S.G.D.S.N

Agence nationale
de la sécurité des
systèmes d'information

Paris, le 11 juin 2010
N° CERTA-2010-ACT-023
Affaire suivie par: CERT-FR

Bulletin d'actualité du CERT-FR

Objet: Bulletin d'actualité 2010-23

Gestion du document

Référence CERTA-2010-ACT-023
Titre Bulletin d'actualité 2010-23
Date de la première version11 juin 2010
Date de la dernière version11 juin 2010
Source(s)

Une gestion de version détaillée se trouve à la fin de ce document.

1 Alertes publiées cette semaine

1.1 Vulnérabilité Shockwave Flash pour les produits Adobe

Le 05 juin 2010, le CERTA a publié une alerte concernant certains produits Adobe sur plusieurs systèmes d'exploitation. En effet, une vulnérabilité causée par une erreur dans le traitement des fichiers au format Shockwave Flash permet à un utilisateur malveillant d'exécuter du code arbitraire à distance. Cette exploitation peut être réalisée directement au moyen d'un fichier SWF spécialement construit ou indirectement au moyen d'un fichier au format PDF.

Cette vulnérabilité a fait l'objet d'une publication de l'éditeur Adobe qui fait mention de plusieurs cas d'exploitation découverts sur l'Internet. Le CERTA a également eu connaissance de tels cas d'exploitation.

Dans l'attente d'un correctif de sécurité, l'alerte CERTA-2010-ALE-007 propose un contournement provisoire qui consiste à limiter les accès à la bibliothèque vulnérable authplay. Le nom et l'emplacement de cette bibliothèque varient en fonction du système d'exploitation et sont repris en détail dans l'alerte.

Un correctif de sécurité concernant Adobe Flash Player a été publié le 10 juin 2010 (avis CERTA-2010-AVI-261). La vulnérabilité reste néanmoins non corrigée et exploitable pour les utilisateurs d'Adobe Reader et d'Adobe Acrobat.

De façon générale, le CERTA recommande de désactiver l'interprétation du JavaScript par les lecteurs Adobe Reader et Adobe Acrobat. De plus, la désactivation de l'interprétation des animations Flash ainsi que des animations 3D peut être appliquée.

Documentation :

1.2 Vulnérabilité dans le Centre d'aide et de support Windows

Une vulnérabilité non-corrigée a été découverte dans le Centre d'aide et de support Windows. Elle permet à un utilisateur distant malintentionné d'exécuter du code arbitraire, notamment, via un navigateur Internet. Tous les navigateurs peuvent servir de vecteur d'exploitation, notamment si Windows Media Player 9 est installé sur la machine. D'autres vecteurs d'exploitation sont potentiellement possibles, notamment les documents Office.

Cette vulnérabilité concerne la gestion du protocole HCP utilisé par le Centre d'aide et de support Windows . Un lien HCP spécialement malformé permet ainsi l'exécution de code arbitraire à distance.

Des exemples de code d'exploitation de cette vulnérabilité sont d'ores et déjà recensés sur l'Internet.

Dans l'attente d'un correctif de l'éditeur, des contournements provisoires sont listés dans le bulletin d'alerte CERTA-2010-ALE-008.

Documentation :

2 Bulletins Microsoft

Plusieurs vulnérabilités dans des produits Microsoft ont été corrigées cette semaine. Ces mises à jour ont été traitées dans les bulletins de sécurité CERTA-2010-AVI-244 à CERTA-2010-AVI-253 le 09 juin 2010 et traitent des vulnérabilités suivantes :

  • De multiples vulnérabilités ont été corrigées dans les pilotes noyau de Windows. Elles permettent une élévation de privilèges en tant qu'utilisateur Système (CERTA-2010-AVI-244 ) ;
  • de multiples vulnérabilités ont été corrigées dans les composants de gestion multimédia de Windows. Elles permettent l'exécution de code arbitraire à distance, notamment via la lecture de documents de type ASF ou MJPEG (CERTA-2010-AVI-245) ;
  • deux vulnérabilités ont été corrigées dans le contrôle ActiveX Microsoft Data Analyzer (CVE-2010-0252) et dans Microsoft Internet Explorer 8 Developer Tools (CVE-2010-0811). Ces vulnérabilités peuvent être exploitées par une personne malveillante afin d'exécuter du code arbitraire à distance au moyen d'un site Web ou d'un document Microsoft Office spécialement construits (CERTA-2010-AVI-246) ;
  • deux vulnérabilités dans Internet Explorer ont été corrigées. Elles permettent à une personne malveillante d'exécuter du code arbitraire à distance au moyen d'une page Web spécialement construite (CERTA-2010-AVI-247) ;
  • une vulnérabilité dans la validation des objets COM dans Microsoft Office permet à une personne malintentionnée d'exécuter du code arbitraire à distance via un document Microsoft Office spécialement conçu (CERTA-2010-AVI-248) ;
  • une vulnérabilité due à une mauvaise validation de données dans le pilote OpenType Compact Font Format (CFF) permet à un utilisateur d'élever ses privilèges sur le système (CERTA-2010-AVI-249) ;
  • quatorze vulnérabilités dans Microsoft Office ont été corrigées. Certaines sont exploitables au moyen d'un fichier Microsoft Excel spécifiquement réalisé permettant ainsi à une personne malintentionnée d'exécuter du code arbitraire à distance, et cela avec les droits de l'utilisateur victime. Ce bulletin de sécurité remplace le MS10-017 pour certains systèmes affectés (CERTA-2010-AVI-250) ;
  • trois vulnérabilités ont été corrigées dans Microsoft SharePoint dont une révélée publiquement. Cette dernière permet à une personne malintentionnée d'élever ses privilèges au moyen d'un lien spécifiquement écrit (CERTA-2010-AVI-251) ;
  • un traitement incorrect par IIS d'informations d'authentification est exploitable par un utilisateur malveillant pour exécuter du code arbitraire à distance, au moyen d'une requête HTTP particulière (CERTA-2010-AVI-252) ;
  • une vulnérabilité dans Microsoft .NET concernant le traitement de la signature des documents XML permet à un utilisateur malveillant de modifier un document signé sans que cette manipulation soit detectée (CERTA-2010-AVI-253).

Compte tenu de la criticité de certaines vulnérabilités, le CERTA préconise l'application dans les plus brefs délais des correctifs.

3.1 Documentation

3 Kill Bit pour Microsoft Office

Le bulletin de sécurité Office MS10-036 a introduit la notion de Kill bit pour les applications Office. Comme les Kill bit pour Internet Explorer, elle permet d'empêcher le chargement de contrôles ActiveX ou objets OLE dans les applications Office.

L'administrateur peut configurer via une entrée de registre les CLSID qu'il souhaite ne pas voir charger dans Office.

Cette nouvelle fonctionnalité est disponible pour Office 2003 et Office 2007.

Le bulletin d'actualité CERTA-2009-ACT-012 proposait un contournement basé sur le blocage des fichiers XML. Il est rendu caduc par cette nouvelle fonctionnalité de Kill bit.

3.1 Documentation

Rappel des publications émises

Dans la période du 31 mai 2010 au 06 juin 2010, le CERT-FR a émis les publications suivantes :


Gestion détaillée du document

    le 11 juin 2010
    version initiale.