Marianne ANSSI

CERT-FR

Centre gouvernemental de veille, d'alerte et de réponse aux attaques informatiques

logo ANSSI
Informations utiles

Que faire en cas d'intrusion ?

Les systèmes obsolètes

Liens utiles

 

L'ANSSI recrute

 

 

Les documents du CERT-FR

Publications récentes

Les alertes en cours

Les bulletins d'actualité

Les notes d'information

Année en cours Archive

 

Les Flux RSS du CERT-FR

Flux RSS complet

RSS

Flux RSS des alertes

RSS

Flux RSS SCADA

RSS

 

CERTA-2011-ACT-015

Imprimer ce document

Version PDF

À propos du CERT-FR

Le CERT-FR

Nous contacter

Contact us ( Drapeau anglais )

A propos du site

Communauté CSIRT

Les CSIRT

Le FIRST

L'EGC

 
Archives du CERT-FR

Année 2014 Archive

Année 2013 Archive

Année 2012 Archive

Année 2011 Archive

Année 2010 Archive

Année 2009 Archive

Année 2008 Archive

Année 2007 Archive

Année 2006 Archive

Année 2005 Archive

Année 2004 Archive

Année 2003 Archive

Année 2002 Archive

Année 2001 Archive

Année 2000 Archive

 

S . G . D . S . N
Agence nationale
de la sécurité des
systèmes d'information

République Française Paris, le 15 avril 2011
No CERTA-2011-ACT-015

Affaire suivie par :

CERTA

Objet : Bulletin d'actualité 2011-15


Conditions d'utilisation de ce document : http://www.certa.ssi.gouv.fr/certa/apropos.html
Dernière version de ce document : http://www.certa.ssi.gouv.fr/site/CERTA-2011-ACT-015

Gestion du document

Le bulletin d'actualité est disponible dans son intégralité et au format PDF à l'adresse suivante :

http://www.certa.ssi.gouv.fr/site/CERTA-2011-ACT-015.pdf

Un extrait du bulletin, ne reprenant que les articles de la semaine, se trouve en HTML à l'adresse suivante :

http://www.certa.ssi.gouv.fr/site/CERTA-2011-ACT-015/

1 Alerte dans les produits Adobe

En début de semaine, le CERTA a émis une alerte concernant les produits Adobe. Une vulnérabilité non corrigée est en effet présente dans les produits Adobe Flash Player, Adobe Acrobat et Adobe Reader. L'alerte CERTA-2011-ALE-003 donne la liste des versions vulnérables. Un document spécialement conçu par une personne malintentionn'ee peut provoquer l'exécution de code arbitraire sur le système de la victime.

Cette vulnérabilité est actuellement activement exploitée sur l'Internet, via des documents Flash (.swf) inclus dans des fichiers au format Microsoft Word (.doc) ou Microsoft Excel (.xls) et diffusés par courrier électronique, la cible principale étant les systèmes Windows.

Adobe a annoncé la mise à disposition de mises à jour pour Adobe Flash le 15 avril 2011, jour de la publication de cet article. Toutefois, au moment de la rédaction de celui-ci, ces mises à jour ne sont pas disponibles.

Adobe indique que les mises à jour des autres produits concernés seront disponibles avant la semaine du 25 avril 2011. L'alerte sera alors modifiée au regard de ces nouvelles informations. Seule la version d'Adobe Reader X pour Windows est retardée au 14 juin 2011. Adobe considère que le Protected Mode empêche l'exploitation de la faille sur ce logiciel.

Il est à noter que les utilisateurs de Google Chrome peuvent déjà mettre à jour leur logiciel pour atteindre la version 10.0.648.205 corrigeant la vulnérabilité (se reporter à l'avis CERTA-2011-AVI-227).

Dans tous les cas, il reste impératif de mettre à jour les logiciels déclarés vulnérables dès la sortie des correctifs.

Documentation

2 Mise à jour Microsoft du mois d'avril

Cette semaine, Microsoft a publié un nombre élevé de mises à jour pour ses différents logiciels. En effet, ce ne sont pas moins de 17 bulletins qui ont été émis pour un total de 64 vulnérabilités corrigées. Parmi ces bulletins, 16 traitent de vulnérabilités autorisant une exécution de code arbitraire à distance et 9 sont classés comme étant critiques par l'éditeur.

