Actualité

Les dernières actualités du monde de la sécurité Internet !


Microsoft publie un patch cumulatif pour IE 5.5 et 6.0 (30/12/2001)

Microsoft a publié à la mi-décembre un patch corrigeant toutes les vulnérabilités des versions 5.5 (post SP2) et 6.0 de son navigateur Internet qui ont été publiées depuis la diffusion de ce logiciel. A installer sans tarder!

http://www.microsoft.com/technet/treeview/default.asp?url=/technet/security/bulletin/MS01-058.asp


Des failles d'IE permettant le spoofing d'un site web (25/05/2001)

Microsoft a publié un patch corrigeant les bugs déjà solutionnés par le patch décrit dans le bulletin MS01-20 (cf. plus bas) ainsi que deux vulnérabilités pouvant faire croire à un surfeur qu'il consulte un site de confiance alors que cela n'est pas le cas. La première affecte la façon dont sont vérifiés les certificats. Si la consultation d'une CRL est activée, IE ne vérifie plus la date d'expiration, la concordance entre l'adresse du site et le nom indiqué dans le certificat ainsi que la validité de la CA ayant émis ce certificat. La seconde permet à un pirate de faire s'afficher dans le navigateur une page différente de celle dont l'URL apparaît dans la barre d'adresse.

http://www.microsoft.com/technet/security/bulletin/MS01-027.asp


Un bug dans Netscape SmartDownload 1.3 (15/04/2001)

Une fois n'est pas coutume, c'est au tour de Netscape d'être victime d'une faille dans le logiciel SmartDownload, installable avec Communicator. Si cette faille (de type débordement de buffer) est exploitée, elle permet d'exécuter du code à distance en utilisant une URL particulière.
Il est recommandé d'installer SmartDownload version 1.4, ne comportant pas cette vulnérabilité.

http://www.atstake.com/research/advisories/2001/a041301-1.txt


Exécution automatique d'attachements à cause d'IE ! (01/04/2001)

Encore une faille dans IE 5.01 et 5.5. En envoyant un E-Mail ayant en attachement un fichier dont le type MIME a été modifié par l'expéditeur, il est possible d'exécuter automatiquement le contenu de cet attachement, sur le système du destinataire.
Un patch a été publié par Microsoft.

http://www.microsoft.com/technet/security/bulletin/MS01-020.asp


Deux vrais-faux certificats Microsoft publiés par VeriSign (29/03/2001)

VeriSign a annoncé avoir généré par erreur deux certificats pour le compte d'une personne s'étant fait passée pour un employé de Microsoft. Ces certificats, datés des 29 et 30 janvier derniers, peuvent être utilisés afin de signer des contrôles ActiveX, des macros ou toute forme d'exécutable, en donnant l'impression à l'utilisateur qu'ils ont été développés par Microsoft. Ceci est particulièrement grave car rappelons qu'une fois qu'un contrôle ActiveX a été autorisé par l'utilisateur à s'exécuter sur sa machine, il a un accès total à toutes les ressources de cette machine.
Les personnes ayant accepté automatiquement les certificats Microsoft verront malgré tout une fenêtre de confirmation s'afficher, lors de l'exécution d'un tel composant, car les certificats considérés comme étant de confiance sur un système Windows sont identifiés par leur numéro de série plutôt que par le nom du titulaire ("Microsoft Corporation" en l'occurrence).
Verisign a intégré ces certificats à sa CRL (Certificate Revocation List), tandis que l'éditeur américain a publié un patch bloquant l'exécution des composants signés avec l'un des certificats litigieux et mettant à jour la CRL sur le système.

http://www.microsoft.com/technet/security/bulletin/MS01-017.asp


IE peut divulguer la localisation des éléments de son cache ! (10/03/2001)

