Attention aux exploits zero-day introduits par des faux patchs Java

Nous-mêmes comme la majorité des professionnels de l’informatique avons écrit à propos de l’exploit zero-day de Java et du patch critique publié par Oracle destiné à faire tomber un peu la pression sur le marché, comme à propos du fait qu’une réaction aussi rapide suggère que d’autres bugs ont été probalement introduits,  susceptibles d’entraîner d’autres exploits.

Un tel battage médiatique ne pouvait passer inaperçu auprès des cybercriminels qui se sont empressés d’en profiter.

Maintenant, comme d’autres sociétés de sécurité informatique, nous voyons apparaître des malwares sous la forme de faux patchs contre le célèbre exploit zero-day de Java. Le malware prétend proposer la mise à jour Java 7 Update 11 qui répare cet exploit zéro-day.

Si vous n’avez pas désinstallé Java de votre système, renseignez-vous ici sur la façon de le désactiver en toute sécurité. Si vous ne savez pas si Java est installé sur votre ordinateur, utilisez la page de détection officielle de Java.

Voici le résultat que vous devez obtenir si Java n’est pas installé sur votre ordinateur ou s’il est désactivé :

 

Si un site affiche un message d’erreur indiquant l’impossibilité d’effectuer une opération car Java n’est pas installé, ne vous faites pas avoir et n’installez en aucun cas un logiciel, que ce soit un patch ou pas, depuis une autre source que le site officiel. Dans ce cas particulier, suivez cette URL et téléchargez le kit d’installation d’Oracle : http://java.com/en/download/index.jsp.

 

Sorin Mustaca

IT Security Expert

Encore un nouvel exploit Java zero-day ?

Nous ne savons pas encore s’il s’agit d’une mauvaise blague dans le but de discréditer Oracle et Java, mais les médias ne parlent que d’une nouvelle faille potentielle non détectée dans Java.

Tout a commencé par un message du chercheur en sécurité Brian Krebs qui a observé un fil de discussion dans un forum sur la criminalité en ligne connu où quelqu’un vendait l’exploit pour 5 000 USD à seulement deux personnes (ce n’est pas beaucoup pour un exploit zero-day). Pourquoi exactement deux ? Parce qu’une faille est plus efficace si elle n’est pas détectée pendant une longue période par les sociétés spécialisées dans le domaine de la sécurité comme Avira. J’ai écrit sur le fait que les failles de sécurité sont devenues un commerce de nos jours et sur la manière d’effectuer correctement une divulgation.

Vrai ou faux, une chose est sûre : Oracle a résolu le précédent exploit zero day en toute hâte et certains disent que tout n’a pas été solutionné. Dans un courriel envoyé à la liste de diffusion Bugtraq vendredi 11/01/2013, Adam Gowdiak, PDG et fondateur de la compagnie Security Explorations basée en Pologne, a déclaré

qu’Oracle devait  encore résoudre tous les problèmes de vulnérabilité que son entreprise a signalés depuis Avril 2012 (oui, 2012).

Ils ont même découvert une nouvelle vulnérabilité qui « montre le contournement complet du sandbox JVM dans l’environnement du tout dernier logiciel Java SE (version 7 Mise à jour 7, sortie le 30 août 2012). La raison invoquée est un nouveau problème lié à la sécurité qui permet la possible exploitation de certains de nos bogues non encore traités », a  déclaré Gowdiak.

Nous ne pouvons qu’imaginer la situation dans laquelle se trouve Oracle en ce moment : ils ont acheté Sun Microsystems et Java en 2010, probablement sans connaître le volume gigantesque de codes. Comme c’est le cas dans de nombreuses reprises,  un grand nombre de développeurs sont partis sans doute avec leur savoir-faire Java. Il est clair et compréhensible qu’Oracle résout principalement les questions qui font la une des journaux, mais le développement des logiciels et en particulier l’assurance qualité des logiciels n’est pas quelque chose qui se fait instantanément en toute hâte. J’espère qu’Oracle se réserve le temps de se livrer à une revue correcte des codes et du refactoring de sorte qu’elle continue à développer une plateforme plus solide et plus connue. En supposant bien entendu que la période entre deux vulnérabilités suffise pour effectuer un refactoring et une revue de code. Si les choses continuent d’être à l’image de ce qui s’est passé au cours des 16 derniers mois, je crains que nous continuions à voir des vulnérabilités de plus en plus nombreuses qui vont affecter Java. Selon Oracle, Java fonctionne sur plus de 850 000 PC et sur plus de 3 milliards d’appareils dans le monde entier. Cela fait beaucoup de code Java. Comment se fait- il qu’Oracle n’ait pas pensé à cela il y a deux ans ?