Deux de ces vulnérabilités retiennent particulièrement l'attention. Il s'agit de deux failles critiques autorisant l'exécution de code arbitraire à distance, exposées dans les bulletins MS11-019 et MS11-020, et qui concernent respectivement le client et le serveur SMB de Microsoft Windows. De part leur complémentarité, ces deux vulnérabilités sont particulièrement dangereuses. En effet, un ver utilisant ces vulnérabilités comme mécanisme de propagation pourrait aisément compromettre l'ensemble d'un réseau suite à la contamination d'un serveur ou d'un simple poste client. Il est donc impératif de mettre à jour rapidement l'ensemble des systèmes Microsoft Windows.

Notons aussi que Microsoft a publié, dans ces bulletins, des mises à jour concernant des failles dans Internet Explorer 6, 7 et 8 ainsi que dans le protocole MHMTL qui sont d'ores et déjà activement exploitées. Ici encore, une mise à jour dans les plus brefs délais s'impose.

D'autres parts, des mises à jour Microsoft Office, Excel et Powerpoint sont aussi présentes. Bien que classées comme importantes et non comme critiques par l'éditeur, il convient d'appliquer les mises à jour et de rappeler aux utilisateurs d'être vigilant à l'égard des pièces jointes.

Par ailleurs, il semblerait que la mise à jour MS11-025 concernant la bibliothèque Microsoft Foundation Class pose problème avec certains logiciels. Cependant, aucune note officielle de Microsoft ou des éditeurs concernés ne confirme cet état de fait.

Documentation

3 User Shell Folders et problèmes applicatifs

Il existe au sein de la base de registre de Microsoft Windows des clés de registre nommées Shell Folders et User Shell Folders permettant de stocker les chemins d'accès de différents répertoires jouant un rôle particulier pour le système d'exploitation. Ces clés se situent respectivement aux emplacements suivants :

HKEY_CURRENT_USER\software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders

HKEY_CURRENT_USER\software\Microsoft\Windows\CurrentVersion\Explorer\User Shell Folders

Des valeurs enregistrent, par exemple, le chemin d'accès au répertoire « Mes Documents », au bureau ou à l'endroit où sont stockés les fichiers de session. Dans les dernières versions du système d'exploitation de Microsoft, les répertoires des bibliothèques d'images, de musiques ou de vidéos sont également référencés.

Si l'une de ces valeurs pointe sur un lecteur et que ce dernier est inaccessible lors de l'installation ou de la suppression d'une application, Microsoft Windows affiche alors une erreur et stoppe le processus en cours d'exécution. Ce type d'erreur peut donc facilement bloquer le déploiement d'une application ou d'une mise à jour.

Le problème est connu chez Microsoft qui a publié un « Fix it » (cf. la section Documentation). Ce problème est également connu chez Adobe qui a publié un article dans sa base de connaissance (cf. la section Documentation). Le CERTA recommande donc d'utiliser avec précaution le changement de ces valeurs afin d'éviter tout problème lors du déploiement de nouvelles applications ou de mises à jour.

Documentation


4 Rappel des avis émis

Dans la période du 8 au 14 avril 2011, le CERTA a émis les publications suivantes :

