War on the Network

Le voici, le voilà : le dernier patch Tuesday de l'année 2007.
Une année bien chargée qui a su nous emplir de joie nos petit cœur à la lecture des divers avis de sécurité publiés par les éditeurs de logiciels ou les chercheurs indépendants.

Pour le dernière acte de sa tragédie l'éditeur de Redmond nous gratifie comme prévu de 7 correctifs dont 3 critiques.

N'attendons pas plus pour nous mettre à table. Au menu :

• 2 vulnérabilités critiques (MS07-064 ) dans DirectX 7, 8.1, 9.0c et 10 sur tout les OS supportés de la firme. La première ne concerne que les version 7 et 8.1 de DirectX sous Windows 2000 et permet l'exécution de code arbitraire à la visualisation d'un contenu en steaming. La seconde est présente dans toutes les version de DirectX sus citées et permet là aussi l'exécution de code arbitraire à l'ouverture d'un fichier .wav ou .avi spécialement malformé.
  
  
• 1 vulnérabilité critique (MS07-068) présente dans le Windows Media Format Runtime 7, 9.1, 9.5 et 11 sur tout les Windows supportés mis à part Server 2003 pour plate-forme Itanium sur lequel n'est pas disponible le composant vulnérable. Notre charmante faille permet l'exécution de code arbitraire à l'ouverture via le Lecteur Windows Media ou un autre logiciel utilisant le Windows Media Format Runtime d'un fichier .asf spécialement malformé.
  
  
• 4 vulnérabilités critiques (MS07-069) atteignant les versions 5.01, 6 et 7 d'Internet Explorer avec tout les OS supportés de la firme.
  Les 3 premières concernent une possible exécution de code arbitraire résultant de la lecture de plages mémoires ne lui appartenant pas par IE. La quatrième concerne une corruption de la mémoire à l'ouverture d'une page contenant une méthode spécialement malformée d'appel d'objets HTML, à la clé on retrouve bien sûr une exécution de code arbitraire.
  À noter que IE 5.01 n'est concerné que par la première des vulnérabilité.
  
  
• 1 vulnérabilité importante (MS07-063) concernant uniquement Windows Vista et plus particulièrement le protocole Server Message Block (SMB) dans sa version 2. Celle-ci permet l'exécution de code arbitraire à la réception d'un paquet spécialement malformé de la part d'un ordinateur local.
  
  
• 1 vulnérabilité importante (MS07-065) sous Windows 2000 serveur permettant l'exécution de code arbitraire à la réception d'un paquet spécialement malformé à destination du service Microsoft Message Queuing (MSMQ).
  Sous Windows 2000 client et Windows XP Professionnel le niveau tombe a modérée avec une simple élévation des privilèges en utilisant la même technique d'attaque que précédemment mais avec la nécessité de connaître un login valide sur la machine cible.
  
  
• 1 vulnérabilité importante (MS07-066) dans le noyau Windows 6.0, celui utilisé pour Windows Vista. Celle-ci permet une élévation des privilèges d'un utilisateur local logué sur la machine cible via l'exécution d'un programme spécifiquement malformé.
  
  
• 1 dernière vulnérabilité importante (MS07-067) sur laquelle nous ne nous attarderons pas. En effet il s'agit de la vulnérabilité dans le driver de Macrovision ayant déjà bénéficié d'un avis de sécurité publié précédemment et détaillé dans ce post. La vulnérabilité permet une élévation des privilèges d'un utilisateur local logué. Windows XP et Server 2003 sont concernés.
  

Microsoft n'a donc pas fait dans la dentelle pour sa dernière fournée de correctifs de l'année même si la récente faille dans le WPAD (amplement détaillée dans ce post) court toujours.
Rendez-vous en tout cas le 3 Janvier 2008 pour le bulletin avancé de notification et le 8 pour la publication.
D'ici là nous aurons l'occasion de goûter aux traditionnelles failles de noël qui, on l'espère, répondront en nombre à l'appel.

Consulter la synthèse des bulletins sécuritaires de Décembre publiés par Microsoft

Comme prévu, c'est en ce dur Mardi 13 Novembre que Microsoft publie ses habituels bulletins de sécurité.
Et comme prévu, ce sont bien deux correctifs qui sont publiés : un important et un critique, ce dernier concernant fort logiquement la faille des URI.