J’ai déjà écrit sur ​​le fait que vous devriez désactiver ou désinstaller Java si vous n’en n’avez  vraiment pas besoin. Si vous avez vraiment besoin de Java, je vous conseille d’avoir deux navigateurs installés, l’un avec le plugin Java activé, l’autre sans. Celui avec Java doit être exclusivement utilisé avec ces applications / applets Java qui nécessitent Java. Le navigateur sans le plugin Java doit être utilisé pour la navigation normale. Et, actualisez Java si vous ne l’avez pas fait jusqu’à présent.

 

Sorin Mustaca

IT Security Expert

 

Comment activer l’authentification forte pour Facebook

Il y a quelques temps, Facebook a lancé l’authentification à deux facteurs pour la connexion. Cela signifie que si une personne ou une chose essaie de se connecter en utilisant votre compte, deux étapes seront nécessaires : l’authentification à l’aide du nom d’utilisateur et du mot de passe (que vous connaissez) et un téléphone mobile (que vous possédez).

1e étape

Configurez l’authentification forte

1. Cliquez sur Paramètres -> Paramètres du compte, puis sur Sécurité (menu de gauche)
ou allez directement ici .

2. Activez « Approbations de connexion » et cliquez sur la case à cocher.

3. Facebook vous expliquera brièvement ce qui se passe si vous activez cette fonction. Cliquez sur Configurer maintenant.

4. Saisissez votre mot de passe

5. Saisissez votre numéro de téléphone mobile et cliquez sur Continuer

6. Saisissez le code que vous avez reçu par SMS

7. Nommez le périphérique (par exemple <Navigateur> sur <périphérique>), puis cliquez sur Suivant.

8. Cliquez sur Suivant …. Il doit y avoir une façon d’approuver les demandes d’accès à votre compte Facebook quand vous n’avez pas accès à votre mobile. Malheureusement, cela n’est possible sur Facebook qu’avec une application sur Android et iPhone. Vous ne pouvez rien imprimer et sauvegarder comme avec Dropbox et Google.

Vous pouvez cliquer sur Fermer si vous n’avez pas un iPhone ou un appareil Android.

2e étape

Installez l’application spécifique et générez les codes pour vos appareils et applications.

 

1. Maintenant, vous devez configurer le générateur de code en cliquant sur Continuer.

2. Vous devez télécharger et installer l’application sur votre appareil.

3. Après avoir installé l’application Facebook, vous devez activer le générateur de code dans l’application Facebook (disponible sur le bas du menu à gauche).

 

4. En touchant le générateur de code vous verrez ceci :

5. Cliquez sur Activer.

Immédiatement après, l’application va générer un nouveau code toutes les 30 secondes. Voyez ci-dessous comment vous devez saisir ce code.

 

6. Afin de finaliser l’installation, vous devez cliquer sur « Finir l’installation ». Sans cela il vous faudra commencer le processus depuis le début la prochaine fois.

7. Après avoir installé le générateur de code dans l’application Facebook, vous pouvez générer ces codes.

Par exemple, si vous voulez vous connecter avec votre iPhone sur Facebook, vous aurez besoin de l’authentifier.

Cela s’applique également aux navigateurs ou aux autres applications qui font usage de votre compte Facebook.

 

 

 

 

Sorin Mustaca

Expert en sécurité IT

Comment désactiver le plug-in Web Java dans tous les navigateurs

Nous avons écrit sur Java et ses vulnérabilités régulières, dont deux (ici et ici) étaient des vulnérabilités 0-day. Java est un outil puissant car il est multiplateforme : si une vulnérabilité est trouvée sur une plateforme, elle peut facilement être trouvée sur toutes les autres.

