Bulletin d'actualité CERTA-2012-ACT-037

1 Windows 8, Internet Explorer 10 et Adobe Flash Player

La prochaine version de Microsoft Windows (Windows 8) comprend le navigateur Internet Explorer 10, qui intègre nativement le lecteur Adobe Flash Player. Cela signifie notamment que ce lecteur ne sera plus mis à jour indépendamment du navigateur. Microsoft a annoncé que ces mises à jour commenceront lorsque Windows 8 sera officiellement mis en vente, le 26 octobre 2012.

Cependant, de nombreux services informatiques ont des contrats privilégiés avec Microsoft, qui leur permettent un accès à ses produits avant leur sortie officielle, à des fins de tests. La version finale de Windows 8 est déjà disponible pour ces contrats, et certains utilisateurs peuvent l'avoir déjà installée sur leur SI d'entreprise. Or, une vulnérabilité majeure de Flash player a été publiée après la finalisation de Windows 8. En l'absence de mise à jour possible avant le 26 octobre, les utilisateurs sont donc vulnérables.

Le CERTA recommande donc à ceux qui testent actuellement Windows 8 en environnement opérationnel :

soit de désactiver Flash. Cette opération n'est pas possible via l'interface graphique de Windows 8 (appelée parfois « Metro »), mais elle peut se réaliser via l'interface classique ;
soit d'utiliser un navigateur alternatif avec une version à jour de Flash.

2 Applications sur ordiphones et données personnelles

La collecte d'informations par les applications sur les périphériques mobiles est aujourd'hui très courante. Celles-ci peuvent être utilisées par des agences publicitaires afin de mieux cibler un profil d'utilisateur.

Récemment, une liste contenant plusieurs millions d'identifiants de terminaux Apple appelées UDID (Unique Device ID) a été publiée sur l'Internet. Seuls, ces identifiants ne permettent pas d'identifier physiquement le propriétaire du périphérique. Dans le cas présent, cette liste contenait également les nom et prénom des personnes "associées" à cet UDID, rendant inexistant le principe d'anonymisation des données.

En principe, Apple n'autorise pas une application à collecter des données permettant l'identification d'une personne. En pratique, il est très difficile de vérifier une telle règle.

Le CERTA recommande à tout utilisateur de vérifier si l'installation et l'utilisation d'une application est conforme à la PSSI de son entreprise, et aux RSSI de qualifier si celle-ci ne présente pas un risque évident de sécurité pour le SI avant d'en autoriser l'emploi.

3 Mise à jour mensuelle de Microsoft

Ce mois-ci deux avis relatifs aux mises à jour Microsoft ont été publiés. Le premier concerne une vulnérabilité dans Visual Studio Team Foundation Server 2010 Service Pack 1 « CERTA-2012-AVI-494 » et le deuxième porte sur System Center Configuration Manager « CERTA-2012-AVI-495 ».

Les vulnérabilités corrigées permettent :

de l'injection de code indirecte à distance (cross-site-scripting) ;
une élévation de privilèges.

Le CERTA recommande l'application de ces mises à jour dès que possible.

Documentation :

Synthèse des bulletins de sécurité Microsoft du mois de Septembre 2012 :
```
http://technet.microsoft.com/fr-fr/security/bulletin/ms12-sep
```

4 Rappel des avis émis

Dans la période du 7 au 13 septembre 2012, le CERTA a émis les publications suivantes :

CERTA-2012-AVI-488 : Multiples vulnérabilités dans HP Business Availability Center
CERTA-2012-AVI-489 : Multiples vulnérabilités dans IBM Asset and Service Mgmt
CERTA-2012-AVI-490 : Vulnérabilité dans Xen
CERTA-2012-AVI-491 : Vulnérabilités dans WordPress
CERTA-2012-AVI-492 : Vulnérabilité dans le système SCADA Honeywell HMIWeb
CERTA-2012-AVI-493 : Vulnérabilité dans FreeRADIUS
CERTA-2012-AVI-494 : Vulnérabilité dans Visual Studio Team Foundation Server
CERTA-2012-AVI-495 : Vulnérabilité dans System Center Configuration Manager
CERTA-2012-AVI-496 : Vulnérabilité dans ColdFusion
CERTA-2012-AVI-497 : Vulnérabilités dans McAfee Firewall Enterprise
CERTA-2012-AVI-498 : Vulnérabilités dans RSA BSAFE SSL-C
CERTA-2012-AVI-499 : Vulnérabilité dans RSA BSAFE Micro Edition Suite
CERTA-2012-AVI-500 : Vulnérabilité dans ISC BIND
CERTA-2012-AVI-501 : Vulnérabilité dans ISC DHCP

Rappel des publications émises

Dans la période du 03 septembre 2012 au 09 septembre 2012, le CERT-FR a émis les publications suivantes :

CERTA-2012-AVI-479 : Multiples vulnérabilités dans VMware
CERTA-2012-AVI-480 : Multiples vulnérabilités dans MediaWiki
CERTA-2012-AVI-481 : Vulnérabilité dans EMC NetWorker
CERTA-2012-AVI-482 : Vulnérabilités dans Adobe Photoshop CS6
CERTA-2012-AVI-483 : Vulnérabilité dans PGP Universal Server
CERTA-2012-AVI-484 : Multiples vulnérabilités dans Typo3
CERTA-2012-AVI-485 : Multiples vulnérabilités dans Xen
CERTA-2012-AVI-486 : Vulnérabilité dans le système SCADA InduSoft ISSymbol
CERTA-2012-AVI-487 : Vulnérabilité dans le système SCADA WAGO SYSTEM 758
CERTA-2012-AVI-488 : Multiples vulnérabilités dans HP Business Availability Center
CERTA-2012-AVI-489 : Multiples vulnérabilités dans IBM Asset and Service Mgmt

Référence	CERTA-2012-ACT-037
Titre	Bulletin d'actualité CERTA-2012-ACT-037
Date de la première version	14 septembre 2012
Date de la dernière version	14 septembre 2012
Source(s)
Pièce(s) jointe(s)	Aucune(s)

Bulletin d'actualité du CERT-FR

Objet: Bulletin d'actualité CERTA-2012-ACT-037