Dans un bulletin daté du 6 mars, Microsoft révèle la présence d'une nouvelle faille au sein de son navigateur, Internet Explorer. En exploitant cette faille, un pirate pourrait exécuter les commandes de son choix en envoyant un message HTML ou lors de la consultation d'une page pigée sur un site web. Il est en effet possible de déterminer le nom que prend un document une fois stocké dans le cache. Ensuite, le pirate peut faire ouvrir un document dans la Local Computer Zone (donc sans aucune restriction de sécurité), stocké dans ce cache, lui permettant ainsi de lancer des commandes locales.
Un patch, qui corrige également d'autres vulnérabilités (une variante du problème "Frame Domain Verification", une autre affectant Windows Scripting Host, etc.) a été publié. Ce patch s'applique à IE 5.01 et 5.5 ainsi qu'à WSH 5.1 et 5.5 (distribué avec IE).

http://www.microsoft.com/technet/security/default.asp


Outlook (Express) digère mal les vcards ! (22/02/2001)

Une faille a été détectée dans Outlook (8, 2000) et Outlook Express (5.01/5.5). En envoyant une vcard (carte de visite virtuelle), un individu malveillant aurait la possibilité de lancer les commandes de son choix sur la machine de la victime. Un patch est disponible.

http://www.microsoft.com/technet/security/bulletin/MS01-012.asp


RSA cracké ? (18/02/2001)

Un philippin du nom de Leo de Velez aurait découvert un moyen de cracker le RSA, c'est-à-dire décrypter un message chiffré à l'aide de l'algorithme, mais sans connaître la clé. Contacté, Ron Rivest (un des pères de RSA) a estimé que l'attaque en question ne pourrait pas fonctionner en pratique (il serait plus rapide de tenter de factoriser la clé publique).

http://www.seedmuse.com/rsa_edit.htm


Le virus Kournikova (18/02/2001)

Un vers spammeur (nommé Kalamar ou OnTheFly), se véhiculant via la messagerie électronique, a de nouveau frappé cette semaine. Il s'agit d'un script VBS portant le nom AnnaKournikova.jpg.vbs qui, une fois exécuté, se diffuse aux adresses contenues dans le carnet Outlook.

http://www.cert.org/advisories/CA-2001-03.html


Le CERT publie un document sur la sécurité des ActiveX (25/12/2000)

Le CERT (Computer Emergency Response Team) a publié en fin d'année un document faisant le point sur la sécurité des contrôles ActiveX. Il présente dans une première partie le fonctionnement de la technologie ActiveX en insistant sur les aspects liés à la sécurité. Dans une seconde partie, on trouve un ensemble de suggestions relatives à l'utilisation de ces contrôles.

http://www.cert.org/reports/activeX_report.pdf


Quatre failles dans IE 5.x ! (01/12/2000)

Microsoft vient de publier un patch corrigeant pas moins de quatre vulnérabilités au sein d'Internet Explorer (cf. bulletin MS00-093).
La première, "Browser Print Template", autorise l'exécution de scripts sur la machine de l'utilisateur, à partir d'un template introduit dans IE 5.5 afin d'autoriser la personnalisation des impressions d'une page web. En exploitant la deuxième ("File Upload via Form"), il peut être possible d'accéder en lecture à un fichier stocké sur le disque dur de l'utilisateur, en utilisant la balise HTML INPUT TYPE=FILE au sein d'une page web piégée. Les deux dernières ("Script Rendering" et "Frame Domain Verification") sont de nouvelles variantes de failles déjà détectées. Elles peuvent également entraîner la lecture de fichiers locaux sur le disque de l'utilisateur d'un site web malveillant...

http://www.microsoft.com/technet/security/default.asp


Deux failles dans Windows Media Player (26/11/2000)

Deux failles ont été détectées au sein de Windows Media Player version 6.x et 7.x. La première consiste en l'exploitation d'un débordement de buffer via l'ouverture d'un fichier de type .ASX (Active Stream Redirector) autorisant l'exécution d'un code quelconque sur la machine de l'utilisateur. La seconde, qui n'affecte que la version 7 de WMP, concerne les fichiers .WMS (Windows Media player Skins). Les skins permettent de personnaliser l'interface du logiciel. Or, ces fichiers peuvent contenir des scripts ayant la capacité d'exécuter des contrôles ActiveX sur la machine de l'utilisateur, lorsqu'ils sont ouverts par ce dernier.
Microsoft a publié un patch qui corrige ces deux problèmes.