Utilisé correctement, Java peut offrir une bonne convivialité et des fonctionnalités avancées à bas coût. De nos jours, tous les navigateurs ont un plug-in Java et ils ont tous quelque chose en commun : ils utilisent tous la version de Java installée au niveau du système. Cela signifie que si quelque arrive à la version locale de Java, tous les navigateurs sont affectés.

Afin de limiter ces risques, il faut se demander si Java est vraiment nécessaire sur son ordinateur.

Si la réponse est non, désinstallez simplement Java et tout sera réglé.

Si la réponse est oui, continuez à lire.

Je conseille d’avoir deux navigateurs installés, un avec le plug-in Java activé, et un sans. Celui avec Java doit être exclusivement utilisé avec les applications ou applets qui exigent la présence de Java. Le navigateur sans le plug-in Java doit être utilisé pour la navigation normale. Ici entre en jeu « ce que vous ne voyez pas ne peut pas vous atteindre » – sans plug-in Java, aucune applet ne peut être lancée, même si Java est présent sur le système.

Tous les navigateurs sont fournis avec le plug-in Java déjà installé – c’est une question d’ergonomie bien compréhensible. Pour désactiver le plug-in dans un navigateur en particulier, suivez le lien concernant votre navigateur, ou bien désactivez-le pour tous les navigateurs.

 

Désactiver Java pour tous les navigateurs

Depuis Java v7 Update 10, une nouvelle fonctionnalité de sécurité a été ajoutée dans Java. Vous pouvez maintenant désactiver Java pour tous les navigateurs, dans le panneau de configuration Java.  Voici les instructions détaillées provenant de Java.com.

Bien sûr, si vous n’avez pas du tout besoin de Java, vous pouvez le désinstaller complètement.

 

Désactiver le plug-in Java pour un navigateur en particulier

Cliquez sur le nom du navigateur pour aller directement à la section concernée :

 

 Désactiver le plug-in Java dans Firefox

  1. En haut de l’écran Firefox, cliquez sur le bouton Firefox (menu Outils sous Windows XP) puis sélectionnez Modules complémentaires. Le Gestionnaire de modules complémentaires va s’ouvrir.
  2. Dans le Gestionnaire de modules complémentaires, sélectionnez Plugins.
  3. Cliquez sur le plug-in Java (TM) Platform pour le sélectionner.
  4. Cliquez sur le bouton désactiver (si le bouton porte le libellé Activer, Java est déjà désactivé).

 

 Désactiver le plug-in Java dans Chrome

1. Visitez chrome://plugins/
2. Localisez le plug-in Java est décochez-le.

 

 

Désactiver le plug-in Java dans Safari

  1. Dans Safari, allez dans Safari > Préférences ou tapez Commande-virgule (⌘,)
  2. Cliquez sur « Sécurité »
  3. Décochez « Activer Java ».
  4. Fermer la fenêtre de préférences Safari.

 

Désactiver le plug-in Java dans Opera

Lancez Opera et tapez opera:plugins dans la barre d’adresse.

Cliquez sur le bouton Désactiver.

 

Désactiver le plug-in Java dans Internet Explorer

Les utilisateurs peuvent désactiver Java en définissant des bits d’arrêt pour les CLSID Java et en définissant l’action de l’URL sur Désactiver. Malheureusement, se débarrasser de Java n’est pas aussi facile qu’avec les autres navigateurs.

ATTENTION : Cette opération exige d’effectuer des modifications dans la base de registre. Effectuez une copie de sauvegarde du registre avant d’appliquer les changements indiqués ici. Nous ne pouvons être tenus responsables d’éventuels dommages causés par la réalisation de ces étapes.

1. Téléchargez le fichier suivant : disable_java_ie.txt

2. Renommez le fichier .TXT en .REG

3. Exécutez-le en tant qu’administrateur

4. Redémarrez IE

Remarque : des informations complémentaires sur la désactivation de Java dans IE se trouvent dans l’article original ici.

