S.G.D.S.N
Agence nationale
de la sécurité des
systèmes d'information
Paris, le 18 décembre 2009
N° CERTA-2009-ACT-051
Affaire suivie par: CERT-FR
le 18 décembre 2009

Bulletin d'actualité du CERT-FR

Objet: Bulletin d’actualité 2009-51

Gestion du document

Référence CERTA-2009-ACT-051
Titre Bulletin d’actualité 2009-51
Date de la première version 18 décembre 2009
Date de la dernière version 18 décembre 2009
Source(s)
Pièce(s) jointe(s) Aucune(s)
Tableau 1: Gestion du document

Une gestion de version détaillée se trouve à la fin de ce document.

1 Vulnérabilité dans Adobe Reader et Adobe Acrobat

L’éditeur Adobe a publié le 15 décembre 2009 un bulletin de sécurité portant sur l’existance d’une vulnérabilité dans les produits Adobe Reader et Adobe Acrobat. Cette vulnérabilité a fait l’objet d’un bulletin d’alerte du CERTA (cf. CERTA-2009-ALE-023) dans lequel le risque associé à son exploitation est l’exécution de code arbitraire. En effet, cette vulnérabilité peut être exploitée lors de l’ouverture d’un fichier au format PDF spécialement construit. Le savoir-faire destiné à exploiter cette vulnérabilité est d’ores et déjà disponible sur l’Internet. De plus, des codes exploitant cette vulnérabilité ont également été découverts.

L’éditeur Adobe a annoncé qu’un correctif de sécurité serait normalement publié le 12 janvier 2010. En l’attente de celui-ci, il est recommandé d’appliquer les contournements provisoires afin de limiter les risques d’exploitation de cette vulnérabilité. L’utilisation de logiciels alternatifs reste un contournement provisoire de même que la désactivation de l’interprétation du Javascript. Ce dernier point reste globalement une bonne pratique. L’activation du DEP (Data Execution Prevention) sous Windows peut également s’appliquer.

2 Vulnérabilités dans Cisco WebEx WRF Player

Cette semaine, le CERTA a publié un avis (CERTA-2009-AVI-550) à propos de multiples vulnérabilités affectant Cisco WebEx WRF Player. Cette application est utilisée pour lire les fichiers au format WRF. Une particularité de ce lecteur réside dans son installation :

  • soit un utilisateur va télécharger « manuellement » ce programme sur le site http://www.webex.com ;
  • soit le lecteur est installé automatiquement lors de la première connexion à un serveur WebEx pour lire un fichier WRF.

En cas d’installation manuelle, la mise à jour du logiciel doit également être effectuée manuellement. Par contre, si l’installation du programme a été faite automatiquement, alors la mise à jour du lecteur est effectuée automatiquement lors d’une connexion sur un serveur WebEx, à condition que ce serveur possède une version du client à jour.

Le principe de téléchargement automatique du lecteur est très pratique pour l’utilisateur. Le mécanisme de mise à jour qui en découle semble efficace. Pour autant, ce système présente les risques suivants :

  • si un utilisateur va consulter un fichier au format WRF malveillant hébergé sur un serveur qui ne contient pas la version du lecteur à jour, alors une des vulnérabilités pourra être exploitée ;
  • si un utilisateur va se connecter à un serveur WebEx maîtrisé par des personnes malintentionnées, alors il téléchargera automatiquement une version vulnérable du lecteur avant de consulter le fichier malveillant.

Il est difficile d’émettre des recommandations pour se protéger de ces vulnérabilités. L’installation manuelle du lecteur semble préférable dans la mesure où le mécanisme de mise à jour est davantage maîtrisé. Néanmoins, le problème reste entier pour ceux qui n’ont jamais installé ce logiciel. Le plus sûr peut être de télécharger le lecteur sur le site officiel si l’on a l’intention d’aller consulter un fichier au format WRF.

3 Compte utilisateur sous Windows et mises à jour

Il est généralement admis qu’une bonne pratique de sécurité est d’utiliser un compte avec des droits limités pour naviguer sur l’Internet ou encore faire de la bureautique. Ainsi, l’impact d’un incident de sécurité sera moindre, certains codes malveillants héritant des privilèges de l’utilisateur. Néanmoins, cette pratique pose un problème lorsqu’il faut appliquer des mises à jour. En effet, l’installation des correctifs de sécurité de certains logiciels tiers nécessite généralement de basculer sur un compte administrateur.

La recherche des mises à jour est une opération qui tend à s’automatiser, mais cette automatisation n’est pas toujours adaptée aux comptes ayant des droits limités. Si certains logiciels font apparaître un message pour signaler clairement l’existence d’une nouvelle version, ce n’est pas le cas pour toutes les applications. Par exemple, Mozilla Firefox, sous certaines versions de Windows, n’informe pas les utilisateurs de la possibilité d’installer une mise à jour (l’option de recherche de mises à jour est même « grisée » lorsque l’on utilise le navigateur avec un compte utilisateur). D’autres programmes posent des problèmes encore plus subtils. Par exemple, la mise à jour manuelle d’Adobe Flash Player provoque le téléchargement d’un greffon (plug-in) pour le navigateur. C’est ce greffon qui est chargé ensuite de récupérer les mises à jour. Lorsque l’opération est effectuée depuis un compte utilisateur, en apparence, les mises à jour sont recherchées mais dans les faits, rien ne se passe.

L’utilisation des comptes utilisateur rend ardue la tâche d’installation des correctifs de sécurité pour les applications. Il est nécessaire de régulièrement basculer sur le compte administrateur et de penser à tout mettre à jour, ce qui requiert une bonne connaissance de son propre système.

Rappel des avis émis

Dans la période du 07 au 13 décembre 2009, le CERT-FR a émis les publications suivantes :


Durant la même période, les publications suivantes ont été mises à jour :

Gestion détaillée du document

    le 18 décembre 2009
    version initiale.