Saturday, August 23, 2008 1:11:15 AM
La fin du début
Il fallait bien que je finisse par m’excuser d’avoir subitement arrêté d’alimenter ce blog, je le fais donc avec ce message.
Comme vous vous en doutez, c’est avant tout le manque de temps qui m’a poussé à ne plus poster. S’ajoute à cela que ce n’est pas comme si le sujet de la sécurité était confidentiel ; on en parle partout. L’utilité de mes messages devenait donc bien trop faible comparé au temps que cela me demandait pour les écrire.
Néanmoins je ne regrette pas de m’être essayé à la rédaction de ces quelques billets, ce fut parfois harassant mais toujours fait avec le sourire et dans l’optique d’une lecture agréable et utile
Je vous avouerai volontiers que les "au menu de ce second mardi du mois" me manqueront, mais aujourd’hui, c’est d’autres projets et de l’espoir plein la tête que je vous souhaite une bonne continuation et remercie chaleureusement ceux qui m’ont lu (et même ceux qui passent aujourd’hui par hasard, il n’y a pas de raison de ne pas leur faire de gros bisous à eux aussi
)
Portez-vous bien
Friday, January 18, 2008 2:38:57 PM
winamp, streaming, critique, buffer-overflow
...
Une vulnérabilité critique a été découverte dans le logiciel de lecture multimédia, Winamp.
Il s'agit d'un buffer-overflow dans la gestion des tags "artist" et "name" contenus dans la section "metadata" d'un steaming
Ultravox.
Ceci peut permettre l'exécution de code arbitraire à la visite d'un site web malveillant si le navigateur de la victime dispose du plug-in Winamp, ou à l'ouverture d'un steaming de source malveillante.
Les utilisateurs concernés doivent mettre à jour leur logiciel vers la version 5.52 qui corrige cette faille.
Consulter le bulletin d'alerte de Secunia
Thursday, January 17, 2008 2:23:24 PM
critique, excel, microsoft
Une vulnérabilité de niveau critique a été reportée dans Microsoft Excel.
Celle-ci concerne Excel 2000, 2002, 2003 SP2 ou inférieur et 2004 pour Mac, et permet l'exécution de code arbitraire à l'ouverture d'un fichier .xls spécialement malformé.
Les versions 2007 et 2008 pour Mac ne sont pas concernées par ce problème.
Microsoft a confirmé le problème et prévoit la publication d'un correctif prochainement.
En attendant, les utilisateurs vulnérables doivent être particulièrement prudents vis à vis des fichiers .xls non sûrs ou appliquer le SP3 si ils utilisent Excel 2003.
Consulter le bulltin d'alerte de Secunia
Friday, January 11, 2008 5:58:22 PM
apple, quicktime, 0-day, rstp
...
Les failles se suivent et se ressemblent chez Apple, et plus précisément dans le logiciel multimédia QuickTime.
En effet, c'est une nouvelle vulnérabilité critique qui a été reportée, celle-ci concerne un buffer-overflow dans la gestion de certaines réponses reçues via le protocole RTSP (permettant la lecture de contenus en streaming).
Ce buffer-overflow survient lors de la réception d'un paramètre "Reason-Phrase" spécialement malformé et permet l'exécution de code arbitraire.
Ceci peut se produire à l'exécution d'un fichier .QTL dirigeant vers un serveur de streaming malveillant ou directement à la visite d'un site où un contenu fait appel au plug-in QuickTime pour lancer un streaming.
Aucun correctif n'est pour le moment disponible et un exploit est publiquement disponible, il convient donc aux utilisateurs de QuickTime d'être particulièrement prudents vis-à-vis des fichiers .QTL, et de désactiver le plug-in QuickTime à la visite de sites non sûrs.
Consulter le bulletin d'alerte de SecuniaÉdit au 07/02/08 : Apple a publié la version 7.4.1 corrigeant cette vulnérabilité.
Tuesday, January 8, 2008 9:54:53 PM
lsass, janvier, 2, tcp/ip
...
C'est en cet harassant mardi 8 Janvier que Microsoft publie comme prévu ses correctifs mensuels.
Et le menu est assez surprenant puisque la vulnérabilité critique prévue dans le bulletin avancé de notification de jeudi n'est finalement pas la faille du WPAD.
En effet, malgré toute vraisemblance, c'est une autre vulnérabilité critique qui s'est vue affabulée d'un patch laissant notre vulnérabilité du Web Proxy Autodiscovery Protocol à nu depuis déjà plus d'un mois.
Mais passons à table :
- 2 vulnérabilités (MS08-001) dont une critique et une de niveau modérée concernant l'implantation du protocole TCP/IP dans Windows.
La première vulnérabilité touche Windows XP et Vista où elle est qualifiée de critique et Server 2003 où elle tombe au niveau important.
Celle-ci se situe dans la gestion des requêtes IGMPv3 et MLPv2 par le noyau Windows et peut permettre l'exécution de code arbitraire à la réception de requête de ce type spécialement malformée.