Sorin Mustaca

IT Security Expert

Oracle a réparé la faille zero-day exploit de Java

Après l’énorme impact médiatique qui a suivi la divulgation complète de la vulnérabilité de Java 7 Update 10, de nombreuses organisations nationales et internationales ont commencé à recommander à leurs lecteurs de désinstaller Java (BSI d’Allemagne, US-Cert). Oracle ne pouvait pas rester là à regarder comment ses parts de marché étaient en train de disparaître et a commencé ce week-end à travailler sur une solution qui est maintenant disponible pour tous.

Veuillez corriger l’installation de Java avec la dernière version, la version Java 7 Update 11.

Ce communiqué contient les correctifs pour ces célèbres failles de sécurité que nous avons déjà mentionnées. Oracle a également écrit ceci à ce sujet : Alerte de Sécurité d’Oracle pour CVE-2013-0422.

Parmi les correctifs, nous avons résolu trois autres problèmes :

  • Paramètre du niveau de sécurité réglé par défaut sur élevé
  • Le panneau de configuration Java ne montre pas le curseur du niveau de sécurité
  • Les problèmes d’enregistrement des plug-ins sur les systèmes des versions autonomes installées de JavaFX

Je ne sais pas aujourd’hui si ces correctifs ont quelque chose à voir avec CVE-2013-0422, mais selon la description d’Oracle il semble qu’au moins le premier correctif est un rapport.

Les bases de sécurité pour l’environnement d’exécution Java (JRE) au moment de la publication de JDK 7u11 sont indiquées dans le tableau suivant :

Version Familiale JRE Bases de sécurité JRE
(chaîne de caractères complète)
7 1.7.0_11
6 1.6.0_37
5.0 1.5.0_38
1.4.2 1.4.2_40

Si vous avez Java 6, vous trouverez ici plus de détails sur la mise à jour.

Si possible, je vous suggère fortement de désinstaller toutes les versions antérieures de Java et d’installer seulement la dernière.

Alors, est-ce la fin de cette escalade de problèmes ? Non, loin de là.

Nous avons vu qu’Oracle était en mesure de travailler rapidement et sous la pression énorme à l’échelle internationale. C’est une bonne chose, mais ceux qui savent comment le développement de logiciels fonctionne sauront également que le développement de logiciels critiques sous pression ne provoque qu’une seule chose : encore plus de bugs.

C’est pourquoi nous vous recommandons de maintenir Java désactivé sauf si vous en avez expressément besoin pour votre travail. Essayez d’utiliser un navigateur avec Java activé pour les applications Java dont vous avez besoin et un autre navigateur sans Java pour un usage quotidien.

Après avoir effectué l’installation, vous pouvez contrôler la version de Java en visitant cette page.

 

Sorin Mustaca

Expert en sécurité IT

 

YAJZE : encore un exploit 0 day Java (mise à jour)

On peut malheureusement dire que c’est “encore un exploit 0 day Java”.

La dernière version de Java, v7 mise à jour 10, est affectée et il n’existe actuellement pas de projet de patch. La vulnérabilité déjà utilisée dans les attaques en ligne consiste en une injection de code sur un système Windows entièrement mis à jour qui exécute la version Java affectée. On ne sait pas encore si d’autres versions de Java sont affectées. Pour être affecté, l’utilisateur doit visiter un site Web contenant  un exploit qui exécute l’injection de code.

Vous pouvez vérifier si Java est actif dans votre navigateur ici : http://java.com/fr/download/installed.jsp

Si entretemps vous avez réactivé le plug-in Java dans votre navigateur depuis le dernier exploit 0 day de la fin du mois d’août 2012, voici comment le désactiver :

  • Désactiver le plug-in Java dans Chrome
  • Désactiver le plug-in Java dans Firefox
  • Désactiver le plug-in Java dans Safari
  • Désactiver le plug-in Java dans Internet Explorer : un problème délicat. J’écrirai un article détaillé à ce sujet. Ne vous imaginez pas qu’en désactivant le plug-in dans la liste des modules complémentaires dans IE, ce sera suffisant, comme chacun s’y attendrait. En attendant, vous pouvez désinstaller Java de votre système en passant par “Programmes et fonctionnalités” ou “Ajouter et supprimer des programmes”. Java sera alors indisponible pour tous les navigateurs.

