BlogZiNet

Aller au contenu | Aller au menu | Aller à la recherche | Mozinet

samedi 19 décembre 2009

La faille d'Adobe Reader sera comblée le 12 janvier

Utilisateurs d'Adobe Reader et d'Acobat, si vous voulez passer une bonne fin d'année 2009 et un tout aussi bon début d'année 2010, je vous conseille de faire attention aux fichiers PDF. Adobe a en effet reconnu que ses produits Adobe Reader 9.2 et précédentes versions pour Windows, Macintosh et UNIX, ainsi qu'Adobe Acrobat 9.2 et précédentes versions pour Windows et Macintosh, sont affectés d'une faille critique qui pourrait permettre à un attaquant de prendre le contrôle du système affecté. Adobe ne prévoit pas de combler la faille avant le 12 janvier. Mais là où le bât blesse, c'est que la faille est actuellement déjà exploitée. Symantec a découvert, caché dans des fichiers PDF attachés à des emails, un cheval de Troie qui permet la prise de contrôle à distance de l'ordinateur infecté.

Adobe conseille de désactiver le JavaScript mais, devant ces problèmes récurrents, ne serait-ce pas temps de changer de lecteur de PDF ? Voir cet ancien billet, à propos de précédentes failles non comblées, qui décrit la marche à suivre et donne des liens vers les lecteurs concurrents.

mardi 21 juillet 2009

Mozilla : le bogue de Firefox 3.5.1 n'est pas exploitable

Ce n'était pas une vulnérabilité de sécurité mais seulement un bogue faisant planter le navigateur et nécessitant parfois de redémarrer le système. C'est ce qu'affirme Mike Shaver, VP de l'ingénierie de Mozilla Corporation, sur le blog sécurité de Mozilla à propos d'alertes émises par certaines officines en sécurité dont le SANS. Le bogue, relatif au traitement de certaines chaînes Unicode très longues, existe bien dans Firefox 3.5.1 (et précédents) mais ce n'est pas une faille de sécurité hautement critique, tout juste un déni de service local. « Bien que ces chaînes peuvent résulter en des plantages de certaines versions de Firefox, des rapports par la presse et par divers agences de sécurité ont indiqué à tort qu'il s'agissait d'un bogue exploitable. Nos analyses indiquent qu'il n'en est rien et que nous n'avons constaté aucun exemple d'exploitation », déclare Mike Shaver. SecurityFocus a corrigé son alerte pour indiquer qu'il ne s'agit que d'un déni de service et que le problème ne peut pas être exploité pour exécuter du code.

Sources et références

dimanche 19 juillet 2009

Nouvelle vulnérabilité découverte dans le nouveau Firefox 3.5.1 (MÀJ)

Le SANS confirme la présence d'une nouvelle vulnérabilité dans Firefox 3.5.1 qui vient de sortir. Cette vulnérabilité découverte (par le même individu que la précédente) dans Firefox 3.5 dispose de son exploit PoC (démonstration de faisabilité) publié. La vulnérabilité peut mener à une compromission du système ou provoquer un DOS. L'IBM Internet Security Systems classe cette faille comme étant à haut risque.

Mozilla Firefox is vulnerable to a stack-based buffer overflow. By sending an overly long string of unicode data to the document.write method, a remote attacker could overflow a buffer and execute arbitrary code on the system or cause the application to crash.

MÀJ : Selon Mozilla, ce bogue est bien présent dans Firefox 3.5.1 et précédents mais n'est pas exploitable.

Sources et références

mardi 14 juillet 2009

Faille de sécurité non corrigée dans Firefox 3.5

Secunia publie une alerte de sécurité à propos d'une vulnérabilité hautement critique (quatrième niveau de gravité sur cinq) dans le navigateur Mozilla Firefox 3.5. Selon le blog Security Fix du Whashington Post, les instructions montrant aux hackers comment exploiter la faille ont été publiées en ligne. Cette faille n'est pas actuellement corrigée par Mozilla. La vulnérabilité est due à une erreur dans le traitement du JavaScript par exemple dans les balises HTML « font » et peut être exploitée pour causer une corruption de la mémoire. Une exploitation réussie permet l'exécution d'un code arbitraire. La vulnérabilité est confirmée dans la version 3.5. Elle a été introduite avec l'ajout du nouveau moteur JavaScript Tracemonkey dans Firefox 3.5.