La seconde faille affecte toutes les éditions supportées de Windows, mis à part Vista, et permet un dénial of service à la réception d'une requête ICMP spécialement fragmentée.
- 1 vulnérabilité importante (MS08-002) présente sous Windows 2000, XP et Server 2003 permet l'élévation des privilèges d'un utilisateur local via l'exécution d'un programme lançant une requête Local Procedure Call (LPC) spécialement malformée.
Et ... c'est tout. Rien de plus à se mettre sous la dent ce soir, mais nous nous reverrons le 7 février pour le prochain bulletin avancé de notification et le 12 pour la livraison des rustines avec, on l'espère, une qui comblera la vulnérabilité du WPAD.
Consulter le synthèse des bulletins de Microsoft du mois de Janvier
Thursday, January 3, 2008 8:43:25 PM
important, 2, critique, bulletin avancé
...
Après un bulletin de décembre très chargé avec pas moins de 7 patchs, les développeurs de chez Redmond nous annoncent aujourd'hui un bien maigre mois de Janvier avec seulement deux correctifs sécuritaires prévus.
Mais mettons-nous sans plus attendre à table :
- La premier correctif concerne selon toute vraisemblance notre chère et tendre faille du Web Proxy Autodiscovery Protocol (WPAD).
Rendue publique par Microsoft au tout début décembre dernier, celle-ci concerne toutes les versions supportées de Windows.
Pour rappel, cette faille peut permettre à un individu malveillant de dicter arbitrairement à un navigateur, installé sur un poste d'entreprise dans un domaine, un proxy, entraînant ainsi un contrôle total de la part de l'attaquant sur la trafic de l'ordinateur cible. Cette vulnérabilité est décrite en détail dans ce post.
- Le second correctif s'attaque à au moins une vulnérabilité importante présente dans toutes les versions supportées de Windows mis à part Vista.
Cette ou ces failles permettent une élévation locale des privilèges.
Gageons qu'un correctif supplémentaire vienne se joindre à la fête d'ici à la publication la semaine prochaine car c'est pour le moment tout ce que nous avons à nous mettre sous la dent.
Rendez-vous en tout cas Mardi 8 Janvier prochain pour la publication des patchs et, surtout, des détails les concernant.
Consulter le bulletin avancé de notification de Janvier
Sunday, December 30, 2007 4:21:52 PM
xss, swf, adobe, 0-day
...
Adobe a confirmé il y a quelques jours un défaut de sécurité affectant de nombreux fichiers Flash (.swf) pré-générés par des logiciels tels que Dreamweaver CS3 ou Adobe Acrobat Connect.
Mais pas seulement, puisqu'un grand nombre de programme présents sur le web permettent de créer des animations Flash très simplement en s'occupant d'en auto-générer une partie.
Cette vulnérabilité permet l'injection de code dans une animation légitime publiée sur un site tout aussi légitime.
Ce code malveillant pourrait alors exécuter des attaques par Cross-site scripting qui permettent de recueillir des informations tirées d'un autre site ouvert (un site bancaire par exemple) par l'internaute victime du fichier swf piégé.
Aucun correctif n'est pour le moment disponible mais l'éditeur assure qu'il fournira en Janvier prochain une mise à jour pour ses propres logiciels créant des fichiers vulnérables et peu après une pour son lecteur Flash qui rendra inopérantes ces attaques.
En attendant les webmasters et développeurs tirant parti d'animation flash sur leurs sites peuvent utiliser
cet outil pour vérifier si elles sont correctement construites et donc protégées contre une injection de code malveillant.
Adobe ne précise aucune façon pour les utilisateurs finaux de se protéger contre une éventuelle attaque, il convient donc de ne pas visiter de site renfermant des informations confidentielles en même temps qu'une page contenant une animation Flash.
Consulter le bulletin de sécurité d'AdobeÉdit au 17/01/08 : Adobe a publié un correctif pour ses logiciels Dreamweaver et Connect. Une mise à jour du Flash Player devrait, elle, voir le jour dans peu de temps.
Thursday, December 27, 2007 11:57:31 AM
0.86d, vlc, critique, buffer-overflow
Deux vulnérabilités critiques ont été reportées dans le logiciel de lecture multimédia VLC.
Celles-ci, bien que reportées et corrigées par un contributeur au projet dans une version alpha, sont bizarrement toujours présentes 6 mois après dans la toute dernière version 0.86d du logiciel.
La première faille concerne un buffer-overflow dans la gestion des fichiers de sous-titres qui permet l'exécution de code arbitraire à l'utilisation d'un fichier malveillant de ce type.
La seconde est présente dans la gestion du contrôle à distance du lecteur. Non-activé par défaut, cette fonctionnalité permet de le contrôler depuis n'importe quel terminal via internet ou un réseau local.
Néanmoins il est possible d'exécuter du code arbitraire en envoyant un argument "Connexion" spécialement malformé sur le port écouté par VLC (8080 par défaut).