http://www.microsoft.com/technet/security/default.asp


Microsoft victime d'un cheval de Troie ! (29/10/2000)

Microsoft a annoncé cette semaine que la présence du cheval de Troie QAZ (voir L'Internet sécurisé page 312) avait été détectée sur son réseau interne. Ce programme, lorsqu'il est reçu par mail et exécuté, permet à un pirate de se connecter à distance sur la machine de la victime, autorisant ainsi l'accès à des informations confidentielles disponibles sur le réseau local auquel est connecté l'ordinateur contaminé. Le pirate aurait réussi à se faire envoyer par mail non seulement des mots de passe utilisés en interne mais également des parties du code source de logiciels de la suite Office et du système d'exploitation Windows (ce que Microsoft a démenti)... Aucun de ces sources n'auraient cependant été modifiés.
Le FBI a été sollicité par la firme américaine afin qu'il ouvre une enquête.

http://www.microsoft.com/technet/security/001027.asp


Une nouvelle faille Java/IE (29/10/2000)

Dans un bulletin daté du 25 octobre, Microsoft révèle la présence d'une nouvelle faille au sein de sa machine virtuelle Java. Les builds des séries 2000 et 3000 (cf. JView) de cette machine virtuelle, livrées avec IE 4.x et IE 5.x sont vulnérables à une attaque entraînant l'accès à n'importe quel fichier local, en lecture uniquement, à l'aide d'une applet Java programmée à cet effet.
Microsoft a publié un patch corrigeant ce problème.

http://www.microsoft.com/technet/security/default.asp


Deux nouvelles failles corrigées dans IE (15/10/2000)

Microsoft a publié deux bulletins concernant des vulnérabilités affectant Internet Explorer. Le premier (MS00-075) révèle un bug dans les builds des séries 2000, 3100, 3200 et 3300 de la machine virtuelle Java, livrée avec IE 4.x et 5.x. Ce bug permet à une applet Java, exécutée à partir d'un site web malveillant, de lancer n'importe quel contrôle ActiveX installé sur le poste de l'utilisateur.
Le bulletin suivant affecte également IE 4.x et IE 5.x mais pas IE 5.5. Lorsqu'un utilisateur, connecté en SSL, s'authentifie sur un site web, les informations d'authentification sont toujours envoyées quand le même utilisateur accède à des pages non protégées par SSL sur le serveur considéré. Ainsi, ces informations circulent en clair et peuvent permettre à un individu malveillant de se faire passer pour l'utilisateur, si elles sont interceptées...
Microsoft a publié deux patchs corrigeant ces problèmes.

http://www.microsoft.com/technet/security/default.asp


L'AES sélectionné (08/10/2000)

Dans un communiqué de presse en date du 2 octobre, le NIST a annoncé le nom du lauréat du concours internationnal qu'il avait organisé en 1997 afin de trouver un sucesseur à l'obsolescent DES (Data Encryption Standard).
En août 1999, le NIST avait communiqué les noms des cinq algorithmes finalistes, à savoir MARS, RC6, Rijndael, Serpent et Twofish. C'est finalement l'algorithme des cryptographes belges Joan Daemen et Vincent Rijmen, Rijndael, qui a été sélectionné. Le vainqueur va être soumis au gouvernement américain afin de devenir un standard d'ici à l'été 2001.

http://www.nist.gov/aes/


Quand Media Player fait planter Outlook... (30/09/2000)

Dans un bulletin daté du 26 septembre, Microsoft révèle la présence d'une faille au sein de Windows Media Player version 7 affectant les applications de messagerie Outlook et Outlook Express. En effet, lorsque le contrôle ActiveX WMP 7 est encapsulé dans un message au format RTF et que ce message est visualisé à l'aide d'Outlook (Express), ce dernier plante lors de la fermeture de la fenêtre de visualisation du message...
Microsoft a publié un patch corrigeant ce problème.

http://www.microsoft.com/technet/security/default.asp


Phage : le premier virus Palm (30/09/2000)