Java v7, mise à jour 10, offre une nouvelle fonctionnalité de sécurité ajouté à Java. Vous pouvez désactiver Java en passant par le panneau de configuration de Java pour tous les navigateurs. Pour un guide pratique et détaillé provenant du site Web de Java, cliquer ici.

Tous les produits Avira détectent de tels exploits sous les noms : EXP/Java.AL, EXP/Java.AM, EXP/Java.AN, EXP/Java.AO, EXP/CVE-2013-0422.A, EXP/CVE-2013-0422.B, EXP/CVE-2013-0422.C

Samedi 12 janvier à 9h00 : Avira a lancé la version 8.2.230 du moteur de scan qui détecte toutes les variantes d’exploit en tant que EXP/CVE-2013-0422.

 

Sorin Mustaca

Expert en sécurité IT

 

Comment installer l’authentification forte de Dropbox

Nous allons vous présenter l’authentification forte, ou l’authentification en deux étapes comme le nomme Dropbox, et pourquoi elle est nécessaire.

Voici comment elle fonctionne avec Dropbox :

Étape 1 :

1. Allez dans Paramètres -> Sécurité

2. Cliquez sur « (changement) » sur la « vérification en deux étapes »

IMPORTANT: Il semble y avoir un bug dans l’application Web de Dropbox car lorsque vous cliquez n’importe où dans la fenêtre du navigateur en dehors de la première fenêtre (où se trouve la configuration de l’authentification forte) vous devrez recommencer l’ensemble du processus depuis le début.

3. Cliquez sur Démarrer

4. Entrez de nouveau votre mot de passe

5. Sélectionnez « Utiliser SMS »

6. Écrivez votre numéro de téléphone portable

7. Ecrivez le code que vous avez reçu par SMS

8. Enregistrez ce code quelque part en dehors de Dropbox sur votre disque dur et sur un papier. Ne pas utiliser de Post-It.

9. Vous avez terminé ! Cliquez sur Terminé. Si vous ne cliquez pas, vous devrez recommencer depuis le début.

Assurez-vous de lire le texte de la fenêtre. C’est sérieux ! Dès lors, lorsque vous souhaiterez accéder à votre compte à partir d’un autre appareil, vous devez recevoir un SMS sur votre téléphone portable afin de vous authentifier. Si vous n’avez pas votre téléphone sur vous ou vous n’avez pas de réseau, votre seule solution est le code que vous avez écrit à l’étape 8.

10. Vérifiez dans les paramètres-> Fenêtre de sécurité que la « vérification en deux étapes » est activée

Assurez-vous que les notifications sont toutes les deux sélectionnées (elles le sont par défaut). Cela vous garantit de recevoir un email dès que quelqu’un accèdera à votre compte Dropbox.

Étape 2 :

Autorisez les périphériques à partir desquelles vous souhaitez accéder à vos dossiers.

La prochaine fois que vous vous connecterez (vous pouvez essayer avec un autre navigateur), vous verrez une fenêtre d’authentification identique à celle de l’étape 6 :

 

C’est tout … vous devrez réaliser cette étape à chaque fois que vous autoriserez un nouveau périphérique.

Le plus grand avantage de cette autorisation forte, c’est que vous choisirez quel périphérique ou quelle application est autorisé à accéder à vos fichiers.

 

Sorin Mustaca

Expert en sécurité IT

Comment configurer l’authentification à deux facteurs de Google ?

Nous vous présentons ici l’authentification à deux facteurs, ou encore la validation en deux étapes, comme Google la nomme, et expliquons pourquoi c’est nécessaire.

Pour les services de Google, en particulier le service d’e-mail, il faut procéder de la manière suivante :

Étape 1

1. Commencez sur cette page.

2. Cliquez sur « commencer »

Vous devrez vous connecter à l’aide de votre nom d’utilisateur et de votre mot de passe.

3. Si cela n’a pas été encore fait, on vous demandera automatiquement d’autoriser la restauration du compte par SMS et avec une deuxième adresse e-mail.

