Avis d’expert : semaine du 18 au 24 avril 2011

Avis d’expert : semaine du 18 au 24 avril 2011

Le CERT-XMCO recommande l’installation des correctifs APSB11-07 et APSB11-08 qui correspondent à une mise à jour du Flash Player d’Adobe, ainsi qu’à une mise à jour d’Adobe Reader et d’Acrobat. La faille de sécurité corrigée est actuellement exploitée par les pirates.

Le CERT-XMCO recommande aussi l’installation des correctifs Oracle, parus dans le cadre de son cycle de sécurité. Ceux-ci sont décrits dans le bulletin CpuApr2011.

Résumé des évènements majeurs :

Vulnérabilités :

Une faille de sécurité a été identifiée au sein de Skype sur Android. Son exploitation permettrait d’accéder à des informations potentiellement sensibles.

Correctifs :

Après avoir publié l’alerte APSA11-02, Adobe vient de publier les bulletins APSB11-07 et APSB11-08 qui proposent respectivement des correctifs pour le Flash Player ainsi que pour Adobe Reader et Acrobat.

Oracle a publié le bulletin de sécurité CpuApr2011 qui corrige un très grand nombre de failles de sécurité au sein de l’ensemble de ses logiciels (Oracle Database Server, Oracle Fusion Middleware…).

Enfin, de nombreux autres logiciels ont été corrigés, comme SAP Enterprise Portal, Mac OS, Solaris (1, 2, 3, 4, 5 et 6), iTunes, OpenOffice, Asterisk (et ici), DB2, CA Output Management Web Viewer, Redmine, ou encore EMC Networker.

Exploits :

Un code d’exploitation permettant de tirer parti de la faille de sécurité présente au sein de Word et corrigée par Microsoft dans le bulletin MS09-027 a été publié. Celui-ci permet de prendre le contrôle d’un système à distance en incitant simplement un internaute à ouvrir un document Word spécialement conçu. Une autre preuve de concept a été publiée. Cette dernière permet de prendre le contrôle d’un système à distance en incitant un internaute à visiter un site Internet spécialement conçu obligeant l’internaute à visualiser une animation Flash malveillante.

Conférence / Recherche :

Des chercheurs ont (re)découvert l’existence d’une base de données stockée sur les iPhone contenant de nombreuses données sensibles. En effet, une fois celles-ci récupérées, un pirate est en mesure de connaitre, de façon relativement précise, la géolocalisation d’un utilisateur à un instant donné. Une application a, de plus, été développée afin de faciliter la visualisation de ces informations.

Cybercriminalité / Attaques :

Un pirate utilisant le pseudonyme TinKode a attaqué une partie du système d’information de l’Agence Spaciale Européenne, puis a publié ouvertement des données sensibles sur Internet. Le même pseudo avait déjà été utilisé dans le cadre de l’attaque de MySQL, ainsi que dans d’autres attaques plus anciennes.

Entreprises :

Microsoft a décidé d’imposer une politique de divulgation de faille de sécurité à l’ensemble de ses employés. Celle-ci permet au géant de l’informatique de s’assurer que des failles critiques ne seront pas publiées sur Internet sans que l’éditeur du logiciel vulnérable n’ait été prévenu au préalable. En effet, depuis environ un an, Microsoft essaye de faire pencher la balance dans les pratiques adoptées massivement par les chercheurs en sécurité : en effet, ces derniers sont, pour un certain nombre d’entre eux, habitués à publier des informations en « Full Disclosure » afin d’avoir un moyen de pression sur l’éditeur, alors que Microsoft préférerait que l’éditeur soit en situation favorable pour corriger la faille découverte. Microsoft a, par la même occasion, inauguré une page qui présente les différentes failles de sécurité découvertes par ses employés au sein des logiciels concurrents.

Internationnal :

L’ENISA a publié un rapport complet détaillant le déroulement de l’exercice « Cyber Europe 2010 » qui a eu lien l’an passé. Ce rapport présente les différentes conclusions établies à la suite de cet exercice, en fonction des retours effectués par les différents participants, ainsi qu’en fonction de l’analyse du déroulement de l’exercice en lui même. Parmi les points clefs identifiés, le secteur privé devrait être amené à jouer un rôle plus important dans le futur.

Enfin, nous vous rappelons que vous pouvez suivre l’actualité de la sécurité en retrouvant le CERT-XMCO sur Twitter : http://twitter.com/certxmco


Cert-XMCO