S.G.D.S.N
Agence nationale
de la sécurité des
systèmes d'information
Paris, le 27 novembre 2009
N° CERTA-2009-ACT-048
Affaire suivie par: CERT-FR
le 27 novembre 2009

Bulletin d'actualité du CERT-FR

Objet: Bulletin d’actualité 2009-48

Gestion du document

Référence CERTA-2009-ACT-048
Titre Bulletin d’actualité 2009-48
Date de la première version 27 novembre 2009
Date de la dernière version 27 novembre 2009
Source(s)
Pièce(s) jointe(s) Aucune(s)
Tableau 1: Gestion du document

Une gestion de version détaillée se trouve à la fin de ce document.

1 Vulnérabilité non corrigée dans Microsoft Internet Explorer

Cette semaine le CERTA a publiée une nouvelle alerte concernant une vulnérabilité non corrigée dans le navigateur de Microsoft. Cette faille n’est exploitable que pour les versions 6 et 7 d’Internet Explorer par l’intermédiaire d’un objet CSS (Cascading Style Sheets). Du code permettant de profiter de cette vulnérabilité est déjà disponible sur l’Internet.

Dans l’attente d’un correctif de l’éditeur, le CERTA recommande les mesures suivantes :

  • utiliser un navigateur alternatif ou la version 8 d’Internet Explorer ;
  • désactiver par défaut l’exécution du JavaScript et de ne l’activer qu’au cas par cas sur des sites de confiance ;
  • activer le mode protégé et le DEP (Data Execution Prevention) pour Internet Explorer 7 sur Windows Vista afin de limiter l’impact de la vulnérabilité ;
  • utiliser un compte utilisateur aux droits limités pour naviguer sur l’Internet ;
  • lire les messages électroniques au format texte afin d’éviter toute interprétation d’un courriel HTML malveillant.

Documentation

2 Incident de la semaine

Rappel sur la navigation et le téléchargement

Cette semaine, les constatations faites suite à l’analyse de journaux sont l’occasion pour le CERTA de revenir sur un point important et à l’origine de trop nombreuses compromissions. En effet, cette analyse a mis en avant le comportement imprudent d’utilisateurs qui téléchargeaient des programmes sur des sites peu connus, peu maintenus et certainement pas de confiance. Le CERTA rappelle quelques bonnes pratiques :
  • limiter l’installation aux seules applications nécessaires ;
  • de les télécharger depuis les sites des éditeurs quand cela est possible, sinon d’utiliser un site connu et fréquenté (en cas de problème avec un fichier il y aura plus de chance qu’il soit rapidement signalé) ;
  • de vérifier les hash après téléchargement lorsque celui-ci est disponible ;
  • de maintenir à jour chaque application téléchargée.

Bien sûr, tout cela doit être fait dans le strict respect de la PSSI de l’organisme.

3 Les risques liés à l’usage des extensions d’applications

Le navigateur Internet, comme par exemple Firefox de Mozilla, propose aux utilisateurs de rechercher et d’installer aisément des modules permettant d’étendre les fonctionnalités de leurs applications.

Les développeurs de ces extensions peuvent ne pas être sensibilisés à une programmation sécurisée, et dans ce cas, un module vulnérable peut servir de levier afin de compromettre le système.

L’installation de ces modules d’extensions augmente la surface d’attaque pour un utilisateur malveillant. De plus, les extensions doivent pouvoir fonctionner et donc être installée sur le navigateur Internet Firefox quel que soit le système sous-jacent. Par conséquent, il ne peut être exclue qu’une vulnérabilité présente dans un module d’extension puisse affecter des systèmes fonctionnant sous différents systèmes d’exploitation.

Il existe de nombreuses autres applications utilisant des modules d’extension et deviennent donc également sujet aux risques liés à leur utilisation.

C’est pourquoi, le CERTA recommande de limiter l’installation et l’utilisation des ces modules au strict nécessaire, dans le cas contraire, il est plus que recommandé que le module devant être installé soit impérativement signé par l’éditeur dans la mesure du possible. La politique de sécurité des systèmes d’information doit également prendre en compte l’usage de ces extensions et prévoir une procédure de mise à jour.

4 Sortie de FreeBSD 8.0 le 26 novembre 2009

Cette semaine est marquée par la sortie de la dernière mouture de FreeBSD.

Les principales nouveautés de cette version sont :

  • ajout de fonctionnalités pour les réseaux sans-fil 802.11 (Wi-Fi) : les VAP (Virtual Access Point) qui permettent d’héberger plusieurs réseaux sans-fil sur le même point d’accès, le support des réseaux mesh, et les extensions TDMA ;
  • optimisations de la pile réseau pour les architectures multiprocesseurs, afin d’améliorer la montée en charge ;
  • support pour la virtualisation : création de jail embarqué, support de VirtualBox (hôte et invité), exécution comme invité Xen 32-bit DomU ;
  • support du chiffrement GSSAPI pour NFS
  • ZFS n’est plus en version beta ;
  • support du démarrage sur les disques GPT ;
  • et de nombreuses autres nouveautés …

Le CERTA recommande aux utilisateurs de ce système d’exploitation de s’assurer de la maintenance de leurs versions installées et de migrer vers la dernière version si elle n’est plus suivie.

Cette dernière version est disponible en téléchargement à l’adresse suivante : http://www.freebsd.org/where.html.

Rappel des avis émis

Dans la période du 16 au 22 novembre 2009, le CERT-FR a émis les publications suivantes :


Gestion détaillée du document

    le 27 novembre 2009
    version initiale.