1 Alerte Powerpoint

Le CERTA a publié cette semaine une alerte concernant Powerpoint, et de manière plus générale, la suite Microsoft Office (CERTA-2006-ALE-009). Compte tenu du bruit médiatique de ce problème lié à Powerpoint, le CERTA détaille ci-dessous l'historique des évènements.

En début du mois, une vulnérabilité a été déclarée dans une liste concernant Microsoft Word, et impliquant la librairie partagée mso.dll. Les experts de Microsoft ont annoncé sur leur bloc-notes que celle-ci ne provoquait que la fermeture inopinée de Word, mais n'était pas exploitable à distance. Deux jours plus tard, des antivirus mettaient leurs bases de signatures à jour, pour détecter un document Powerpoint malveillant, qui installerait un cheval de Troie sur des machines. La vulnérabilité utilisée pour compromettre les machines concernerait également la librairie mso.dll. Plusieurs codes de type PoC (pour Proof-of-Concept) sont ensuite apparus.

A ce stade, il n'est pas facile de savoir combien de vulnérabilités distinctes impacteraient Microsoft Powerpoint (et/ou Office). Cinq références distinctes CVE ont été établies, que ce soit par Microsoft ou par les différents développeurs de ces techniques d'exploitation (PoC). La relation exacte entre ceux-ci n'est pas clair :

  • CVE-2006-3493
  • CVE-2006-3656
  • CVE-2006-3655
  • CVE-2006-3660
  • CVE-2006-3590

Dans l'attente des correctifs, qui devraient apparaître le 8 août 2006, le CERTA conseille d'utiliser dans la mesure du possible des visionneuses pour ouvrir les documents Office, et de suivre les recommandations indiquées dans CERTA-2006-ALE-009.

2 Vulnérabilités du noyau Linux

Le CERTA a publié un avis de sécurité CERTA-2006-AVI-298 concernant une vulnérabilité dans le système de fichier virtuel /proc du noyau Linux de la série 2.6.x. Du code malveillant permettant l'exploitation de cette faille est d'ores-et-déjà disponible sur l'Internet. Une utilisation fructueuse de cette vulnérabilité permet à un utilisateur local au système d'élever ses privilèges pour devenir super-utilisateur (root). Ce type de vulnérabilité est souvent utilisé à la suite de la compromission de la machine via un compte non-privilégié (compte obtenu a partir d'un service réseau vulnérable ou bien encore après une attaque en force brute). Le CERTA recommande d'appliquer les mises à jour concernant cette vulnérabilité.

3 ExtCalendar au goût du jour

Le CERTA a publié, suite à l'analyse de plusieurs incidents, une alerte concernant le composant ExtCalendar (voir bulletin d'actualité CERTA-2006-ACT-028). Il s'interface avec les composants Mambo et Joomla!, utilisés pour développer des sites Internet.

Il n'existe pas de correctif actuellement.

Dans l'attente de nouvelles versions, le CERTA conseille de désinstaller, dans la mesure du possible, ce composant. Il est par ailleurs vivement recommandé de n'installer que les modules applicatifs nécessaires au bon fonctionnement du site.

Rappel des publications émises

Dans la période du 10 juillet 2006 au 16 juillet 2006, le CERT-FR a émis les publications suivantes :


Durant la même période, les publications suivantes ont été mises à jour :