http://www.secuobs.com Observatoire de la securite Internet fr webmaster@secuobs.com 2009-06-19 11:53:04 - Alerte : Les « branchés » l’attendaient avec impatience, se l’échangeait même surles canaux P2P Les utilisateurs normaux, quand à eux, l’on découvertdans le courant de la nuit du 17 au 18 juin Lui, c’est le lot decorrectifs et le firmware 30 de l’iPhone, le smartphone d’Apple Unemise à jour lourde, de plusieurs centaines de Mo, truffées defonctions nouvelles dont l’activation est laissée à la libreappréciation des opérateurs, et surtout corrigeant un nombreconséquent de failles de sécurité http://www.secuobs.com/revue/news/111503.shtmlhttp://www.secuobs.com/revue/news/111503.shtml Secuobs.com : 2009-06-16 16:20:05 - Alerte - La nouvelle version du navigateur porte le matricule 3011 et ferme laporte à 11 vulnérabilités Il faut avouer qu’après le « patch Tuesday» pléthorique que nous ont offert à la fois Microsoft, Apple et Adobeau milieu de la semaine passée, l’on pourrait presque ne pas remarquercette série de rustines pourtant bien fournie Bien fournie etnécessitant, précise la Fondation, une mise à niveau si possiblerapide, compte tenu de la dangerosité et des possibilitésd’exploitation probables http://www.secuobs.com/revue/news/110232.shtmlhttp://www.secuobs.com/revue/news/110232.shtml Secuobs.com : 2009-06-10 10:23:43 - Alerte - L’important Patch Tuesday annoncé par Microsoft est… plus important queprévu Outre les 10 alertes déjà annoncées à l’occasion du bulletinpréliminaire, l’éditeur confirme la conclusion de deux autres vieilleschasses au bug qui s’étaient éternisées pour des raisons techniquesL’une concernait la correction d’un défaut Powerpoint sur l’éditionMacintosh d’Office 09-017 considérée comme critique, l’autreconcernait la faille WebDAV du mois dernier dont le dossier estconsidéré comme clos, conformément à ce qui est écrit dans le bulletinde sécurité 971492 http://www.secuobs.com/revue/news/107867.shtmlhttp://www.secuobs.com/revue/news/107867.shtml Secuobs.com : 2009-06-09 03:26:45 - Alerte - Tout çà tient en quelques lignes : il est conseillé de télécharger ladernière version d’iTune pour éviter de tomber dans un trou Comme decoutume, les informations techniques données par Apple sontrelativement spartiates Mais il existe déjà un fichier pourMetasploit prouvant que, parfois, il peut être utile d’acheter unantivirus pour l’installer sur un Macintosh http://www.secuobs.com/revue/news/107218.shtmlhttp://www.secuobs.com/revue/news/107218.shtml Secuobs.com : 2009-06-08 20:21:41 - Alerte - Word, Excel, Office… l’inévitable lot de failles Internet Explorer, soitau total six failles, dont deux critiques, trois importantes et unemodérée Le bulletin de pré-annonce du MSRC précise que laconsolidation de Direct-Show est encore en chantier Cettevulnérabilité constitue probablement le sujet de préoccupation le plusimportant au sein du team, car son exploitation via des fichiersQuicktime forgés a été remarquée de nombreuses fois sur InternetC’est donc une course contre la montre qu’entame l’éditeur, course quipourrait bien s’achever par la publication d’un correctif horscalendrierhttp://www.secuobs.com/revue/news/107073.shtmlhttp://www.secuobs.com/revue/news/107073.shtml Secuobs.com : 2009-05-28 13:25:24 - Alerte - Après une longue phase de pré-version, le Service Pack 2 du noyauVista/Windows Server 2008 est disponible en téléchargement, en version32 et 64 bits Comme à l’accoutumé, la prudence impose de ne validerson déploiement qu’après une période de tests de régression Fortheureusement, une partie de ces tests peuvent être effectués dans lecadre sécurisé d’une VM… problèmes d’incompatibilité avec les «couches basses » et drivers non comprishttp://www.secuobs.com/revue/news/102625.shtmlhttp://www.secuobs.com/revue/news/102625.shtml Secuobs.com : 2009-05-26 16:10:22 - Alerte - Chi va piano va sano Jusqu’à présent, Adobe essuyait le feu descritiques en raison d’une politique de correction de faille pour lemoins… nonchalante Une situation qui ne pouvait plus perdurer, comptetenu du nombre croissant de « failles Adobe » et « d’exploits Acrobat» révélés par poignées pratiquement chaque mois Un phénomène d’autantplus dangereux que ce composant, extérieur à Windows ou à OS/X, n’estpas pris en compte par le processus de correction de noyau desprincipaux éditeurs, Microsoft et AppleL’équipe de sécurité d’Adobe vient donc d’annoncer quasiofficiellement que désormais, rendez-vous sera pris tous les troismois, à l’image du Patch Tuesday Microsoftien http://www.secuobs.com/revue/news/101688.shtmlhttp://www.secuobs.com/revue/news/101688.shtml Secuobs.com : 2009-05-19 17:51:52 - Alerte - La faille, qui affecte IIS 5 et 6 les versions plus récentes ne sontpas concernées semble-t-il a été découverte par Nicolaos Rangos,lequel a publié un bulletin d’alerte tout en prévenant que le défautpermet à la fois de contourner les mécanismes d’authentification etd’injecter des données –du code- à distance Les différents Cert etSans ont immédiatement réagi –notamment le CertA, et Thierry Zoller ena tiré un article expliquant par le menu les principes généraux decette vulnérabilité http://www.secuobs.com/revue/news/98341.shtmlhttp://www.secuobs.com/revue/news/98341.shtml Secuobs.com : 2009-05-14 19:34:02 - Alerte - Petit par le nombre, colossal par son importance, étonnant par sonincohérence : le bulletin d’alerte MS09-017 que vient de publierMicrosoft n’est pas qu’un vague correctif rectifiant un défaut dePowerPoint, mais un « cumulatif » critique 14 trous de sécurité secachent derrière ce bulletin, ce qui dénote un certain espritcollectionneur Le Sans affiche un « Patch NOW » pour l’ensemble desfailles et précise que l’alerte CVE-2009-0556 est exploitée depuis le2 avril dernier A noter second point soulevé dans la « Foire AuxQuestions » dudit bulletin que les mises à jours destinées auxéditions Macintosh Microsoft Office 2004 pour Mac, Microsoft Office2008 pour Mac, Open XML File Format Converter pour Mac, MicrosoftWorks 85, Microsoft Works 90 sont toujours en cours dedéveloppement Serrons les dents et prions pour que le Dieu des Virussoit en train de prendre des vacances http://www.secuobs.com/revue/news/96406.shtmlhttp://www.secuobs.com/revue/news/96406.shtml Secuobs.com : 2009-05-12 09:12:56 - Alerte - Le mois de mai devrait-être maigre en matière de correctifs Selon lebulletin préliminaire de notification, seule une faille critiqueaffectant PowerPoint devrait bénéficier d’une rustine Cette failleconnaît au moins un exploit qui circule actuellement « dans la nature», de manière relativement restreinte, et a déjà fait l’objet d’unbulletin d’alerte le 2 juin dernierhttp://www.secuobs.com/revue/news/94806.shtmlhttp://www.secuobs.com/revue/news/94806.shtml Secuobs.com : 2009-05-07 09:52:03 - Alerte - Ce trou qui affecte Acrobat Reader aura fait parler de lui… nonseulement parce que l’alerte est sérieuse, émise par l’éditeur etcommentée par l’ensemble des spécialistes, de Qualys à F-Secure, sansoublier le très éducatif billet de Sid, mais surtout parce que, unefois n’est pas coutume, Adobe recommande de « disable JavaScript inAdobe Reader and Acrobat » http://www.secuobs.com/revue/news/93036.shtmlhttp://www.secuobs.com/revue/news/93036.shtml Secuobs.com : 2009-05-05 12:27:56 - Alerte - Une nouvelle salve de vulnérabilités affectant des produits de sécuritévient d’être tirée par Thierry Zoller L’une concerne un problème dansle traitement des fichiers CAB dans Nod32, une seconde signalediverses possibilités de contournement ou d’évasion dans la gestiondes fichiers ZIP et RAR dans différents produits McAfee,, la troisièmeest un résumé des deux précédentes évasion via RAR,ZIP,CAB, pas decorrectifs connus ou publiés dans plusieurs logiciels de TrendMicrohttp://www.secuobs.com/revue/news/92140.shtmlhttp://www.secuobs.com/revue/news/92140.shtml Secuobs.com : 2009-05-05 09:06:31 - Alerte - Deux papiers à lire, sur le blog de Thierry Zoller cette semaine Toutd’abord, une triple annonce de vulnérabilités découvertes sur AladdineSafe, Avira Antivir et Comodo Nul détail technique compromettant oudangereux, comme d’habitude de la part de ce scrupuleux chercheurL’expérience et les