Avis d’expert : semaine du 5 au 11 Mars 2012

Avis d’expert : semaine du 5 au 11 Mars 2012

Plusieurs failles de sécurité ont été corrigées par Adobe au sein de Flash.

Microsoft a annoncé la publication de 6 bulletins de sécurité dans le cadre de son « Patch Tuesday » du mois de mars le mardi 13.

Résumé des évènements majeurs :

Vulnérabilités :

Peu de vulnérabilités ont été rendues publiques cette semaine. Parmi les logiciels concernés figurent le navigateur Safari et BlackBerry OS.

Correctifs :

Cette semaine, Apple a publié plusieurs correctifs pour son système d’exploitation iOS, iTunes, et Apple TV . VMware a également publié des correctifs pour ses solutions VMware vCenter Chargeback Manager, VMware VirtualCenter et VMware ESX. Plusieurs failles de sécurité ont également été corrigées au sein de Flash.

Plusieurs autres correctifs ont été publiés. Ceux-ci concernent le navigateur Google Chrome, le CMS DotNetNuke, Drupal et Joomla!, le WAF Barracuda, HP Network Node Manager i, RSA SecurID Software Token Converter, MantisBT, Symantec Enterprise Vault, Symfony2 et Novell ZENworks Configuration Management. Enfin, IBM a publié des correctifs pour ses solutions IBM Tivoli, IBM Maximo Asset Management et le serveur de base de données IBM DB2.

Microsoft a annoncé la publication de 6 bulletins de sécurité dans le cadre de son « Patch Tuesday » du mois de mars le mardi 13.

Exploit :

Une preuve de concept a été divulguée cette semaine pour Adobe Flash Player. L’exploitation de cette faille de sécurité permet de prendre le contrôle d’un système à distance.

Conférence / Recherche :

Les concours de sécurité Pwn2Own et Pwnium lancés la semaine dernière à Vancouver, dans le cadre de la conférence CanSecWest, ont permis d’identifier et d’exploiter des failles au sein de l’ensemble des navigateurs. La nouveauté de cette année est l’exploitation d’une faille de sécurité au sein du navigateur Google Chrome permettant de prendre le contrôle à distance. Quelques jours avant le lancement de ce concours, Google venait de corriger un total de 17 failles de sécurité au sein de son navigateur. L’éditeur du navigateur Chrome a également distribué un total de 50 000 dollars aux chercheurs ayant découvert ces vulnérabilités.

Mozilla vient d’annoncer la mise en place, prochainement, d’une solution visant à interdire l’exécution de modules additionnels (DLL XPCOM) non protégés par l’ASLR. Cette fonction de sécurité devrait être disponible dans la version 13 de Firefox.

Un chercheur a piraté le site GitHub pour prouver l’existence d’une faille au sein du framework « Ruby On Rails« .

Cybercriminalité / Attaques :

La société Imperva a publié un rapport présentant les résultats de l’analyse d’une attaque menée par le groupe d’hacktivistes Anonymous.

Dans le même temps, des experts russes se sont réunis afin de discuter de l’avenir des attaques de déni de service distribuées (DDOS). Selon eux, sorties du champ commercial, ces attaques DDoS qui sont trop peu rentables devraient majoritairement devenir un élément de contestation.

La version d’évaluation du système d’exploitation Microsoft « POSReady 2009 » destinée à être utilisée au sein de solutions embarquées serait infectée par un malware nommé « SSOExec ».

L’adoption par le Canada de la carte à puce a permis de faire reculer les fraudes par clonage de cartes de crédit de 41 % en 2011.

Juridique :

Le marché des cartes prépayées s’est progressivement développé en France et sa potentielle attractivité pour des opérations de blanchiment d’argent inquiète Tracfin. Jean-Baptiste Carpentier, le directeur de Tracfin, est particulièrement préoccupé par le défi posé par ce nouveau marché.

Le FBI a obtenu une autorisation pour poursuivre l’opération DNS-OK. Celle-ci avait pour but de maintenir en place les serveurs de commande et de contrôle utilisés par les pirates. L’autorisation au départ fixée jusqu’au 8 mars 2012 vient d’être étendue de 120 jours.

La presse russe a pu rencontrer Andrei Sabelnikov (créateur présumé du botnet Kelihos) pour l’interroger sur le conflit l’opposant au géant américain Microsoft.

XMCO a récemment publié un nouvel article sur son blog :

Enfin, nous vous rappelons que vous pouvez suivre l’actualité de la sécurité en retrouvant le CERT-XMCO sur Twitter : @CERTXMCO


Cert-XMCO