Passons à table :

• Le premier bulletin répond au doux nom de MS07-061 et s'attaque de plein fouet à la vulnérabilité dans la gestion des URI sous Windows XP et Server 2003 lorsqu'Internet Explorer 7 est installé.
  Pour rappel, cette faille permet l'exécution de code arbitraire à l'ouverture d'un lien de type mailto, news ou même http dans une application ne vérifiant pas la bonne teneur de ces URI ou lorsque que c'est l'application cible de ces liens qui ne les vérifie pas correctement.
  
  La faille peut donc être déroutée si toutes les applications de la chaîne ont reçus un correctif à cet effet (comme ce fût le cas avec Firefox ou Adobe Reader). Avec ce patch, Microsoft règle le problème à sa source en modifiant la façon dont Windows gère les URI malformée, rendant l'exploitation impossible.
  

• Le second bulletin (MS07-062), de niveau important cette fois, concerne un problème présent sous Windows Server 2000 et 2003 et plus précisément dans le Service de DNS.
  Ce problème permet à un attaquant de rediriger un internaute demandant une adresse légitime au DNS vers un site malveillant, choisi arbitrairement.
  
  Pour cela, l'attaquant exploite un problème dans le choix aléatoire des valeurs de transaction entreprit par le DNS pour prédire ces valeurs. Grâce à celles-ci, il peut ensuite envoyer des requêtes trompeuses au serveur pour lui faire rediriger le trafic vers le site malveillant.
  

C'est donc un petit patch Tuesday qui nous a été concocté par Microsoft ce mois-ci, avec seulement deux correctifs sécuritaires.
En attandant, la faille dans le pilote de Macrovision court toujours malgré le correctif de l'éditeur du pilote. Sur leur blog, l'équipe du Microsoft Security Response Center indique tester ce correctif avant de le publier via les mises à jour automatiques.

Espèrons que le mois de Décembre sera plus chargé mais c'est à n'en pas douter : historiquement il l'a toujours été.
Rendez-vous donc Mardi 11 Décembre pour une nouvelle fournée de correctifs made in Redmond.

Consulter la synthèse des bulletin de sécurité Microsoft de Novembre

Une vulnérabilité à été reportée dans Microsoft Windows XP et Server 2003.
Celle-ci concerne une élévation des privilèges d'un utilisateur local via un problème dans la gestion de certains paramètres dans le driver SECDRV.SYS ,développé par Macrovision, inclue par défaut dans les OS sus-cités.

Macrovision a dors et déjà publié un correctif pour son driver, mais Microsoft prévient dans un bulletin de sécurité qu'il publiera également le sien bientôt et via la distribution de correctifs mensuelle.

Consulter le bulletin de sécurité de Microsoft
Consulter la page de téléchargement du correctif de Macrovision

En cet épuisant début de mois d'octobre, Microsoft nous livre son habituelle fournée de correctifs pour ses différents logiciels.
Après un bulletin avancé de notification annonçant 4 bulletins critiques et 3 importants, c'est finalement ce dernier nombre qui est revu à la baisse puisqu'il passe de 3 à 2 bulletins importants publiés aujourd'hui.
C'est donc avec 6 correctifs que nous nous régalerons ce mois ci.

Au menu :

- MS07-055 : On commence avec une premier vulnérabilité critique dans l'afficheur d'image Kodak dans sa version intégrée dans Windows 2000. Celle-ci permet l'exécution de code arbitraire à l'ouverture d'un fichier image spécialement malformé. Les utilisateurs de Windows Server 2003 et XP ayant installé leur système sur un Windows 2000 vulnérable le sont aussi.


- MS07-056 : On poursuit avec une seconde vulnérabilité critique concernant toute les version supportées d'Outlook Express et Windows Mail.
Cette faille si situe dans la gestion du protocole NNTP du logiciel et permet l'exécution de code arbitraire à l'ouverture d'une page web malveillante écrite pour utiliser le protocole NNTP. Si l'utilisateur la visite via Internet Explorer celui-ci utilisera Outlook Express ou Windows Mail pour géré le flux NNTP et entrainera ainsi l'exploitation de ladite vulnérabilité. L'exploitation peut également avoir lieu via une ouverture volontaire dans le logiciel de messagerie d'un flux NNTP ou via un autre naviguateur configuré pour ouvrir le protocole avec ces logiciels.

