S.G.D.S.N
Agence nationale
de la sécurité des
systèmes d'information
Paris, le 13 juillet 2015
N° CERTFR-2015-ACT-028
Affaire suivie par: CERT-FR
le 13 juillet 2015

Bulletin d'actualité du CERT-FR

Objet: Bulletin d’actualité CERTFR-2015-ACT-028

Gestion du document

Référence CERTFR-2015-ACT-028
Titre Bulletin d’actualité CERTFR-2015-ACT-028
Date de la première version 13 juillet 2015
Date de la dernière version 13 juillet 2015
Source(s)
Pièce(s) jointe(s) Aucune(s)
Tableau 1: Gestion du document

Une gestion de version détaillée se trouve à la fin de ce document.

1 – Vulnérabilité CVE-2015-5119 dans Adobe Flash Player

Le mercredi 8 juillet, le CERT-FR a publié l’alerte CERTFR-2015-ALE-005 concernant une vulnérabilité de type « jour zéro » dans Adobe Flash Player. Cette vulnérabilité (CVE-2015-5119), ainsi que des codes d’exploitation prêts à l’emploi, ont été rendus publics suite à l’exfiltration de données qui a touchée l’entreprise italienne « Hacking Team ». Plusieurs éditeurs ont identifiés une exploitation active dans la nature avant la diffusion du correctif de sécurité. Adobe classe cette vulnérabilité comme « critique » et conseille de mettre à jour Flash Player vers sa dernière version (18.0.0.203).

Détails de la vulnérabilité

Cette vulnérabilité affecte les versions de Flash Player de 9 à 18.0.0.194 incluse. Elle touche les greffons présents dans Internet Explorer, Chrome, Firefox et Safari. La vulnérabilité exploite une « utilisation après libération » dans un objet Flash de type ByteArray. Lorsqu’un objet est assigné à l’intérieur d’un objet de type ByteArray, la méthode ValueOf de cet objet est appelée. Dans le cadre de l’exploitation de cette vulnérabilité, cette méthode est réécrite afin de libérer l’objet ByteArray parent et d’allouer des objets de type Vectors qui viendront prendre la place de l’objet ByteArray en mémoire. Le retour de la fonction ValueOf est écrit dans l’un de ces objets Vectors et permet d’étendre sa taille : une primitive de lecture/écriture arbitraire en mémoire est ainsi créée.

Résumé des vulnérabilités corrigées

Le correctif proposé par Adobe corrige 35 autres vulnérabilités dans le lecteur Flash, parmi celles-ci:

  • 12 concernent des vulnérabilités de type « utilisation après libération » qui permettent d’exécuter du code arbitraire à distance (CVE-2015-3118, CVE-2015-3124, CVE-2015-5117, CVE-2015-3127, CVE-2015-3128, CVE-2015-3129, CVE-2015-3131, CVE-2015-3132, CVE-2015-3136, CVE-2015-3137, CVE-2015-4428, CVE-2015-4430, CVE-2015-5119);
  • 6 sont dues à des corruptions mémoires qui peuvent entrainer l’exécution de code arbitraire à distance (CVE-2015-3117, CVE-2015-3123, CVE-2015-3130, CVE-2015-3133, CVE-2015-3134, CVE-2015-4431);
  • 5 peuvent être utilisées pour contourner la « politique d’origine commune » et ainsi mener à une atteinte à la confidentialité des données (CVE-2014-0578, CVE-2015-3115, CVE-2015-3116, CVE-2015-3125, CVE-2015-5116);
  • 5 concernent des problèmes de confusion de type au sein de l’interpréteur Flash (CVE-2015-3119, CVE-2015-3120, CVE-2015-3121, CVE-2015-3122, CVE-2015-4433);
  • 3 concernent des problèmes de dépassement de tampon dans le tas (CVE-2015-3135, CVE-2015-4432, CVE-2015-5118);
  • 2 sont liées à des déréférencements de pointeur nul (CVE-2015-3126, CVE-2015-4429);
  • 2 concernent des techniques permettant d’outrepasser des protections de sécurité (CVE-2015-3114, CVE-2015-3097).

Recommandations

Le CERT-FR recommande de désactiver l’exécution automatique de code Flash au sein des navigateurs jusqu’à installation du correctif. Le CERT-FR conseille également d’installer des outils permettant de durcir les systèmes et de rendre l’exploitation de vulnérabilités plus difficile. En particulier, sous Windows, l’outil EMET proposé par Microsoft, permet de bloquer l’exploitation de la vulnérabilité identifiée par CVE-2015-5119. Enfin, le CERT-FR préconise d’activer les mises à jour automatiques pour l’ensemble des logiciels.

Documentation

  • Bulletin de sécurité Adobe APSB15-16

    https://helpx.adobe.com/security/products/flash-player/apsb15-16.html

  • Bulletin de sécurité Adobe APSA15-03

    https://helpx.adobe.com/security/products/flash-player/apsa15-03.html

  • Bulletin d’alerte du CERT-FR CERTFR-2015-ALE-005

    http://cert.ssi.gouv.fr/site/CERTFR-2015-ALE-005/index.html

  • Avis de sécurité du CERT-FR CERTFR-2015-AVI-284

    http://cert.ssi.gouv.fr/site/CERTFR-2015-AVI-284/index.html

  • Microsoft EMET

    http://www.microsoft.com/emet

2 – Activer l’exécution à la demande des modules complémentaires d’un navigateur

Suite à la publication récente d’une correction de vulnérabilité affectant Adobe Flash (cf. avis CERTFR-2015-AVI-284), le CERT-FR rappelle que la plupart des navigateurs permettent l’activation à la demande de certains modules complémentaires.

L’utilisation de ces options est fortement recommandée.

En demandant l’accord de l’utilisateur avant exécution, cette option permet d’éviter le chargement automatique d’un plugin potentiellement malveillant ou non désiré. Ainsi, cette configuration a pour effet de bloquer le lancement automatique d’une charge malveillante qui tenterait d’exploiter un module complémentaire vulnérable.

Configuration sous Microsoft Internet Explorer

Pour Internet Explorer, les options de configuration se trouvent dans le menu « Outils », « gérer les modules complémentaires ». Ensuite sélectionner « Barres d’outils et extensions » puis double cliquer sur l’extension choisie (« Flash » par exemple). Dans la fenêtre qui s’affiche, cliquer sur le bouton « supprimer tous les sites ».

Configuration sous Mozilla Firefox

Concernant Mozilla Firefox, aller dans le menu « Outils », « modules complémentaires », « Plugins ». Pour l’extension choisie, sélectionner ensuite l’option « demander pour activer ».

Configuration sous Google Chrome

L’option de configuration pour Google Chrome se situe dans le menu « paramètres », « afficher les paramètres avancés », « paramètres de contenu ». L’option à cocher est « me laisser choisir quand exécuter le contenu du plug-in » dans la section «Plug-ins ».

Documentation

Rappel des avis émis

Dans la période du 06 au 12 juillet 2015, le CERT-FR a émis les publications suivantes :


Durant la même période, les publications suivantes ont été mises à jour :

Gestion détaillée du document

    le 13 juillet 2015
    version initiale.