Secunia conseille de ne pas visiter des sites Web qui ne sont pas de confiance et de suivre des liens qui ne sont pas non plus de confiance. Security Fix et le blog sécurité de Mozilla proposent comme solution provisoire de contournement la désactivation du compilateur JIT dans le moteur JavaScript. Saisissez « about:config » dans la barre d'adresse du navigateur, promettez de faire attention, puis saisissez « javascript.options.jit.content » dans la barre de filtre. Double-cliquez sur l'option « javascript.options.jit.content » affichée pour faire passer la valeur de « true » à « false ». Le changement ralentira l'exécution du JavaScript pour la faire revenir à la vitesse des versions 3.0.

MÀJ : Dancho Danchev confirme que l'extension NoScript détecte la tentative du PoC (démonstration de faisabilité) d'accéder à file://.

Sources et références

mardi 7 juillet 2009

Internet Explorer : faille zero-day actuellement exploitée

Jerome Saiz de SecurityVibes nous informe d'une vulnérabilité 0 day dans Internet Explorer (l'alerte vient du SANS). Cette faille publiée sur le Net avant d'être soumise à l'éditeur est actuellement exploitée. Le composant vulnérable est msVidCtl dans Microsoft DirectShow. Il semble que Vista et Windows Server 2008 ne soient pas vulnérables, contrairement à Windows XP et Windows Server 2003. Des versions précédentes sont sûrement aussi vulnérables.

L'exploit est activement exploité (oui, c'est pas beau) grâce à des milliers de sites Web nouvellement compromis. Le code a été publié dans le domaine public via un certain nombre de sites Web chinois.

Plutôt que d'appliquer la solution de contournement proposée, utilisez un meilleur navigateur comme le nouveau Firefox 3.5.

samedi 13 juin 2009

Adobe Reader 9.1.2 : mise à jour de sécurité

Un mois après la correction d'une faille exploitée, Adobe corrige son lecteur PDF. Cette mise à jour critique de sécurité vient combler de nombreuses failles. Ces vulnérabilités pourraient causer le plantage de l'application et potentiellement permettre à un attaquant de prendre le contrôle du système affecté. On ne peut connaître précisément le nombre et la nature de toutes les failles corrigées puisque Adobe affirme dans son bulletin de sécurité qu'« en plus, cette mise à jour résout des problèmes qu'Adobe a découvert en interne ». Ça leur permet leur permet ainsi de minorer le nombre de failles divulguées auprès du grand public comme tous les éditeurs de logiciels propriétaires qui cependant ne le reconnaissent pas tous.

Pour mettre à jour Adobe Reader, allez dans le menu « Aide » puis « Rechercher les mises à jour… ». Pour Adobe Reader 9, c'est la version 9.1.2 qui est disponible.

mercredi 3 juin 2009

Mise à jour de sécurité de Quicktime Player

Apple sort une version 7.6.2 de Quicktime, son lecteur multimédia, qui colmate 10 failles de sécurité. La mise à jour est nécessaire car il y a de gros risques d'exécution de code arbitraire. Cette alerte concerne Mac OS X et Windows.

