1 Les référencements douteux

Cette semaine, le CERTA a rencontré le cas d'un portail web offrant à ses visiteurs des liens relatifs à des sites officiels : administrations, commerciaux, bancaires, .... Les sites demandés sont affichés à l'intérieur du portail par le biais de cadres. Les problèmes soulevés par ce genre de portail sont :

  • la sécurité des visiteurs ne peut pas être assurée. Du code malveillant peut être exécuté au moment de l'affichage du site légitime ;
  • l'authenticité des sites affichés ne peut être vérifiée. En effet, le gestionnaire du portail peut à tout moment rediriger ses visiteurs vers des sites frauduleux ou de filoutage (phishing) ;
  • ils tentent d'utiliser la notorité de sites existant à leur profit. De la publicité est généralement ajoutée lors de l'affichage du site légitime ;
  • L'image de marque des sites officiels ciblés peut être mise à mal car listée au milieu de sites pour adultes.

Le CERTA rappelle que ce genre de comportement est contraire à la Netiquette qui indique les règles de bonne conduite sur l'Internet, comme avoir l'accord du propriétaire d'un site avant de le référencer. Le CERTA rappelle également que pour des raisons de sécurité il est préférable de saisir à la main dans le navigateur l'adresse réticulaire (URL) du site désiré. Il est également recommandé aux gestionnaires de site de vérifier régulièrement les sites les référençant sur l'Internet. Ceci peut être fait en consultant régulièrement les journaux de votre serveur web dans lesquels se trouve le champs Referer.

2 Vulnérabilités sur les produits Mozilla

Un article du bulletin d'actualité CERTA-2007-ACT-030 décrivait une nouvelle vulnérabilité affectant Mozilla Firefox installé sur une machine avec Microsoft Windows XP SP2 avec Internet Explorer 7.

Dans la première publication, la mauvaise gestion d'URI commançant par la chaîne %00 dans FireFox était soupçonnée d'être la cause de la faille. Après quelques jours il s'est avéré que la cause était plus large et non limitée à ce type de chaîne ; le système d'exploitation Microsoft Windows 2003 SP2 a également été cité comme vulnérable. Compte tenu de la criticité de la vulnérabilité, l'équipe de développement de Mozilla Firefox a publié rapidement un correctif. En effet, celui-ci était présent dans la mise à jour vers la version 2.0.0.6 dès le 30 juillet 2007.

Après plusieurs tests, le CERTA a également pu mettre en évidence que le client de messagerie Mozilla Thunderbird était vulnérable via une technique d'attaque similaire à celle utilisée dans Firefox. La fondation Mozilla a d'ailleurs fourni un correctif pour ce logiciel le 01 août 2007 par l'intermédiaire de la mise à jour vers la version 2.0.0.6.

3 Safari pour Windows

Il y a quelques semaines Apple annonçait la disponibilité de son navigateur Safari sous Microsoft Windows. Ce navigateur est basé sur un moteur de rendu différent de Gecko (utilisé par Firefox et SeaMonkey) ou de celui de Internet Explorer. En effet Safari se base sur le moteur KHTML initialement fourni par le projet KDE, un environnement graphique sous GNU/Linux.

Ce fait est plutôt intéressant car le CERTA propose souvent dans ses alertes l'utilisation d'un navigateur dit « Alternatif » comme contournement provisoir. L'alerte rappelle souvent qu'il faut bien utiliser un navigateur dont le moteur de rendu varie par rapport à celui affecté par la vulnérabilité. Ainsi, si Firefox est vulnérable, on préférera, par exemple, Opera ou Internet Explorer. A l'inverse, si c'est Internet Explorer, on privilégiera alors plutôt l'un des deux autres.

En ce sens, l'arrivée d'un nouveau navigateur basé sur une autre technologie d'affichage est plutôt positive. Cependant, le CERTA attire votre attention sur le fait qu'à la date de la rédaction de ce bulletin, Safari n'est disponible qu'en version dite « Beta » donc non finalisée. D'ailleurs peu de temps après sa sortie cette version « Beta » faisait déjà l'objet d'un avis du CERTA (CERTA-2007-AVI-265). Plusieurs vulnérabilités importantes ont donc été corrigées, dont quatre au cours de cette semaine (CERTA-2007-AVI-343). Celles-ci permettaient potentiellement l'exécution de code arbitraire.

Recommandation :

Par définition, une version « Beta », « Alpha » ou même « Release Candidate » fait qu'elle est encore en cours de stabilisation ou de fiabilisation. Il est donc déconseillé de l'utiliser dans un environnement de production. Elle peut en revanche faire l'objet de tests ponctuels afin de suivre l'évolution du projet pour un déploiement futur. Ceci est d'ailleurs vrai pour tout logiciel mis en production : il conviendra toujours de préférer les versions stables faisant l'objet de correctifs et de suivis d'erreurs plutôt que des logiciels en cours de développement faisant l'objet de modifications quotidiennes (parfois avec des effets désastreux).

Références

Alerte CERTA-2007-ALE-013 du 27 juillet 2007, mise à jour le 31 juillet 2007 :

http://www.certa.ssi.gouv.fr/site/CERTA-2007-ALE-013/index.html

Rappel des publications émises

Dans la période du 23 juillet 2007 au 29 juillet 2007, le CERT-FR a émis les publications suivantes :


Durant la même période, les publications suivantes ont été mises à jour :