S.G.D.S.N
Agence nationale
de la sécurité des
systèmes d'information
Paris, le 20 juin 2008
N° CERTA-2008-ACT-025
Affaire suivie par: CERT-FR
le 20 juin 2008

Bulletin d'actualité du CERT-FR

Objet: Bulletin d’actualité 2008-25

Gestion du document

Référence CERTA-2008-ACT-025
Titre Bulletin d’actualité 2008-25
Date de la première version 20 juin 2008
Date de la dernière version 20 juin 2008
Source(s)
Pièce(s) jointe(s) Aucune(s)
Tableau 1: Gestion du document

Une gestion de version détaillée se trouve à la fin de ce document.

1 Firefox 3.0

La nouvelle version du navigateur Firefox est sortie depuis quelques jours.

1.1 Quoi de neuf ?

Trois axes classiques d’évolution sont remarquables, l’ergonomie, les performances et la sécurité.

1.1.1 Fonctionnalité et ergonomie

Comme toute nouvelle mouture d’un logiciel, celle-ci amène son lot de nouvelles fonctionnalités qui simplifient son utilisation et améliorent le rendu graphique. Elles ne doivent cependant pas être utilisées au détriment de la sécurité. Par exemple, il y a une fonctionnalité déjà présente, très «pratique», et qu’il faut pourtant éviter d’utiliser : la sauvegarde des mots de passe.

Parmis les nouvelles fonctionnalités, on trouve :

  • la possibilité de reprendre un téléchargement interrompu ;
  • la possibilité de zoomer, plus uniquement en grossissant le texte, mais toute la page ;
  • la possibilité d’utiliser des lecteurs multimédia externes pour lire les podcast (Attention, dans ce cas les vulnérabilités des logiciels tiers sont exploitables au travers du navigateur) ;
  • la barre d’adresse «intelligente» permet de saisir une URL ou un titre de page, et elle présente toutes les pages déjà connues. (Cela nécessite que l’historique de navigation soit conservé, ce qui peut être contraire à la politique de sécurité).

1.1.2 Performances

Un des axes de développement annoncé était l’optimisation de l’utilisation de la mémoire vive et l’amélioration des performances. Mozilla annonce une vitesse d’utilisation deux fois plus rapide avec gmail par exemple. A l’usage, la différence n’est pas flagrante, le temps de réponse étant surtout conditionné par le débit de la connexion, la charge l’utilisation globale de la machine ainsi que celle du serveur.

1.1.3 Sécurité

Plusieurs fonctionnalités d’assistance à l’utilisateur pour lutter contre les fraudes en ligne et la propagation de codes malveillants ont été ajoutées. Encore une fois, il faudra vérifier que ces nouvelles possibilités n’entrainent pas de nouvelles fragilités.
  • auparavant il y avait le «cadenas» qui indiquait si un site était chiffré. Maintenant l’icône à côté de l’adresse (la favicon) change de couleur en fonction des informations disponibles sur le site, et permet d’accéder simplement, en cas de chiffrement, aux détails du certificat utilisé ;
  • la détection de site de phishing a changé de signalisation, il ne s’agit plus d’un pop-up mais d’une page complète ;
  • la même technique de black list est appliquée aux pages connues comme contenant du code malveillant ;
  • la collaboration avec les antivirus et le contrôle parental de Windows VISTA a été amélioré.

1.2 Ce qui ne change pas

Firefox est une application et doit donc être utilisé avec les précautions d’usage. A savoir :
  • ne pas déployer directement une nouvelle version sans en tester les impacts ;
  • attendre «un peu» peut permettre à la communauté d’utilisateurs de relever des problèmes potentiels ;
  • comme toute application, elle peut contenir des vulnérabilités et doit être maintenue à jour.

Une vulnérabilité aurait d’ailleurs été déjà signalée. Elle serait considérée comme critique, mais aucune information n’est pour l’instant disponible et elle affecterait aussi les versions précédentes de Firefox.

1.3 Documentation

2 Actualités Microsoft

2.1 Problèmes concernant le déploiement de mises à jour

Le 13 juin 2008, Microsoft a annoncé sur le bloc-notes du MSRC (Microsoft Security Response Center) un problème concernant le déploiement des mises à jour sorties le 10 juin 2008. Un avis de sécurité (KB954474) a également été publié. Le problème concerne l’impossibilité de déploiement de ces mises à jour sur des clients System Management Server 2003 en utilisant des serveurs System Center Configuration Manager 2007. Une mise à jour a été publiée par Microsoft le 17 juin 2008.