  • http://www.certa.ssi.gouv.fr/site/CERTA-2011-ALE-003/index.htmlCERTA-2011-ALE-003 : Vulnérabilité dans Adobe Flash Player, Adobe Reader et Acrobat
  • http://www.certa.ssi.gouv.fr/site/CERTA-2011-AVI-197/index.htmlCERTA-2011-AVI-197 : Vulnérabilité dans IBM Virtual I/O Server
  • http://www.certa.ssi.gouv.fr/site/CERTA-2011-AVI-198/index.htmlCERTA-2011-AVI-198 : Vulnérabilités dans RoundCube
  • http://www.certa.ssi.gouv.fr/site/CERTA-2011-AVI-199/index.htmlCERTA-2011-AVI-199 : Vulnérabilité dans McAfee Firewall Reporter
  • http://www.certa.ssi.gouv.fr/site/CERTA-2011-AVI-200/index.htmlCERTA-2011-AVI-200 : Vulnérabilité dans Novell ZENworks Configuration Management
  • http://www.certa.ssi.gouv.fr/site/CERTA-2011-AVI-201/index.htmlCERTA-2011-AVI-201 : Vulnérabilités dans Internet Explorer
  • http://www.certa.ssi.gouv.fr/site/CERTA-2011-AVI-202/index.htmlCERTA-2011-AVI-202 : Vulnérabilités dans le client SMB de Microsoft
  • http://www.certa.ssi.gouv.fr/site/CERTA-2011-AVI-203/index.htmlCERTA-2011-AVI-203 : Vulnérabilité dans le serveur SMB de Microsoft Windows
  • http://www.certa.ssi.gouv.fr/site/CERTA-2011-AVI-204/index.htmlCERTA-2011-AVI-204 : Multiples vulnérabilités dans Microsoft Excel
  • http://www.certa.ssi.gouv.fr/site/CERTA-2011-AVI-205/index.htmlCERTA-2011-AVI-205 : Vulnérabilités dans Microsoft PowerPoint
  • http://www.certa.ssi.gouv.fr/site/CERTA-2011-AVI-206/index.htmlCERTA-2011-AVI-206 : Vulnérabilités dans Microsoft Office
  • http://www.certa.ssi.gouv.fr/site/CERTA-2011-AVI-207/index.htmlCERTA-2011-AVI-207 : Vulnérabilité dans Fax Cover Page Editor de Microsoft
  • http://www.certa.ssi.gouv.fr/site/CERTA-2011-AVI-208/index.htmlCERTA-2011-AVI-208 : Vulnérabilité dans la bibliothèque MFC
  • http://www.certa.ssi.gouv.fr/site/CERTA-2011-AVI-209/index.htmlCERTA-2011-AVI-209 : Vulnérabilité dans le gestionnaire de protocole MHTML de Microsoft Windows
  • http://www.certa.ssi.gouv.fr/site/CERTA-2011-AVI-210/index.htmlCERTA-2011-AVI-210 : Multiples vulnérabilités dans des contrôles ActiveX de Microsoft Windows
  • http://www.certa.ssi.gouv.fr/site/CERTA-2011-AVI-211/index.htmlCERTA-2011-AVI-211 : Vulnérabilité dans Microsoft NET Framework
  • http://www.certa.ssi.gouv.fr/site/CERTA-2011-AVI-212/index.htmlCERTA-2011-AVI-212 : Vulnérabilité dans Microsoft Windows GDI+
  • http://www.certa.ssi.gouv.fr/site/CERTA-2011-AVI-213/index.htmlCERTA-2011-AVI-213 : Vulnérabilité dans le client DNS de Microsoft Windows
  • http://www.certa.ssi.gouv.fr/site/CERTA-2011-AVI-214/index.htmlCERTA-2011-AVI-214 : Vulnérabilité dans le moteur JScript et VBScript de Microsoft Windows
  • http://www.certa.ssi.gouv.fr/site/CERTA-2011-AVI-215/index.htmlCERTA-2011-AVI-215 : Vulnérabilité dans le pilote Compact Font Format (CFF) OpenType
  • http://www.certa.ssi.gouv.fr/site/CERTA-2011-AVI-216/index.htmlCERTA-2011-AVI-216 : Vulnérabilité dans le convertisseur de texte de WordPad
  • http://www.certa.ssi.gouv.fr/site/CERTA-2011-AVI-217/index.htmlCERTA-2011-AVI-217 : Multiples vulnérabilités dans des pilotes en mode noyau du système Microsoft Windows
  • http://www.certa.ssi.gouv.fr/site/CERTA-2011-AVI-218/index.htmlCERTA-2011-AVI-218 : Vulnérabilité dans VLC
  • http://www.certa.ssi.gouv.fr/site/CERTA-2011-AVI-219/index.htmlCERTA-2011-AVI-219 : Vulnérabilités dans HP Network Node Manager i
  • http://www.certa.ssi.gouv.fr/site/CERTA-2011-AVI-220/index.htmlCERTA-2011-AVI-220 : Vulnérabilités dans OTRS
  • http://www.certa.ssi.gouv.fr/site/CERTA-2011-AVI-221/index.htmlCERTA-2011-AVI-221 : Multiples vulnérabilités dans BlackBerry Enterprise Server
  • http://www.certa.ssi.gouv.fr/site/CERTA-2011-AVI-222/index.htmlCERTA-2011-AVI-222 : Vulnérabilité dans MIT Kerberos
  • http://www.certa.ssi.gouv.fr/site/CERTA-2011-AVI-223/index.htmlCERTA-2011-AVI-223 : Multiples vulnérabilités dans BlackBerry Enterprise Server

Durant la même période, les publications suivantes ont été mises à jour :

  • http://www.certa.ssi.gouv.fr/site/CERTA-2011-AVI-190/index.htmlCERTA-2011-AVI-190-001 : Vulnérabilité dans le client DHCP ISC (ajout des bulletins de sécurité Red Hat et Novell)


Liste des tableaux

Gestion détaillée du document

15 avril 2011
version initiale.


CERTA
2014-01-17
Premier Ministre / Secrétariat Général de la Défense et de la Sécurité Nationale / Agence nationale de la sécurité des systèmes d'information webmestre Dernière mise à jour : le 2014-04-18