1 Surveillance réseau conseillée par le CERTA
A la suite de l’analyse de différents journaux (logs), le CERTA a constaté une activité qui pourrait sembler suspecte sur les ports 139/TCP et 445/TCP. Ces ports devraient être, dans la majorité des cas, bloqués par les équipements de filtrage pour les connexions extérieures depuis et à destination du réseau.
Le CERTA conseille de vérifier la politique de filtrage mise en place. Le CERTA demande à ces correspondants de lui signaler toute activité anormale sur ces ports.
2 Bulletin de mise à jour pour les produits Mozilla
Un ensemble de mises à jour vient d’être rendu public par Mozilla. Celles-ci corrigent un ensemble de vulnérabilités, touchant aussi bien Firefox que Thunderbird et SeaMonkey. Ces dernières permettent à un utilisateur malveillant de provoquer un déni de service, de réaliser une attaque de type injection de code indirecte (aussi appelé cross-Site Scripting) ou d’exécuter du code arbitraire à distance. Plusieurs de ces vulnérabilités sont issues du module Javascript commun aux produits Mozilla (cf. paragraphe suivant). Par défaut, Javascript n’est pas activé avec Thunderbird. Dans la majorité des cas, il n’est pas nécessaire d’activer Javascript dans l’outil de messagerie, ou alors de manière ponctuelle. Le CERTA recommande de bien vérifier que celui-ci est désactivé, en allant regarder dans :
Edition -> Préférences -> Avancés.
3 Les vulnérabilités du navigateur au goût du jour
Le CERTA mentionnait dans le bulletin d’actualité CERTA-2006-ACT-027 l’existence d’un n bloc-notes (ou blog), dans lequel il serait publié une vulnérabilité de navigateur Internet par jour du mois de juillet. S’appuyant pour cela sur quatre outils de test, le site publie certains résultats vérifiant des défauts dans l’intégrité des navigateurs et leurs façons de manipuler par exemple du DHTML (pour Dynamic HTML, utilisé afin d’écrire des pages plus interactives) ou du CSS, qui définit le style (couleurs, formats, positionnements) des pages web. Pour chaque nouvelle vulnérabilité, il fournit une preuve attestant de sa validité sous la forme d’un exemple.
A ce jour, le site a publié dans ce cadre 28 vulnérabilités dont :
- vingt-trois concernent Microsoft Internet Explorer ;
- deux concernent Mozilla Firefox ;
- une concerne Apple Safari ;
- une concerne Opera ;
- une concerne Konqueror
Elles provoquent la fermeture inopinée du navigateur, et dans certaines conditions, le redémarrage de la machine.
On constate que la majorité des démonstrations de faisabilité s’appuient sur du code (Javascript, ActiveX, …). A titre préventif, il est donc vivement recommandé, en attendant que des solutions fiables soient publiées pour se prémunir contre les effets de ces vulnérabilités, de prendre les précautions suivantes :
- désactiver les options Java et Javascript du navigateur ;
- naviguer sur des sites de confiance.
La vulnérabilité concernant Opera est en revanche difficilement contournable. Elle s’applique à une page HTML contenant un style CSS malformé. Seul Mozilla Firefox a corrigé les vulnérabilités annoncées pour le moment.
Rappel des avis émis
Dans la période du 17 au 23 juillet 2006, le CERT-FR a émis les publications suivantes :
- CERTA-2006-AVI-295 : Vulnérabilité de la fonction prctl du noyau Linux
- CERTA-2006-AVI-296 : Vulnérabilité sur McAfee ePolicy Orchestrator
- CERTA-2006-AVI-297 : Vulnérabilité sur les routeurs D-Link
- CERTA-2006-AVI-298-001 : Vulnérabilité du noyau Linux
- CERTA-2006-AVI-299-002 : Vulnérabilité dans libVNCServer
- CERTA-2006-AVI-300-001 : Vulnérabilité dans Gnu GCC
- CERTA-2006-AVI-301-002 : Multiples vulnérabilités dans Ethereal/Wireshark
- CERTA-2006-AVI-302 : Vulnérabilité du Sun Solaris
- CERTA-2006-AVI-303 : Multiples vulnérabilités sur Oracle
- CERTA-2006-AVI-304-001 : Vulnérabilité sur zope
- CERTA-2006-AVI-305 : Multiples vulnérabilités dans Cisco CS-MARS
- CERTA-2006-AVI-306 : Vulnérabilité dans Citrix MetaFrame
Durant la même période, les publications suivantes ont été mises à jour :
- CERTA-2006-AVI-275-001 : Vulnérabilité dans phpMyAdmin
