La faille de ZoneAlarm 4 est-elle critique ?
Par Mozinet, vendredi 27 février 2004 à 19:18 :: Sécurité :: #83 ::
La semaine dernière nous reprenions une alerte de sécurité de la liste francophone K-Otik. Elle classait comme critique une vulnérabilité qui permettait de prendre le contrôle à distance du PC, alors que Zone Labs, l'éditeur de Zone Alarm ne la considérait que comme modérée.
VNUnet appuie aujourd'hui cette dernière opinion.
Selon Emmanuel Jud [Secuser.com], « l'exploitation de la faille nécessite en effet un flux SMTP sortant de la machine cible ». Autrement dit, seul un serveur de messagerie SMTP, peu courant sur les machines des particuliers, permettrait d'exploiter la faille de ZoneAlarm. Sauf si, victime d'un ver ou d'un cheval de Troie aux fonctionnalités de spam, la machine de l'utilisateur est exploitée par défaut comme serveur SMTP. Mais si le ver s'exécute, « cela signifie que l'utilisateur lui a déjà donné sa bénédiction ou a été trompé dans ce but, donc une exploitation de la faille de ZoneAlarm n'apporterait pas grand-chose en plus. C'est ce qui explique sans doute le niveau de danger « modéré » attribué par ZoneLabs », estime en toute logique Emmanuel Jud.
Ce dernier argument est étrange en parlant d'un logiciel justement chargé d'octroyer des “autorisations de passage”. On peut légitiment compter sur un firewall pour prévenir d'une tentative de communication sortante même si on s'est laissé prendre à déclencher un ver ou un cheval de Troie (qui d'ailleurs a pu utiliser une faille d'un autre logiciel pour se déclencher). On espère du pare-feu qu'il limite la casse et serve d'alerte sur un comportement suspect au sein du système.
L'article de VNUnet rappel en plus qu'il est déconseillé d'utiliser des versions antérieures de ZoneAlarm en place d'une mise à jour de la version 4. Ces versions sont elles-même boguées.
VNUnet, Christophe Lagane :
- Faille critique dans le pare-feu ZoneAlarm, 20 fév. 2004
- ZoneAlarm : une faille de sécurité pas si critique, 26 fév. 2004
K-OTik, ZoneAlarm 4.x SMTP Processing Buffer Overflow Vulnerability, 19 fév. 2004, eEye Digital Security
Plus d'informations en anglais sur ZoneLabs.com (si votre FAI ne le bloque pas encore).
Secunia, Advisories SA10921, ZoneAlarm SMTP Processing Buffer Overflow Vulnerability, 19 fév. 2004, Riley Hassell, eEye Digital Security
Commentaires
1. Le dimanche 11 juillet 2004 à 19:25, par Idefix
2. Le lundi 12 juillet 2004 à 10:26, par proxy
Ajouter un commentaire
Les commentaires pour ce billet sont fermés.