Le premier virus capable d'infecter un Palm Pilot a été découvert le 22 septembre dernier. Phage (c'est son nom) se propage via les applications Palm. Dès qu'une telle application, infectée par le virus, est exécutée, le virus copie son code dans tous les autres programmes stockés en mémoire, les rendant ainsi inutilisables. Ce virus est considéré comme étant bénin puisqu'il ne s'attaque pas aux fichiers de données. Mais a priori rien n'empêcherait une variante d'être nettement plus nuisible...
La société F-Secure propose déjà un anti-virus spécifique au Palm capable de détecter Phage.

http://www.f-secure.com/palm/


Microsoft publie la version béta de l'Advanced Security Privacy (10/09/2000)

Comme annoncé en Juillet, Microsoft vient de publier la version béta d'un correctif d'IE permettant d'obtenir une plus grande sécurité vis à vis des cookies.
Il est disponible à l'URL indiquée ci-dessous.

http://www.microsoft.com/windows/ie/download/preview/privacy.htm


Une nouvelle vulnérabilité dans IE 5.5... (10/09/2000)

Georgi Guninski a découvert une faille dans Internet Explorer 5.5 permettant de lire à distance des fichiers locaux, d'obtenir le contenu de cookies, etc. Cette faille peut être exploitée à l'aide du contrôle WebBrowser et d'un script Javascript, tel que celui proposé par Georgi Guninski sur son site web.
Aucun patch n'étant disponible à ce jour, il est conseillé de désactiver le support des contenus actifs, comme indiqué au chapitre 10 de L'Internet sécurisé (page 190).

http://www.nat.bg/~joro


Un bug dans PGP autorise le chiffrement avec une clé non autorisée (03/09/2000)

Dans un bulletin publié fin août, le CERT (Computer Emergency Response Team) rapporte l'existence d'un bug dans les versions 5.5.x à 6.5.3 de PGP ayant pour conséquence de permettre à un hacker de modifier un certificat en y ajoutant une clé ADK (Additonal Decryption Key) qui, lorsqu'une personne l'utilise afin de chiffrer des informations, autorise le hacker à prendre connaissance de ces informations. Les clés ADK permettent normalement à un tiers autorisé de déchiffrer des informations chiffrées à l'intention d'une autre personne (un salarié d'une entreprise par exemple). En pratique, PGP ne vérifie pas que la clé ADK a été ajoutée sans être signée, comme l'est la clé primaire du destinataire, si bien qu'il est possible d'en générer une dont on possède la clé privée correspondante et de l'ajouter au certificat de la victime.
Un patch a été publié sur le site www.pgp.com.

http://www.cert.org


Une vulnérabilité dans la machine virtuelle Java de Microsoft (03/09/2000)

Certaines versions de la JVM (Java Virtual Machine), intégrées aux systèmes d'exploitation Microsoft (9x et NT) renferment une vulnérabilité qui, si elle est exploitée via une applet proposée sur le site web d'un individu malveillant, permet à l'attaquant de se faire passer pour sa victime, et d'accéder ainsi à des sites web (notamment intranets) normalement injoignable de l'Internet.
D'après le bulletin Microsoft MS00-059, les versions suivantes de la JVM sont vulnérables : builds des séries 2000, 3100, 3200 et 3300. Pour savoir quelle build vous utilisez, il suffit d'entrer la commande JVIEW dans une fenêtre MS-DOS.

http://www.microsoft.com/technet/security/default.asp


Encore des failles dans IE ! (20/08/2000)

Dans un bulletin récent ("Scriptlet Rendering Vulnerability"), Microsoft révèle deux nouvelles vulnérabilités dans son logiciel de navigation web, Internet Explorer (4.x et 5.x), qui, si elles sont exploitées, permettent d'accéder en lecture à des fichiers stockés sur le disque de l'utilisateur. Cette attaque ne peut cependant être réalisée qu'à condition, d'une part, que les chemins d'accès aux fichiers cibles soient connus de l'attaquant et d'autre part que le contenu de ces mêmes fichiers soit visualisable via la fenêtre du navigateur (ex.: .txt, .doc, etc.).
Le patch proposé par Microsoft corrige ces vulnérabilités ainsi que celles signalées dans les bulletins MS00-033, MS00-039, MS00-042 (si IE5.5 est installé) et MS00-049.