communications précédentes de Zoller laissentclairement entendre que ces alertes sont on ne peut plus sérieusesLe second article est accrocheur en diable et s’intitule « CherThierry, pourquoi vous comportez-vous comme un trou-du-cul arrogant » Une question posée directement au chercheur et qui lui permet derevenir de façon plus explicite sur sa politique de divulgation Sansdivulgation, plus d’aiguillon contraignant les éditeurs à faire desefforts http://www.secuobs.com/revue/news/92110.shtmlhttp://www.secuobs.com/revue/news/92110.shtml Secuobs.com : 2009-03-31 23:51:35 - Alerte - Il pleut du ZDE comme il neige en Savoie : par brassées entières Commeannoncé lors du précédent article de CNIS consacré au « Patch Tuesday» Microsoft, l´exploit Zero Day Chinois est sur le point de devenirinternational Revue de détail des vecteurs de développement etd´informationhttp://www.secuobs.com/revue/news/77636.shtmlhttp://www.secuobs.com/revue/news/77636.shtml Secuobs.com : 2009-03-31 23:51:35 - Alerte - Eclipsé par les foudroyantes annonces du ZDE IE 70 voir 6x et 80nous apprend le Sans, un tout autre zéro day touchant un produitMicrosoft était annoncé durant la journée du 11http://www.secuobs.com/revue/news/77635.shtmlhttp://www.secuobs.com/revue/news/77635.shtml Secuobs.com : 2009-03-31 23:51:35 - Alerte - Pâle copie, d’ailleurs, puisque le dernier « jour de patch » que nousoffre Apple ne compte « que » 21 trous colmatés, à comparer aux 28 30en comptant les ZDE revendiqués par Microsofthttp://www.secuobs.com/revue/news/77634.shtmlhttp://www.secuobs.com/revue/news/77634.shtml Secuobs.com : 2009-03-31 23:51:35 - Alerte - Les responsables de parc entament la semaine un peu comme ils ontterminé la précédente : dans une ambiance morose de lendemain de ZDEmal digéré Avec cependant une lueur d’espoir : il y aura, nous prometMicrosoft, un correctif « out of band » dans un délai d’autant plusproche qu’il sera d’autant moins éloigné Le rigorisme de cetteprécision étant directement dépendant des tests de régressionqu’effectuent à l’heure actuelle les laboratoires de Redmond Car ilserait malvenu que l’anti-bug s’avère aussi destructeur que le buglui-mêmehttp://www.secuobs.com/revue/news/77633.shtmlhttp://www.secuobs.com/revue/news/77633.shtml Secuobs.com : 2009-03-31 23:51:35 - Alerte - Une mise à jour importante de Safari –une édition 32 pour Mac OS X104x Tiger et Mac OS X 105 Leopard-, une nouvelle éditiontruffée de rouge avec Firefox 304 qui traîne un impressionnantcortège d’alertes CVE : cette fois, le passage aux différentesmoutures « N+1 » est plus que conseilléhttp://www.secuobs.com/revue/news/77632.shtmlhttp://www.secuobs.com/revue/news/77632.shtml Secuobs.com : 2009-03-31 23:51:35 - Alerte - Mise à niveau obligatoire : l’édition 305 de Firefox corrige une joliebrochette de trous de sécurités, donc certains font d’ores et déjàl’objet de commentaires enflammés sur la liste du Full DisclosureQuelques PoC commencent à circuler, et les mesures habituelles deprudence sont à observer Les failles colmatées sont, cettefournée-ci, au nombre de 8http://www.secuobs.com/revue/news/77631.shtmlhttp://www.secuobs.com/revue/news/77631.shtml Secuobs.com : 2009-03-31 23:51:35 - Alerte - Billet alarmiste, mais billet intéressant que celui de Micha Pekrul surle blog de l’Avert Il nous parle d’un vieux classique, DNSChanger, levecteur d’attaques qui intercepte les requêtes DHCP au vol et redirigeles requêtes dns au bon gré de ses « maîtres »http://www.secuobs.com/revue/news/77630.shtmlhttp://www.secuobs.com/revue/news/77630.shtml Secuobs.com : 2009-03-31 23:51:35 - Alerte - Battus par les flots, ils ne coulent pas Certains, pourtant, changentde navire, par mesure de précaution Ainsi, à MoFo, l’on rappellequ’après la série de correctifs récemment publiés voir articleprécédent , Firefox 2x serait retiré de la scène Cette transition,encore peu médiatisée, risque de poser un problème de sécuritécertain, tant dans le secteur grand public que professionnelhttp://www.secuobs.com/revue/news/77629.shtmlhttp://www.secuobs.com/revue/news/77629.shtml Secuobs.com : 2009-03-31 