S.G.D.S.N

Agence nationale
de la sécurité des
systèmes d'information

Paris, le 17 septembre 2010
N° CERTA-2010-ACT-037
Affaire suivie par: CERT-FR

Bulletin d'actualité du CERT-FR

Objet: Bulletin d'actualité 2010-37

Gestion du document

Référence CERTA-2010-ACT-037
Titre Bulletin d'actualité 2010-37
Date de la première version 17 septembre 2010
Date de la dernière version 17 septembre 2010
Source(s)
Pièce(s) jointe(s) Aucune(s)
Tableau 1: Gestion du document

Une gestion de version détaillée se trouve à la fin de ce document.

1 Vulnérabilité non corrigée dans Adobe Flash Player

Cette semaine, le CERTA a publié l'alerte CERTA-2010-ALE-015 à propos d'une vulnérabilité non corrigée dans Adobe Flash Player. L'éditeur a pris soin de préciser que les produits Adobe Reader et Adobe Acrobat étaient également affectés. La vulnérabilité en elle-même n'est pas détaillée par l'éditeur.

Adobe indique que des codes d'exploitant cette faille pour Adobe Flash Player sous Windows existeraient.

Les vecteurs d'attaque n'étant pas connus, il est difficile de donner des contournements provisoires précis.

L'éditeur a planifié de publier des correctifs pour Adobe Flash Player dans la semaine du 27 septembre 2010. Les produits Adobe Reader et Adobe Acrobat devraient, quant à eux, faire l'objet d'une mise à jour dans la semaine du 4 octobre 2010.

Documentation

2 Nouvelle version d'Apple QuickTime

Cette semaine, Apple a publié une mise à jour de son lecteur multimédia QuickTime. Cette nouvelle version corrige deux vulnérabilités :

  • la première avait fait l'objet de l'alerte CERTA-2010-ALE-013 et permet l'exécution de code arbitraire à distance via un paramètre du contrôle ActiveX QTPPlugin.ocx ;
  • la seconde permet également d'exécuter du code arbitraire à distance via un problème lors de la recherche de bibliothèques dynamiques dans QuickTime Picture Viewer. Cette vulnérabilité, dite DLL Hijacking a été détaillée dans les bulletins d'actualité CERTA-2010-ACT-034 et CERTA-2010-ACT-035.

Le CERTA rappelle donc qu'il est fortement recommandé de mettre à jour au plus vite cette application afin d'y apporter les correctifs de ces vulnérabilités.

Documentation

3 Mise à jour de sécurité mensuelle de Microsoft

Microsoft a publié cette semaine 9 bulletins de sécurité qui couvrent de nombreuses versions de Windows. Elles concernent, pour la plupart, des vulnérabilités permettant de l'exécution de code arbitraire à distance ou l'élévation de privilèges.

On pourra noter, parmi celles-ci un correctif pour plusieurs vulnérabilités touchant le serveur IIS sur toutes les éditions de Windows (XP, Vista, Seven, Server 2003 et Server 2008) et permettant l'exécution de code arbitraire à distance ainsi que l'élévation de privilèges, et ce pour toutes les architectures (CERTA-2010-AVI-434).

Nous citerons également dans cet article l'avis CERTA-2010-AVI-430 qui concerne le service d'impression de Windows. La vulnérabilité permet à un attaquant d'exécuter du code arbitraire à distance et d'élever ses privilèges et est actuellement exploitée sur l'Internet.

Enfin, l'avis CERTA-2010-AVI-436 présente une vulnérabilité dans le traitement des documents Word 97 par le logiciel WordPad. Des fichiers construits spécifiquement par une personne malintentionnée peuvent conduire à l'exécution de code à distance.

La criticité élevée des vulnérabilités rend impérative l'application de ces correctifs sur les systèmes utilisant Windows dans les délais les plus brefs.

Documentation

Rappel des publications émises

Dans la période du 06 septembre 2010 au 12 septembre 2010, le CERT-FR a émis les publications suivantes :


Gestion détaillée du document

    le 17 septembre 2010
    version initiale.