2.2 Mise à jour de MS08-030

Le 19 juin 2008, Microsoft a annoncé la mise à jour du correctif MS08-030. Pour rappel, ce bulletin concerne une vulnérabilité dans la mise en œuvre de la pile Bluetooth par Windows permettant l’exécution de code arbitraire à distance par une personne malintentionnée. Selon Microsoft, le correctif publié pour les systèmes Windows XP SP2 et Windows XP SP3 ne corrigeait pas le problème dans son intégralité. De nouvelles mises à jour ont donc été publiées. Les systèmes Windows XP en 64 bits ne sont pas concernés.

2.3 Documentation

3 Utilisation détournée des formulaires HTTP

Les formulaires sont la méthode la plus courante dont dispose un utilisateur et son navigateur pour envoyer des informations à un serveur HTTP. Or, dans la norme définissant le protocole HTTP, il n’est pas obligatoire que les données renvoyées suite à l’utilisation d’un formulaire aient pour destination le même serveur qui proposait le-dit formulaire.

Mieux encore, il n’est pas obligatoire que le serveur qui reçoit les données soit un serveur HTTP. On peut très bien les envoyer vers un port quelconque en écoute sur un serveur quelconque.

Si ces données de réponse à un formulaire sont envoyées vers un autre serveur que celui d’origine avec des réponses judicieusement construites, il est possible de réaliser sur ce serveur cible des attaques de type injection de code indirecte (cross-site scripting). Il conviendra, bien entendu, que l’attaquant maîtrise le serveur d’origine et qu’il incite un utilisateur à le visiter comme dans un cas de cross-site scripting classique.

La bonne nouvelle est que la plupart des serveurs récents ne se laissent pas abuser et demandent à ce que la réponse de formulaire soit précédée d’une requête sur la page contenant le formulaire concerné.

Cependant, dans la mesure où un port alternatif (autre que 80/tcp) peut être utilisé, il est possible avec cette méthode d’envoyer des informations vers un serveur comme un serveur SMTP ou POP qui ne fait pas ce genre de vérification. Il conviendra, là encore, pour l’attaquant de prévoir un formulaire capable de produire une réponse compréhensible par un autre serveur dans un autre protocole.

4 Sortie de la version 2.4.1 d’OpenOffice.org en français

Une vulnérabilité critique affectant les versions 2.0 à 2.4 d’OpenOffice.org a récemment été rendue publique. Cette faille a fait l’objet de l’avis CERTA-2008-AVI-300 le 10 juin 2008 et a été corrigée dans la version 2.4.1. Cependant, cette version n’a pas immédiatement été publiée dans toutes les langues, en particulier en français. C’est désormais chose faite, la version française d’OpenOffice.org 2.4.1 est disponible en téléchargement.

Documentation :

5 Wine en version 1.0

Après une quinzaine d’années de développement, Wine la célèbre réimplémentation de l’API Windows fonctionnant sous les systèmes Unix est sorti dans sa version 1.0. Cette application permet de faire fonctionner des applications à l’origine dédié au système d’exploitation de Microsoft sous un environnement Linux, BSD, Mac OS X ou Solaris pour leurs versions x86.

Cette première version stable de ce logiciel est disponible depuis le 17 juin 2008. Toutes les applications Windows ne fonctionnent pas encore parfaitement.

Le CERTA profite de cette annonce pour rappeler qu’il est important de maintenir à jour l’ensemble des applicatifs. Même si cette nouvelle version ne fait pas état de correctif de sécurité, elle corrige un certain nombre d’erreurs qui provoquaient des dysfonctionnements de l’application.

De plus, le fait de croiser différentes plates-formes permet de rendre inopérant certains codes malveillants et certaines attaques. Enfin l’hétérogénéité d’un système d’information permet, lors de l’apparition de codes malveillants particulièrement virulents ou de vulnérabilités critiques de limiter l’impact de ces derniers. Néanmoins, le CERTA tient à insister sur le fait que Wine n’est pas un émulateur (Wine Is Not an Emulator) ni une machine virtuelle, mais un réimplémentation de l’API Win32. Par conséquent, les appels systèmes sont bel et bien transmis au système lors de l’exécution d’un code.

Rappel des avis émis

Dans la période du 09 au 15 juin 2008, le CERT-FR a émis les publications suivantes :


Gestion détaillée du document

    le 20 juin 2008
    version initiale.