23:51:35 - Alerte - Un billet sur le blog du MSRC, une nouvelle alerte émise sur leTechNet : la faille SQL Server fait partie des failles officiellementprises en compte Signalé peu ou prou le même jourhttp://wwwcnis-magcom/fr/le-zde-sql-server-en-demi-teintes/actualitehtmlqu’a été découvert le dernier « trou IE », ce défaut aurait pu fairepartie du dernier « out of band » compte tenu du nombre désormaisimportant de preuves de faisabilité et autres exploits diffusésdepuis Fort heureusement, jusqu’à présent, aucune utilisation de cetrou par un malware n’a été constatée à ce jourhttp://www.secuobs.com/revue/news/77628.shtmlhttp://www.secuobs.com/revue/news/77628.shtml Secuobs.com : 2009-03-31 23:51:35 - Alerte - Le tout dernier lot de correctif d’Oracle colmate 9 failles critiquesdans Oracle Secure Backup, 2 dans Oracle Application Server et 5 dansWebLogic server Au total, ce ne sont pas moins de 41 failles qui sontainsi colmatées Le week-end des administrateurs et responsablesd’applications métier sera inversement proportionnel aux températuresnormales saisonnières http://www.secuobs.com/revue/news/77627.shtmlhttp://www.secuobs.com/revue/news/77627.shtml Secuobs.com : 2009-03-31 23:51:35 - Alerte - Gene Spafford, Chef Sécurité, spécialiste de la recherche de preuvesinformatiques et du contre-espionnage de l’Université de Purdue,blogue un billet de mécontentement à propos de son dernier cadeau denoël : un couple de lecteurs Samsung « Blue Ray » Des bijoux detechnologie, des tourne-disques des temps modernes qui nécessitent unaccès Internet, tant pour diverses fonctions liées aux loisirsinteractifs que pour… les mises à jour de firmware Car il y a del’intelligence à revendre, dans ces produits bruns Quelques joursaprès les premières mises en service, l’un des appareils tombe enpanne, pour une raison totalement inconnue Le SAV Samsung attendencore, semble-t-il, certaines pièces de rechange Spafford n’en acure, et se rabat sur le lecteur Numéro Deux Lequel, dès sa mise soustension, augmente brusquement celle de son propriétaire en réclamantune « mise à niveau » L’expert en techno-catastrophe, spécialiste duclose-combat contre les Service Pack et instructeur-démineurspécialiste des bugs-dans-les-correctifs-de-bugs, décide detemporiser, d’attendre quelques semaines…http://www.secuobs.com/revue/news/77626.shtmlhttp://www.secuobs.com/revue/news/77626.shtml Secuobs.com : 2009-03-31 23:51:35 - Alerte - Les forums bruissent de ses effets, les éditeurs d’AV et les centresde veille sécurité ne cessent de tirer le signal d’alarme : le verDownadup/Conficker, qui se propage via la faille signalée dans lebulletin MS08-067, provoque des crises d’urticaire à tous les adminsréseau d’entreprise L’un des premiers effets de cette infection estde… bloquer les comptes utilisateurs si une politique de sécuritévérifie le nombre de tentatives de login infructueuses C’est lepremier « effet de bord » de Downadup, puisque ce dernier lance uneattaque « brute force » de recherche de mot de passe http://www.secuobs.com/revue/news/77625.shtmlhttp://www.secuobs.com/revue/news/77625.shtml Secuobs.com : 2009-03-31 23:51:35 - Alerte - Le bulletin porte le numéro MS09-001 et la qualification de « critique» Ce premier correctif publié par Microsoft en ce début d’année est àla fois unique et triple, car ce seul bouchon colmate 3 faillesdifférentes, toutes affectant le protocole SMB Deux d’entre-ellesCVE-2008-4834, CVE-2008-4114 sont susceptibles d’attaques en bufferoverflow –la seconde n’ouvre qu’un simple déni de service-, ladernière CVE-2008-4835 permettrait une exécution de code à distance…http://www.secuobs.com/revue/news/77624.shtmlhttp://www.secuobs.com/revue/news/77624.shtml Secuobs.com : 2009-03-31 23:51:35 - Alerte - Annoncé la semaine dernière, le « patch Tuesday » d’Oracle est désormaisofficiellement documenté et détaillé sur le site de l’équipementierCette CPU massive compte 10 correctifs SGBD, 9 patchs pour le SecureBackup, 1 bouchon pour le TimesTen Data Server, 4 mises à niveau del’Application Server, une seule pour la Collaboration Suite, 4 autrespour la