1 Bulletins de sécurité Microsoft
1.1 Vulnérabilité VML de la librairie VGX.DLL
Microsoft a publié de manière exceptionnelle un correctif décrit dans le bulletin MS06-055, mardi 26 septembre 2006. L’application de ce dernier corrige une vulnérabilité affectant la bibliothèque vgx.dll (CVE-2006-4868). Cette bibliothèque est utilisée pour prendre en compte le format VML (pour Vector Markup Language).
Un vecteur d’attaque consiste à construire et à publier des pages HTML qui exploitent la faille par l’intermédiaire d’Internet Explorer. Cependant, toute application faisant appel à cette bibliothèque peut être considérée comme vulnérable (messagerie électronique Outlook, visionneuse d’images, etc.).
Plusieurs codes malveillants circulent déjà dans l’Internet, les noms attribués variant selon les marques des produits de sécurité :
- HTML/Levem.C (Microsoft)
- Trojan.Vimalov (Symantec)
- Exploit.HTML.VML.a (F-Secure, Kaspersky)
- Exploit-VMLFill (McAfee)
- Troj/Dloadr-ANO, Troj/Goldun (Sophos)
- JS/Veemyfull!exploit (CA)
Le CERTA recommande vivement d’appliquer le correctif associé au bulletin MS06-055, et a publié l’avis CERTA-2006-AVI-410 le 27 septembre 2006 à ce sujet.
1.2 Mise à jour du bulletin MS06-049
Microsoft a mis à jour le 26 septembre 2006 le correctif correspondant au bulletin de sécurité MS06-049. Le bulletin initial corrigeait une vulnérabilité dans le noyau Windows. Celle-ci permettrait à un utilisateur local au système vulnérable d’élever ses privilèges et d’en prendre le contrôle.
L’application du correctif initial peut entraîner certaines erreurs pour les systèmes utilisant de la compression de fichiers NTFS. Les fichiers compressés dont la taille excède 4ko peuvent être corrompus au cours de leur manipulation. Il est donc recommandé aux utilisateurs de Windows 2000 SP4 employant la compression de fichiers NTFS d’appliquer la mise à jour du correctif.
2 Vulnérabilité non corrigée dans Microsoft Office Powerpoint
Une vulnérabilité concernant Microsoft Office a été publiée, ainsi qu’un code pour l’exploiter. Elle impliquerait les différentes versions de l’application Powerpoint.
Un utilisateur malveillant peut construire un document au format Powerpoint de façon particulière. Ce dernier permettrait d’exécuter du code arbitraire dans tout système vulnérable sur lequel le document serait ouvert.
Il est fortement recommandé de n’accepter que les documents provenant de sources de confiance.
Un contournement consiste aussi à convertir ses propres documents Powerpoint en .pdf (pour Portable Document Format et de n’accepter que les transparents sous ce même format. Ceux-ci peuvent être lu par plusieurs lecteurs et visualiser en mode diaporama.
- Avis de sécurité Microsoft 925984 du 27 septembre 2006 :
http://www.microsoft.com/technet/security/advisory/925984.mspx
- Référence CVE associée CVE-2006-4694 :
https://www.cve.org/CVERecord?id=CVE-2006-4694
- Alerte du CERTA CERTA-2006-ALE-011 :
http://www.certa.ssi.gouv.fr/site/CERTA-2006-ALE-011/
3 OpenSSH
Le CERTA a publié l’avis de sécurité CERTA-2006-AVI-411 au sujet d’une vulnérabilité dans OpenSSH concernant la possibilité de réaliser un déni de service via un paquet SSH spécialement construit. Il convient de noter que cette vulnérabilité ne concerne que la version 1 du protocole SSH. Cette version de protocole était déjà considérée comme non sûre. Il est important de vérifier que vos serveurs SSH ne concervent pas le support de cette version. Ils devront être impérativement configurer pour ne supporter que la version 2 du prototole. Pour s’en assurer, il suffit de vérifier que la directive Protocol est fixée uniquement à 2 dans le fichier sshd_config.
Documentation :
- Alerte CERTA-2006-ALE-011 :
http://www.certa.ssi.gouv.fr/site/CERTA-2006-ALE-011
- Bulletin de sécurité 925568 de Microsoft du 21 septembre 2006 :
http://www.microsoft.com/technet/security/advisory/925568.mspx
- Bulletin de sécurité VU#416092 de l’US-CERT du 21 septembre 2006 :
http://www.kb.cert.org/vuls/id/416092
Rappel des avis émis
Dans la période du 18 au 24 septembre 2006, le CERT-FR a émis les publications suivantes :
- CERTA-2006-AVI-399 : Vulnérabilités dans Claroline
- CERTA-2006-AVI-401 : Vulnérabilité dans Dokeos
- CERTA-2006-AVI-402 : Vulnérabilités dans Drupal
- CERTA-2006-AVI-403 : Vulnérabilité CISCO IOS
- CERTA-2006-AVI-404 : Vulnérabilité CISCO
- CERTA-2006-AVI-405 : Vulnérabilités dans CISCO IDS et CISCO IPS
- CERTA-2006-AVI-406 : Vulnérabilités d’Apple AirPort
- CERTA-2006-AVI-407 : Vulnérabilités dans HP-UX
- CERTA-2006-AVI-408 : Vulnérabilités dans HP-UX
- CERTA-2006-AVI-409 : Vulnérabilités dans CA