4. Allez sur https://www.google.com/settings/security et cliquez sur le bouton modifier situé à coté de « État : DÉSACTIVÉ »

5. Vous devriez être sur cette page : https://accounts.google.com/b/0/SmsAuthLanding

6. Cliquez sur configurer et suivez les étapes. Assurez-vous d’avoir votre téléphone mobile à portée de main.

7. Après avoir reçu le SMS, vous devrez indiquer que votre ordinateur est fiable.

8. Faites ceci pour votre ordinateur et ne le faites pas pour d’autres ordinateurs dont vous n’avez pas toujours le contrôle.

9. Pour finir, confirmez l’activation du service. N’oubliez pas de cliquer sur ce bouton, sinon Google n’activera pas le service et vous devrez recommencer depuis le début.

 

 

Étape 2

Passons maintenant à la partie la plus intéressante. Non seulement les humains devront procéder à la validation en deux étapes, mais également les applications. Cela signifie que chaque application utilisant un service Google comme Gmail, Youtube, Docs et autres devra être validée en deux étapes.

Enregistrez cette adresse (https://accounts.google.com/b/0/IssuedAuthSubTokens ) dans vos favoris, car à partir de maintenant, vous en aurez souvent besoin pour configurer toutes vos applications sur tous vos appareils. Si, comme moi, vous lisez vos e-mails sur une tablette Android, un iPad, un iPhone, deux ordinateurs portables avec des clients de messagerie standards et que certaines applications en ligne sont autorisées à travailler avec vos e-mails, vous en aurez souvent besoin au début.

 

Si vous voulez utiliser des programmes e-mail comme Outlook, Apple Mail ou Thunderbird, vous devrez leur communiquer les mots de passe nouvellement créés.

Pour utiliser ces programmes, vous devrez d’abord créer un mot de passe spécial pour les applications. Si vous ne le faites pas, vous ne pourrez plus lire vos e-mails à l’aide de ces applications.

Dès que vous aurez créé le nouveau mot de passe, tapez-le dans le champ de votre application prévu à cet effet à la place de votre mot de passe habituel que vous utilisez pour accéder à votre compte Google. Vous devez créer un nouveau mot de passe spécifique pour toutes les applications qui nécessitent un mot de passe.

 

Que se passe-t-il si vous n’avez pas accès à votre téléphone mobile ?

Google a décidé d’utiliser une méthode que les banques utilisaient avant, puis qui a été abandonnée au profit des SMS envoyés aux téléphones mobiles : les numéros de transactions (TANs).

En vous rendant à la section « Backup codes », vous pourrez imprimer cette liste de codes et l’avoir toujours à portée de main au cas où vous n’ayez pas votre téléphone mobile ou si vous n’avez pas une couverture suffisante

 

Sorin Mustaca

Expert en sécurité IT

Pourquoi tout le monde devrait-il utiliser l’authentification forte ?

La réponse la plus évidente à cette question est qu’elle sécurise davantage vos comptes et vous apporte la tranquillité d’esprit dont vous avez besoin.

Qu’est-ce que l’authentification forte ?

Selon Wikipédia, l’authentification forte (TFA, T-FA ou 2FA) est une approche de l’authentification qui nécessite la présentation d’au moins deux facteurs d’identification parmi les trois suivants : Le facteur de connaissance (“quelque chose que l’utilisateur sait“), le facteur de possession (“quelque chose que l’utilisateur a“) et le facteur d’inhérence (“quelque chose que l’utilisateur est“).

Pour faire simple :

  • quelque chose que l’utilisateur sait est habituellement un nom d’utilisateur et un mot de passe
  • quelque chose que l’utilisateur a est habituellement un téléphone mobile ou un générateur de jeton d’identification unique

quelque chose que l’utilisateur est relève du domaine biométrique (scanner à empreintes digitales, scanner rétinien, etc.)

L’authentification forte est une nouveauté. Elle existe depuis de nombreuses années, mais jusque récemment, elle était considérée comme trop complexe pour l’utilisateur d’internet “normal”. Maintenant que de plus en plus d’informations sont stockées sur des serveurs distants dans un quelconque pays étranger, le besoin de les protéger est devenu plus impérieux.