Sources et références

samedi 16 mai 2009

Deux failles de sécurité critiques corrigées dans Adobe Reader

Pour ceux qui n'auraient pas changé de lecteur PDF suite aux recommandations émises lors de la divulgation de la dernière faille de sécurité critique affectant les produits d'Adobe, l'éditeur vient de sortir des mises à jour. Il est évidemment recommandé de mettre à niveau son logiciel. Pour télécharger la dernière version d'Adobe Reader, dans l'application, allez dans le menu « Aide » puis « Rechercher les mises à jour… ». Pour Adobe Reader 9, c'est la version 9.1.1 qui est disponible.

jeudi 30 avril 2009

Failles dans Adobe Reader : changer de lecteur de PDF

Adobe a reconnu l'existence de deux vulnérabilités hautement critiques dans toutes les versions de son logiciel Adobe Reader pour toutes les plateformes. David Lenoe, sur le blog Adobe Product Security Incident Response Team (PSIRT), recommande de désactiver le JavaScript dans Adobe Reader tant qu'il n'y aura pas de version corrigeant ces failles. Aucune date n'est fournie pour cette mise à jour.

  1. Lancer Adobe Reader
  2. Aller dans le menu « Édition »
  3. Cliquer sur « Préférences »
  4. Choisir la catégorie « JavaScript »
  5. Décocher l'option « Activer Acrobat JavaScript »
  6. Cliquer sur « OK ».

Mikko Hypponen, directeur des laboratoires de recherche de l'éditeur F-Secure, déconseille l'usage d'Adobe Reader. La recrudescence des attaques contre le lecteur de PDF est telle qu'il convient d'en changer.

Selon les statistiques de F-Secure, le nombre d'attaques ayant recours à l'utilisation du format PDF a été multiplié par 20 en un an. L'éditeur a recensé 2 305 fichiers infectés du 1er janvier au 15 avril 2009, contre seulement 128 l'an dernier à la même période. Un grand nombre d'attaques consiste à envoyer par e-mail en pièces jointes des fichiers PDF infectés ayant pour objectif le vol d'informations par une porte dérobée.

Sur PDFreaders.org, on trouve la liste des lecteurs de PDF libres. Personnellement, j'utilise Foxit Reader qui n'est pas libre mais gratuit. Il est beaucoup moins lourd qu'Adobe Reader et fait bien ce pourquoi il fait. Il dispose d'un plugin pour Firefox.

Ce n'est pas que ces lecteurs ne puissent pas être victimes de failles et même de fichiers PDF piégés adaptés pour eux depuis les failles découvertes dans l'Adobe Reader, mais que la probabilité de tomber sur un tel fichier est extrêmement moindre. Les auteurs de malwares cherchent la rentabilité pour leur créature. La diversité des lecteurs et leur faible part de marché respective sont un bon rempart contre l'exploitation des failles de sécurité des lecteurs PDF.

lundi 30 juillet 2007

Contournement provisoire de la faille affectant Mozilla Firefox 2.0.0.5 et Netscape 9 bêta 2

Le CERTA a publié un bulletin d'alerte concernant Firefox 2.0.0.5 et Netscape 9 (9b2 basé sur Firefox 2.0.0.4) concernant la faille partiellement corrigé par Firefox 2.0.0.5. Il donne comme solution provisoire de contournement :

5.1 Pour les utilisateurs

Le contournement provisoire consiste à désactiver l'appel par Mozilla Firefox d'applications externes pour mettre en œuvre certains protocoles.

  • dans la barre d'adresse de Firefox, taper about:config ;
  • dans le filtre, taper protocol pour obtenir la liste des options utiles ;
  • mettre les valeurs network.protocol-handler.external.XX (eg. network.protocol-handler.external.snews) ainsi que network.protocol-handler.external-default à "false" en double cliquant dessus ;

Un autre contournement moins contraignant consiste à forcer l'affichage d'avertissements en fixant les champs network.protocol-handler.warn-external.XX à "true".

Le CERTA rappelle également l'importance de vérifier les liens, de cliquer avec précaution, ou de taper manuellement l'adresse. Il est aussi recommandé de lancer le navigateur avec un utilisateur disposant de privilèges limités.

5.2 Pour les administrateurs

Adapter les règles de filtrage de contenu, en bloquant par exemple les chaînes de caractères mailto:%00, news:%00, nntp:%00, snews:%00 et telnet:%00.