Marianne ANSSI

CERT-FR

Centre gouvernemental de veille, d'alerte et de réponse aux attaques informatiques

logo ANSSI
Informations utiles

Que faire en cas d'intrusion ?

Les systèmes obsolètes

Liens utiles

 

L'ANSSI recrute

 

 

Les documents du CERT-FR

Publications récentes

Les alertes en cours

Les bulletins d'actualité

Les notes d'information

Année en cours Archive

 

Les Flux RSS du CERT-FR

Flux RSS complet

RSS

Flux RSS des alertes

RSS

Flux RSS SCADA

RSS

 

CERTA-2009-ACT-029

Imprimer ce document

Version PDF

À propos du CERT-FR

Le CERT-FR

Nous contacter

Contact us ( Drapeau anglais )

A propos du site

Communauté CSIRT

Les CSIRT

Le FIRST

L'EGC

 
Archives du CERT-FR

Année 2014 Archive

Année 2013 Archive

Année 2012 Archive

Année 2011 Archive

Année 2010 Archive

Année 2009 Archive

Année 2008 Archive

Année 2007 Archive

Année 2006 Archive

Année 2005 Archive

Année 2004 Archive

Année 2003 Archive

Année 2002 Archive

Année 2001 Archive

Année 2000 Archive

 

S . G . D . S . N
Agence nationale
de la sécurité des
systèmes d'information

République Française Paris, le 17 juillet 2009
No CERTA-2009-ACT-029

Affaire suivie par :

CERTA

Objet : Bulletin d'actualité 2009-29


Conditions d'utilisation de ce document : http://www.certa.ssi.gouv.fr/certa/apropos.html
Dernière version de ce document : http://www.certa.ssi.gouv.fr/site/CERTA-2009-ACT-029

Gestion du document

Le bulletin d'actualité est disponible dans son intégralité et au format PDF à l'adresse suivante :

http://www.certa.ssi.gouv.fr/site/CERTA-2009-ACT-029.pdf

Un extrait du bulletin, ne reprenant que les articles de la semaine, se trouve en HTML à l'adresse suivante :

http://www.certa.ssi.gouv.fr/site/CERTA-2009-ACT-029/

1 Les vulnérabilités de la semaine

Cette semaine le CERTA a publié deux alertes dont une corrigée aujourd'hui.

1.1 Vulnérabilité dans Microsoft Office Web Components Control

L'alerte de sécurité CERTA-2009-ALE-011 fait état d'une vulnérabilité non précisée par l'éditeur dans Microsoft Office Web Components Control. Elle est exploitable au moyen d'une page web spécifiquement écrite visualisée dans Internet Explorer et permet l'exécution de code arbitraire à distance. Le CERTA recommande la mise en place du contournement provisoire décrit dans l'alerte (cf. la section Documentation) ou d'utiliser un navigateur alternatif.

1.2 Vulnérabilité dans Mozilla Firefox

L'alerte de sécurité CERTA-2009-ALE-012 concernait une vulnérabilité dans Mozilla Firefox. Elle est corrigée dans la version 3.5.1 du navigateur, annoncée dans le bulletin de sécurité MFSA 2009-41 du 16 juillet. Cette vulnérabilité impactait le compilateur à la volée (JIT - Just In Time Compiler) JavaScript et permettait l'exécution de code arbitraire à distance au moyen d'une page Web malveillante. Un code exploitant cette vulnérabilité circule sur l'Internet et le CERTA recommande la mise à jour du navigateur.

1.3 Documentation

2 Correctifs Microsoft du mois de juillet

Cette semaine, Microsoft a émis six nouveaux bulletins de sécurité. Trois sont considérés comme importants par l'éditeur et trois comme critiques. Voici un aperçu des vulnérabilités :

  • plusieurs vulnérabilités dans DirectShow permettent l'exécution de code arbitraire à distance (MS09-028) ;
  • plusieurs vulnérabilités dans le moteur de polices Embedded OpenType permettent l'exécution de code arbitraire à distance (MS09-029) ;
  • une vulnérabilité dans Microsoft Office Publisher permet l'exécution de code arbitraire à distance (MS09-030) ;
  • une vulnérabilité dans Microsoft ISA Server permet à une personne malintentionnée d'élever ses privilèges (MS09-031) ;
  • une vulnérabilité dans le contrôle ActiveX Microsoft Video permet l'exécution de code arbitraire à distance (MS09-032) ;
  • une vulnérabilité dans Virtual PC et Virtual Server permet une élévation de privilèges dans le système d'exploitation invité (MS09-033).

