1 Bulletins de sécurité Microsoft du mois de février
Le CERTA a publié le 14 février des avis de sécurité à la suite de la publication par Microsoft de ses bulletins de sécurité mensuels décrivant 7 vulnérabilités dans plusieurs produits. Les correctifs associés à ces bulletins concernent en particulier des vulnérabilités critiques présentes dans le navigateur Internet Explorer, le lecteur Windows Media. Le CERTA rappelle à cette occasion la nécessité d’application des correctifs de sécurité car il existe d’ores et déjà du code malveillant exploitant au moins une des failles décrites dans ces publications.2 Vulnérabilté liées aux contrôles ActiveX
Le CERTA renouvelle sa recommandation de désactiver les contrôles ActiveX dans Internet Explorer. Dans ce contexte, une vulnérabilité critique dans le Remote Data Service (RDS) a été identifiée. Cette vulnérabilité permet de contourner la politique de sécurité établie dans Internet Explorer (paramètres des zones de sécurité) et pourrait conduire à l’exécution de code ou à la diffusion d’information. Comme cela a déjà été souligné à l’occasion des différents exercices SSI et d’une manière générale devant la récurrence des failles liées aux controles ActiveX (3 alertes du CERTA en 2005 : CERTA-2005-ALE-001, CERTA-2005-ALE-005, CERTA-2005-ALE-013), il est utile de prévoir l’utilisation d’un autre navigateur comme par exemple Firefox ou Opera.
Recommandations :
Pour se protéger de cette vulnérabilité, le CERTA suggère d’appliquer les directives de l’éditeur :http://support.microsoft.com/kb/240797
Rappel des avis émis
Dans la période du 30 janvier au 05 février 2006, le CERT-FR a émis les publications suivantes :
- CERTA-2006-AVI-054 : Multiples vulnérabilités dans BEA Weblogic
- CERTA-2006-AVI-055-001 : Multiples vulnérabilités dans les produits Mozilla
Durant la même période, les publications suivantes ont été mises à jour :
- CERTA-2005-AVI-483-009 : Multiples vulnérabilités dans Xpdf et les bibliothèques dérivées
- CERTA-2006-AVI-098 : Vulnérabilité sur BOMArchiver sous MAC
