produits. Les correctifs associés à ces bulletins concernent en particulier des vulnérabilités critiques présentes dans le navigateur Internet Explorer, le lecteur Windows Media. Le CERTA rappelle à cette occasion la nécessité d'application des correctifs de sécurité car il existe d'ores et déjà du code malveillant exploitant au moins une des failles décrites dans ces publications.2 Vulnérabilté liées aux contrôles ActiveX
Le CERTA renouvelle sa recommandation de désactiver les contrôles ActiveX dans Internet Explorer. Dans ce contexte, une vulnérabilité critique dans le Remote Data Service (RDS) a été identifiée. Cette vulnérabilité permet de contourner la politique de sécurité établie dans Internet Explorer (paramètres des zones de sécurité) et pourrait conduire à l'exécution de code ou à la diffusion d'information. Comme cela a déjà été souligné à l'occasion des différents exercices SSI et d'une manière générale devant la récurrence des failles liées aux controles ActiveX (3 alertes du CERTA en 2005 : CERTA-2005-ALE-001, CERTA-2005-ALE-005, CERTA-2005-ALE-013), il est utile de prévoir l'utilisation d'un autre navigateur comme par exemple Firefox ou Opera.
Recommandations :
Pour se protéger de cette vulnérabilité, le CERTA suggère d'appliquer les directives de l'éditeur :http://support.microsoft.com/kb/240797