Les alertes CERTA-2009-ALE-009 (DirectShow) et CERTA-2009-ALE-010 (ActiveX Microsoft Video) sont ainsi corrigées par ces mises à jour.

Il est important de noter que l'alerte CERTA-2009-ALE-011 relative aux Microsoft Office Web Components n'est pas comblée par ce lot de correctifs. Il est donc recommandé de rester vigilant et d'appliquer sans tarder les contournements provisoires décrits dans l'alerte.

2.1 Cas particulier de MS09-032

Pour ce dernier bulletin, le passage de l'état vulnérable à l'état corrigé par Microsoft est intéressant : le bulletin MS09-032, pointé par l'avis CERTA-2009-AVI-278, est un correctif intitulé Mise à jour cumulative pour les kill bits ActiveX. Ce correctif positionne dans la base de registres de Windows des paramètres (kill bits) désactivant des contrôles ActiveX vulnérables.

Or, c'est exactement ce que faisait le contournement provisoire proposé par Microsoft et détaillé dans l'alerte CERTA-2009-ALE-010. Ceci revient à dire que le contournement provisoire vaut pour une solution définitive.

Ce faisant, Microsoft considère que le positionnement d'un kill bit sur un contrôle ActiveX vulnérable suffit à corriger la vulnérabilité. Or, intrinsèquement, désactiver un composant ne revient pas à corriger les vulnérabilités qu'il renferme.

On aurait tout à fait pu imaginer la sortie d'un véritable correctif permettant de continuer à utiliser ce contrôle ActiveX susceptible d'avoir une certaine utilité.

Dans tout les cas, le CERTA rappelle que les contrôles ActiveX étant une technologie à risque, il est recommandé de s'en dispenser.

2.2 Documentation

3 Sites Web et compatibilité des navigateurs

Les sites Web ne sont pas toujours conçus pour être lisibles sur tous les navigateurs.

C'est le cas de certains sites Web qui peuvent avoir une apparence étrange, voire illisible, au cours d'une visite via le dernier navigateur Microsoft Internet Explorer 8.

Pour les utilisateurs de ce navigateur, il est possible :

  • d'activer le mode « affichage de compatibilité », à l'aide d'un bouton qui se trouve à droite de la barre d'adressage ;
  • de modifier dans la configuration d'Internet Explorer, par Outils -> Paramètres d'affichage de compatibilité, l'option générale d'affichage. Elle sera alors valable pour tous les sites visités ;
  • dans le cadre d'un réseau d'entreprise, d'utiliser les paramètres de stratégie de groupe qui se trouvent pour les différentes entités dans Administrative Templates/Windows Components/Internet Explorer/Compatibility View.

Pour les administrateurs de sites Web, afin de rendre leurs sites accessibles au plus grand nombre, il est envisageable d'ajouter à la page HTML le tag indiqué ci-dessous afin qu'Internet Explorer 8, au cours de son interprétation du code, utilise directement le moteur de rendu de la précédente version Internet Explorer 7.

<meta http-equ="X-UA-Compatible" content="IE=7">

Les différents modes à préciser dans le tag sont documentés par Microsoft dans les liens fournis ci-après.


4 Rappel des avis émis

Dans la période du 09 au 16 juillet 2009, le CERTA a émis les avis suivants :

  • CERTA-2009-AVI-271 : Multiples vulnérabilités dans Apple Safari
  • CERTA-2009-AVI-272 : Vulnérabilité de Apache mod_proxy
  • CERTA-2009-AVI-273 : Multiples vulnérabilités dans Microsoft DirectShow
  • CERTA-2009-AVI-274 : Multiples vuln???rabilités dans Microsoft Windows Embedded OpenType
  • CERTA-2009-AVI-275 : Vulnérabilité de Microsoft Office Publisher
  • CERTA-2009-AVI-276 : Vulnérabilité de ISA Server
  • CERTA-2009-AVI-277 : Vulnérabilité dans Virtual PC et Virtual Server
  • CERTA-2009-AVI-278 : Vulnérabilité dans le contrôle ActiveX Microsoft Video
  • CERTA-2009-AVI-279 : Multiples vulnérabilités dans des produits Oracle
  • CERTA-2009-AVI-280 : Vulnérabilité dans DHCP Dhclient
  • CERTA-2009-AVI-281 : Multiples vulnérabilités dans WordPress


Liste des tableaux

Gestion détaillée du document

17 juillet 2009
version initiale.


CERTA
2014-01-17
Premier Ministre / Secrétariat Général de la Défense et de la Sécurité Nationale / Agence nationale de la sécurité des systèmes d'information webmestre Dernière mise à jour : le 2014-10-23