http://www.microsoft.com/technet/security/default.asp


Quand Communicator devient serveur de fichiers... (15/08/2000)

Dan Brumleve a découvert de nouvelles fonctionnalités dans les classes distribuées avec le navigateur Netscape Communicator permettant de créer un serveur de fichiers accessible à distance. Pour prouver ses dires, il a écrit un programme nommé Brown Orifice HTTPD qui permet de transformer Communicator en un serveur de fichiers (ouvert sur le port 8080) ou en proxy HTTP et FTP. De plus, les fichiers rendus accessibles par ce programme sont automatiquement indexés dans une base consultable sur le web de l'auteur.
L'utilisation d'un "firewall personnel", tel ZoneAlarm, pourrait éviter que ce type d'attaque ne puisse être exploité par des individus malveillants.

http://www.brumleve.com/BrownOrifice/


Outlook et Outlook Express victimes de multiples vulnérabilités (30/07/2000)

Microsoft a publié, en l'espace de quelques jours, trois bulletins de sécurité concernant des vulnérabilités (voir L'Internet sécurisé chapitre 10) affectant les logiciels de messagerie Outlook (97, 98 et 2000) et Outlook Express (4.0 à 5.01).
La première de ces vulnérabilités, appelée "Cache Bypass", permet à un individu malveillant d'envoyer un message HTML particulier qui, lorsqu'il est ouvert, autorise la lecture du contenu de n'importe quel fichier se trouvant sur le disque dur de la victime.
La deuxième ("Persistent Mail-Browser Link") peut être exploitée afin de permettre la lecture à distance de tout message consulté via la fenêtre de prévisualisation d'Outlook Express.
Enfin, l'exploitation de la vulnérabilité "Malformed E-mail Header" peut conduire à l'exécution, sur l'ordinateur de la victime, de n'importe quel code lorsqu'un message, dont l'en-tête contient le code en question formaté d'une certaine façon, est récupéré sur un serveur POP3 ou IMAP4 via Outlook (Express).
Ces trois vulnérabilités peuvent être corrigées en appliquant le patch proposé par Microsoft, en installant Internet Explorer 5.01 SP 1 ou Internet Explorer 5.5 (sauf sous Windows 2000).

http://www.microsoft.com/technet/security/default.asp


Microsoft déclare la guerre aux cookies ! (23/07/2000)

A peine quelques jours après la sortie de la version 5.5 d'Internet Explorer, Microsoft vient de publier un communiqué de presse dans lequel il annonce qu'une mise à jour d'IE 5.5, ajoutant des fonctionnalités de gestion des cookies (voir L'Internet sécurisé chapitre 9), sera disponible d'ici la fin du mois d'août à tous les internautes préoccupés par le respect de leur vie privée sur le Web.
Actuellement en test auprès d'un panel de 2000 béta-testeurs, cette update ajoutera trois fonctionnalités principales : une meilleure information lors de l'envoi ou la réception d'un cookie, en particulier lorsque ce cookie est positionné à partir d'un site autre que celui en cours de consultation (ex.: via une bannière), l'apparition d'un bouton "effacer tous les cookies" dans la fenêtre d'options d'IE et enfin une documentation plus étoffée dans l'aide du logiciel.
Microsoft a par ailleurs annoncé que la mise à disposition de cette update n'était qu'une étape, avant l'intégration de la technologie P3P (Platform for Privacy Preferences, qui permet aux surfeurs de définir le niveau de protection de leurs informations personnelles qu'ils souhaitent assurer), au sein de la prochaine version de Windows.

http://www.microsoft.com/presspass/press/2000/jul00/IECookiePR.asp


SSL et S/MIME vulnérables à "l'attaque des anniversaires" (10/07/2000)

