Avis d’expert : semaine du 12 au 18 avril 2010

Avis d’expert : semaine du 12 au 18 avril 2010



Oracle a publié la mise à jour trimestrielle « cpuapr2010 » et la version 6u20 de Java SE à la suite de la découverte d’une vulnérabilité majeure au sein de Java Web Start. En effet, une faille de sécurité critique de JAVA est actuellement exploitée sur Internet. L’exploitation de la faille nécessite la visite par une victime d’une page web malicieuse. Oracle a réagi en publiant l’Update 20 (JRE/JDK) de Java SE 6 et en bloquant l’ActiveX « Java Deployment Toolkit » vulnérable au sein d’Internet Explorer.
La faille reste toujours exploitable sur les navigateurs alternatifs si les plug-ins Java ne sont pas désactivés.

Dans le cadre de son « Patch Tuesday« , Microsoft a publié 11 correctifs résolvant 25 failles de sécurité. L’application de ces correctifs est bien sûr de rigueur, en particulier pour le correctif MS10-022 relatif à une attaque via Internet Explorer et VBscript.

De son côté, Apple a publié un correctif pour la faille de sécurité critique liée à l’utilisation de police caractère spécialement conçue. Cette faille avait été utilisée par Charlie Miller pour remporter un prix lors du concours Pwn2Own qui a eu lieu au début du mois de mars.

Des pirates se sont attaqués à de nombreux blogs utilisant le moteur WordPress. L’attaque se base sur le fait que le fichier « wp-config.php » est en lecture pour tout le monde dans un contexte d’hébergement mutualisé, ainsi qu’il contient le mot de passe de la base de données en clair.

Enfin, la faille PDF relative à la commande « /Launch« , corrigée la semaine dernière par Adobe dans son lecteur, est activement exploitée afin d’augmenter le nombre de machines zombies du botnet ZeuS.


Cert-XMCO