Aucun correctif officiel n'est pour le moment disponible, il convient donc aux utilisateurs de VLC d'être particulièrement prudents vis-à-vis des fichiers de sous-titres et de désactiver le contrôle à distance du logiciel.
Consulter le bulletin d'alerte de Secunia
Wednesday, December 19, 2007 10:23:34 PM
Opera, critique, 9.25
Quatre vulnérabilités dont 3 critiques ont été reportées dans le navigateur Opera.
Deux concernent un problème de cross site scripting imputant à la gestion des plug-ins et de l'édition de texte avec mise en forme, une, due à un problème dans la gestion des certificats TLS, permet l'exécution de code arbitraire à l'ouverture d'un site web malveillant, et enfin la dernière se situe au niveau de la gestion des fichiers bitmaps qui permet la lecture arbitraire d'adresses mémoires choisies aléatoirement.
Les utilisateurs concernés doivent migrer vers la version 9.25 du navigateur qui corrige toutes ces failles.
Consulter le bulletin d'alerte de Secunia
Tuesday, December 11, 2007 8:47:02 PM
important, décembre, 72007, microsoft
...
Le voici, le voilà : le dernier patch Tuesday de l'année 2007.
Une année bien chargée qui a su nous emplir de joie nos petit cœur à la lecture des divers avis de sécurité publiés par les éditeurs de logiciels ou les chercheurs indépendants.
Pour le dernière acte de sa tragédie l'éditeur de Redmond nous gratifie comme prévu de 7 correctifs dont 3 critiques.
N'attendons pas plus pour nous mettre à table. Au menu :
- 2 vulnérabilités critiques (MS07-064 ) dans DirectX 7, 8.1, 9.0c et 10 sur tout les OS supportés de la firme. La première ne concerne que les version 7 et 8.1 de DirectX sous Windows 2000 et permet l'exécution de code arbitraire à la visualisation d'un contenu en steaming. La seconde est présente dans toutes les version de DirectX sus citées et permet là aussi l'exécution de code arbitraire à l'ouverture d'un fichier .wav ou .avi spécialement malformé.
- 1 vulnérabilité critique (MS07-068) présente dans le Windows Media Format Runtime 7, 9.1, 9.5 et 11 sur tout les Windows supportés mis à part Server 2003 pour plate-forme Itanium sur lequel n'est pas disponible le composant vulnérable. Notre charmante faille permet l'exécution de code arbitraire à l'ouverture via le Lecteur Windows Media ou un autre logiciel utilisant le Windows Media Format Runtime d'un fichier .asf spécialement malformé.
- 4 vulnérabilités critiques (MS07-069) atteignant les versions 5.01, 6 et 7 d'Internet Explorer avec tout les OS supportés de la firme.
Les 3 premières concernent une possible exécution de code arbitraire résultant de la lecture de plages mémoires ne lui appartenant pas par IE. La quatrième concerne une corruption de la mémoire à l'ouverture d'une page contenant une méthode spécialement malformée d'appel d'objets HTML, à la clé on retrouve bien sûr une exécution de code arbitraire.
À noter que IE 5.01 n'est concerné que par la première des vulnérabilité.
- 1 vulnérabilité importante (MS07-063) concernant uniquement Windows Vista et plus particulièrement le protocole Server Message Block (SMB) dans sa version 2. Celle-ci permet l'exécution de code arbitraire à la réception d'un paquet spécialement malformé de la part d'un ordinateur local.
- 1 vulnérabilité importante (MS07-065) sous Windows 2000 serveur permettant l'exécution de code arbitraire à la réception d'un paquet spécialement malformé à destination du service Microsoft Message Queuing (MSMQ).
Sous Windows 2000 client et Windows XP Professionnel le niveau tombe a modérée avec une simple élévation des privilèges en utilisant la même technique d'attaque que précédemment mais avec la nécessité de connaître un login valide sur la machine cible.
- 1 vulnérabilité importante (MS07-066) dans le noyau Windows 6.0, celui utilisé pour Windows Vista. Celle-ci permet une élévation des privilèges d'un utilisateur local logué sur la machine cible via l'exécution d'un programme spécifiquement malformé.
- 1 dernière vulnérabilité importante (MS07-067) sur laquelle nous ne nous attarderons pas. En effet il s'agit de la vulnérabilité dans le driver de Macrovision ayant déjà bénéficié d'un avis de sécurité publié précédemment et détaillé dans ce post. La vulnérabilité permet une élévation des privilèges d'un utilisateur local logué. Windows XP et Server 2003 sont concernés.
Microsoft n'a donc pas fait dans la dentelle pour sa dernière fournée de correctifs de l'année même si la récente faille dans le WPAD (amplement détaillée dans
ce post) court toujours.
Rendez-vous en tout cas le 3 Janvier 2008 pour le bulletin avancé de notification et le 8 pour la publication.
D'ici là nous aurons l'occasion de goûter aux traditionnelles failles de noël qui, on l'espère, répondront en nombre à l'appel.
Consulter la synthèse des bulletins sécuritaires de Décembre publiés par Microsoft
My Opera
(17%)