En principe, c’est très simple, mais en définitive, la façon dont elle se fait dépend de celui qui la met en œuvre, aussi n’y a-t-il aucune recette universelle. La plupart des services, comme Google, Facebook, Twitter, etc. l’ont introduite au cours de l’année 2012.

Elle doit se faire en maximum deux étapes. Il faut d’abord configurer le téléphone portable, ensuite en fonction du type de service, il faut confirmer quelles applications ont le droit d’accéder à votre compte et de quelle manière.

Cela peut sembler compliqué, mais rappelez-vous que l’utilisabilité (la facilité d’utilisation du service) souffre toujours un peu de davantage de sécurité. La récompense, en définitive, est de pouvoir dormir en paix, sans craindre que quelqu’un accède à votre univers sans que vous l’ayez voulu.

Nous publierons une série d’articles où nous présenterons une approche pas-à-pas de comment configurer cette méthode d’authentification pour les services les plus courants, comme Google, Facebook et Dropbox.

 

Sorin Mustaca

Expert en sécurité IT

 

Mises à jour de sécurité d’Adobe, Mozilla, Microsoft, NVIDIA, Asterisk

L’année commence avec beaucoup de pression sur Adobe, Mozilla, Microsoft, NVIDIA et Asterisk qui ont dû publier des mises à jour de sécurité pour corriger plusieurs failles de sécurité critiques.

 

 

Microsoft a publié son correctif mensuel contenant sept bulletins qui mettent fin à 12 problèmes de sécurité classés comme critiques et importants. Toutes les versions de Windows sont concernées, y compris Windows 8 et Windows Server 2012. Les suites Microsoft Office  2003 et  2007, Sharepoint Server 2007, Microsoft Groove Server 2007, Microsoft System Center Operations Manager 2007 et 2007 R2 sont aussi affectés.

Ils sont tous affectés par les vulnérabilités critiques trouvées dans Microsoft XML Core Services 5.0 (MS13-002) qui pourraient permettre l’exécution de codes à distance si un utilisateur affichait une page Web spécialement conçue via Internet Explorer.

L’autre vulnérabilité critique est dans les Composants du spouleur d’impression Windows et pourrait permettre l’exécution de codes à distance (MS13-001) si un serveur d’impression reçoit un travail d’impression spécifique.

Vous n’avez rien à faire de spécial concernant ces mises à jour. Elles seront livrées avec Windows Update. Notez qu’un redémarrage de votre ordinateur est nécessaire après l’installation.

 

 Adobe

Adobe a publié 27 correctifs pour AirFlash, Reader et Acrobat. Avec une telle quantité de correctifs, tout ce que nous pouvons faire est de vous conseiller de les installer de toute urgence  comme indiqué dans les liens. Bien sûr, si Adobe publie un si grand nombre de correctifs, cela signifie que tous les navigateurs devront eux aussi publier cette mise à jour. Il faut donc s’attendre à des mises à jour des principaux navigateurs sur les systèmes d’exploitation pris en charge.

 

  Mozilla

Firefox 18 révoque les certificats erronés TURKTRUST et corrige 20 autre problèmes (dont 12 critiques).

Thunderbird 17.0.2 a lui aussi révoqué le même certificat erroné et corrige 18 problèmes (dont 12 critiques).

SeaMonkey 2.15 a lui aussi révoqué le même certificat erroné et corrige 19  problèmes (dont 12 critiques).

 

 NVIDIA

A publié une suite mise à jour avec la version 310.90 qui corrige un dépassement de la mémoire tampon dans un pilote du noyau. Cette vulnérabilité pourrait être exploitée par une personne malveillante pour obtenir des privilèges d’administrateur pour Windows Vista et ses versions postérieures.

 

 Asterisk

Plusieurs failles de sécurité ont été corrigées dans la célèbre application open source VOIP. Les vulnérabilités sont des dépassements de la mémoire tampon de la pile, et peuvent être exploitées en utilisant le protocole HTTP, SIP et les protocoles XMPP. Digium, qui utilise le logiciel open source dans leurs téléphones VoIP commerciaux, ont eux aussi publié un nouveau firmware sur la base des corrections apportées à la version open source.

 

Sorin Mustaca

Expert en sécurité IT