Le LASEC (Laboratoire de Sécurité et de Cryptographie) de l'EPFL (Ecole Polytechnique Fédérale de Lausanne) vient de révéler que les algorithmes de chiffrement par blocs fonctionnant en mode CBC (Cipher Block Chaining), c'est-à-dire où un bloc de texte en clair est combiné, à chaque ronde, au bloc de texte chiffré à la précédente, sont vulnérables à l'attaque des anniversaires. Cette attaque repose sur le paradoxe des anniversaires selon lequel il suffit de réunir 23 personnes dans une pièce pour qu'il y ait une chance sur deux que deux d'entre elles soient nées un même jour.
L'attaque révélée par le LASEC consiste donc à trouver deux segments (8 caractères) de texte en clair au sein d'un flot de données chiffrées en mode CBC. Les deux seules contraintes sont que le texte original soit écrit dans un langage redondant (un texte par exemple) et qu'une certaine longueur de texte chiffré soit disponible. Par exemple, la probabilité de trouver un segment de texte en clair dans un flot de 1Mo est de 5.10-10. Avec 1Go, elle atteint 5.10-4 et nécessite une heure de calcul sur un PC...
Là où le bât blesse, c'est que de nombreux algorithmes employés par des protocoles ou standards tels que SSL ou S/MIME (voir L'Internet sécurisé pp. 92 et 247) utilisent le mode CBC...Le LASEC recommande d'augmenter la taille des blocs pour diminuer les chances de réussite de l'attaque, le mieux étant d'utiliser des algorithmes ne fonctionnant pas en mode CBC...
Idéalement, il serait conseillé de ne pas chiffrer de trop grandes quantités de données avec la même clé et, dans la mesure du possible, de les compresser au préalable, de façon à diminuer la redondance. Les risques étant relativement faibles en pratique, SSL et S/MIME (à 128 bits) ne sont pas encore à mettre au rebut !

http://lasecwww.epfl.ch/birthday.shtml


Microsoft publie un correctif "anti-virus" pour Outlook (10/06/2000)

Suite aux ravages du virus I Love You, Microsoft a publié un patch pour Outlook 2000 et 98 permettant de réduire les possibilités de propagation et de contamination par un virus de type ver comme Melissa, Love Letter ou Stages. Une fois appliqué, ce correctif interdit l'accès à tout attachement contenant du code exécutable ou ayant la possibilité de changer les paramètres du système (.EXE, .COM, .VBS, etc.), l'administrateur ayant la possibilité de définir une liste de fichiers "sensibles" (.ZIP, etc.) que les utilisateurs doivent impérativement enregistrer sur un disque avant de pouvoir les ouvrir. Par ailleurs, le patch empêche l'accès au carnet d'adresses Outlook sans confirmation de l'utilisateur, ce qui limite le risque de diffusion d'un virus se propageant de cette façon. Enfin, c'est la zone Internet Explorer "sites sensibles" (voir L'Internet sécurisé p. 392) qui est positionnée à la place de la zone "Internet", configurée par défaut. Ceci interdit l'exécution automatique de scripts actifs.

http://officeupdate.microsoft.com/2000/downloadDetails/Out2ksec.htm


InterMute présente AdSubtract Pro (28/05/2000)

La société InterMute, éditrice du logiciel du même nom (voir L'Internet sécurisé p. 232), a annoncé le 22 mai dernier la disponibilité d'AdSubtract Pro. Ce programme a pour but de protéger les surfeurs contre les cookies, scripts malveillants, bannières, fenêtres pop-up, etc. Il reprend les fonctionnalités d'InterMute tout en ajoutant un gestionnaire de cookies performant et la possibilité d'associer des sons à chaque événement (cookie, publicité, etc.).
AdSubtract est vendu environ 200F, les utilisateurs enregistrés d'InterMute bénéficiant d'un tarif préférentiel.
A noter enfin la disponibilité d'une version allégée du logiciel, baptisée AdSubtract SE, disponible gratuitement en téléchargement. Cette version ne traite que les cookies et les bannières.

http://www.adsubtract.com



Accueil | Présentation | Commander | Actualité | Erratum | Contact | Presse | Liens | Avertissements importants
Copyright © 2000-2002 Eric Larcher