Avis d’expert : semaine du 13 au 19 décembre 2010

Avis d’expert : semaine du 13 au 19 décembre 2010

Le CERT-XMCO recommande l’installation des correctifs publiés par Microsoft dans le cadre de son « Patch Tuesday » du mois de décembre. Le CERT-XMCO préconise, tout particulièrement, l’installation des correctifs MS10-091 (Exécution de code à distance via la gestion des polices de caractères OTF), MS10-090 (Exécution de code à distance via Internet Explorer) et MS10-092 (Élévation de privilèges au sein du planificateur de tâches). En effet, ces deux derniers bulletins corrigent des vulnérabilités exploitées sur internet et pour lesquelles des codes d’exploitation sont publiquement disponibles.

* Résumé des évènements majeurs :
Correctifs :
Microsoft a publié 17 bulletins corrigeant 40 vulnérabilités dans le cadre de son « Patch Tuesday » du mois de décembre.

Exploits :
Un code d’exploitation tirant parti de la vulnérabilité 0day qui affecte Internet Explorer a été publié. Cette vulnérabilité résulte d’une erreur au sein de la gestion des imports de styles CSS.

Cybercriminalité / Attaques :
Trend Micro vient d’identifier un virus qui exploite une vulnérabilité corrigée récemment par Microsoft dans son bulletin MS10-087. Un fichier RTF malveillant serait actuellement envoyé par courriel. Il tenterait d’exploiter un débordement de tas au sein de la suite Office. La vulnérabilité exploitée permettrait au pirate de prendre le contrôle d’un système vulnérable dès l’ouverture du fichier en question.

Après que sa clause de non-divulgation ait pris fin, Gregory Perry a décidé de rendre publique une information sensible. D’après lui, une ou plusieurs portes dérobées auraient été introduites au sein de la pile IPSec du système d’exploitation OpenBSD. Cette rumeur a engendré de nombreuses réactions de la part des personnes mises en cause. Un audit du code serait en cours afin de détecter une potentielle porte dérobée. Il est très difficile de savoir ce qu’il en est actuellement, étant donné l’importance et la complexité du code en question et la sensibilité du sujet.

La base de données de plusieurs sites tels que Gawker.com, Gizmodo.com, ou encore LifeHacker.com appartenant à « Gawker Media » et contenant 1,3 million d’emails et de mots de passe, a été piratée. Un groupe de pirates appelé « Gnosis » a revendiqué l’attaque. Celui-ci a diffusé publiquement ces informations.

Les plateformes de distribution de publicité de Google (DoubleClick) et de Microsoft (rad.msn.com) auraient été utilisées pour distribuer des malwares sur d’autres sites, sous la forme de bannières publicitaires. Les cybercriminels seraient parvenus à tromper les responsables des plateformes de publicité en utilisant ADShufffle.com, un domaine qui ressemble fortement à ADShuffle.com, avec lequel travaillent régulièrement Google et Microsoft.

Conférence / Recherche :
Le NIST a récemment publié la liste des 5 algorithmes sélectionnés pour faire partie du tour final de sélection du prochain standard SHA-3. Parmi les 5 finalistes se trouvent trois propositions européennes : BLAKE (suisse), Grøstl (collaboration austro-danoise), et enfin Keccak (belge). La seule proposition américaine est Skein. Enfin, JH arrive tout droit de Singapour. Reste encore de nombreuses heures de travail pour tous les chercheurs impliqués dans ce long processus de sélection, afin de découvrir le maximum de failles dans les propositions faites avant l’échéance du concours en mars 2012.

Entreprises :
Après Google, c’est au tour de Mozilla d’étendre son programme de récompense attribué aux chercheurs de failles de sécurité pour les autoriser à traquer les failles de sécurité qui se trouvent sur les différents sites de la fondation.

L’application iCERT-XMCO pour iPad est disponible sur l’AppStore d’Apple :
http://itunes.apple.com/fr/app/icert-xmco

Enfin, nous vous rappelons que vous pouvez suivre l’actualité de la sécurité en retrouvant le CERT-XMCO sur Twitter :
http://twitter.com/certxmco


Cert-XMCO