- MS07-057 : Vulnérabilités dans IE, mois d'Octobre pluvieux, ce sont 3 vulnérabilités dont une critique qui sont corrigées par ce patch. La première et la troisième, de niveau modéré et faible, concernent un spoofing permettant d'afficher une fausse adresse web dans la barre d'adresse du naviguateur. La seconde, critique, permet l'exécution de code arbitraire à la visite d'un site malveillant

- MS07-060 : Il s'agit d'une vulnérabilité critique dans Microsoft Word permettant l'exécution de code arbitraire à l'ouverture d'un document Word spécialement malformé. Seul les versions de Word incluent dans les éditions 2000, XP et 2004 pour Mac de Office sont affectées, la 2003 pouvant uniquement crasher à l'ouverture d'un document malveillant exploitant cette faille.


- MS07-058 : Déni de service qualifié d'important sous Windows XP, Server 2003 et Vista et provenant d'un problème dans la gestion des requêtes d'authentification NTLMSSP à destination du service RPC.

- MS07-059 : Nous terminons ce patch Tuesday avec une vulnérabilité importante dans SharePoint Server 2007 et SharePoint Service 3.0 (inclue dans Windows Server 2003). Celle-ci concerne une élévation des privilèges d'un utilisateur connecté à SharePoint lui permettant d'exécuter arbitrairement des scripts sur le serveur ou d'envoyer une réponse erronée à un utilisateur du service.

Ce mois d'Octobre commence donc avec seulement 6 correctifs, Microsoft ayant fait l'impasse sur celui se concentrant sur Windows 2000 et Server 2003 annoncé Jeudi.
On se retrouvera donc le 13 Novembre prochain pour une nouvelle fournée de correctifs made in Redmond !

Consulter la synthèse des bulletins de sécurité d'Octobre

Comme chaque mois, Microsoft a publié ce mardi 11 Septembre sa fournée mensuelle de correctifs touchant à la sécurité pour ses divers produits.
Mais avant de détailler les mise à jour publiées ce mois-ci je voulais m'excuser pour mon petit retard, en effet j'écris ce billet 24h après la publication des correctifs. Cela est dû au fait que je suis assez pris depuis la reprise des cours mais j'ai déjà tenu une année donc je pense qu'il n'y aura pas de problème pour en tenir une seconde.

Trêve de bavardage passons maintenant au menu de mois de Septembre :

• 1 correctif critique (MS07-051) corrigeant une vulnérabilité critique uniquement présente sous Windows 2000. Cette faille concerne un contrôle activX de Microsoft Agent et permet l'exécution de code arbitraire à l'ouverture d'une page web malveillante via Internet Explorer.
  
  
• 1 correctif important (MS07-52) se portant sur une vulnérabilité logiquement importante dans Visual Studio toute versions. Cette faille concerne la gestion des fichiers .RPT par le logiciel vulnérable et permet l'exécution de code arbitraire.
  
  
• 1 correctif important (MS07-53) encore une fois, concernant le service Windows pour UNIX et permettant une élévation des privilèges à l'exécution de certaine librairies.
  
  
• 1 dernier bulletin d'alerte toujours de niveau important (MS07-054) concernant lui MSN Messenger 6.2, 7.0, 7.5 et Windows Live Messenger 8.0. Il fait état d'une vulnérabilité donc je vous parlais dans ce post et invite les utilisateurs concernés à migrer vers la version 8.1 de Windows Live Messenger.
  
  

C'est donc sur un bien maigre mois de Septembre que l'on se quitte avec seulement 4 correctifs en plus des habituels outils de surpressions des logiciels malveillants et mises à jours des filtres de courrier indésirable pour Windows Mail.
On se retrouvera donc Mardi 9 Octobre pour la fournée de ce dixième mois de l'année avec, on l'espère, un programme un peu plus chargé.

Consulter la synthèse des bulletins d'alerte de Septembre