E-Business Suite, une seule pour l’Enterprise Manager, 6 pourPeopleSoft Enterprise et EnterpriseOne et 5 pour BEA http://www.secuobs.com/revue/news/77623.shtmlhttp://www.secuobs.com/revue/news/77623.shtml Secuobs.com : 2009-03-31 23:51:35 - Alerte - Downadup Il est vraiment très gros titre le dernier billet deF-Secure Ses chercheurs ont tenté d’estimer le taux d’infection payspar pays, en observant les dialogues que le virus tente d’établir avecses serveurs de mise à jour Au total, 2,4 millions d’infections ontété répertoriées dans le monde… un chiffre très parcellaire, estimeMikko Hyppönen, la réalité étant probablement bien plus élevée Rienqu’en Chine, le nombre d’IP résonnant aux accents de Downadup dépasseles 38 000 38 000 entreprises, reprend Toni Koivunen du Response Teamde F-Secure…http://www.secuobs.com/revue/news/77622.shtmlhttp://www.secuobs.com/revue/news/77622.shtml Secuobs.com : 2009-03-31 23:51:35 - Alerte - Certaines semaines s’achèvent dans le calme et la béatitude Certainesseulement Conflicker/downadup, que l’on sait réellement empoisonnant,réserve encore quelques surprises Désagréables bien entendu F-Securecontinue son analyse de la situationhttp://wwwf-securecom/weblog/archives/00001580html etcomptabilisait mercredi dernier 3,5 millions d’IP uniques infectées 1million de plus que la veille La situation est grave mais pasdésespéréeDans les labos de l’Avert, on dissèque du virus –toujours le même-pour s’apercevoir que ces tripes sont farcies de ruby http://www.secuobs.com/revue/news/77621.shtmlhttp://www.secuobs.com/revue/news/77621.shtml Secuobs.com : 2009-03-31 23:51:35 - Alerte - Dans un superbe ensemble, les principaux chasseurs de virus publientleur programme d’éradication Downadup Voilà qui est rassurant Las,le logiciel salvateur est généralement inaccessible Inaccessible carl’une des premières précautions que prend le virus au moment où ils’installe est de bannir tout appel dns en direction des domaines deséditeurs Microsoft, F-Secure, avp, McAfee, Symantec…au total, prèsd’une soixantaine de sites « interdits » par Conficker http://www.secuobs.com/revue/news/77620.shtmlhttp://www.secuobs.com/revue/news/77620.shtml Secuobs.com : 2009-03-31 23:51:35 - Alerte - Les alertes de sécurité se suivent, d’éditeur en équipementier, avec lamême régularité et le même étiage Apple n’annonce que deux correctifsconcernant Quicktime et son lecteur MPeg 2 Il est à noter que cedéfaut Quicktime est en fait un « cumulatif » qui corrige près de 7vulnérabilités différentes, et concerne indifféremment les versionsOS/X et Windows http://www.secuobs.com/revue/news/77619.shtmlhttp://www.secuobs.com/revue/news/77619.shtml Secuobs.com : 2009-03-31 23:51:35 - Alerte - C’est pourtant simple,les conseils prodigués par Microsoft poursupprimer la fonction Autorun de Windows –celle par qui le virusDownadup se propage- ne fonctionnent pas parfaitement C’est notreprocédure qu’il faut suivre, dit en substance le Cert US au fil d’unarticle explicatif fortement illustré Et la recette du Cert estradicale, puisque l’opération consiste à bloquer cette fonctionAutorun directement à partir de la base de registre http://www.secuobs.com/revue/news/77618.shtmlhttp://www.secuobs.com/revue/news/77618.shtml Secuobs.com : 2009-03-31 23:51:35 - Alerte - Encore une nouvelle version, immatriculée 306 Cette édition deFirefox corrige 6 failles d’une importance relativement faible Lebulletin d’alerte générale précise qu’un seul de ces défauts peut êtreconsidéré comme critique : c’est l’avis 2009-01, un crash du programmequi semble provoqué par une corruption de la mémoire http://www.secuobs.com/revue/news/77617.shtmlhttp://www.secuobs.com/revue/news/77617.shtml Secuobs.com : 2009-03-31 23:51:35 - Alerte - Ce sera le mois du « lourd » chez Microsoft nous prévient le MSRC Leprochain Mardi des Rustines, nous promet le bulletin prévisionnel deFévrier, comprendra deux bouchons colmatant des défauts jugés «critiques » et deux autres estimés « important » Dans le lot, lepremier correctif « critique » concerne le serveur de messagerieExchange Server Il est accompagné d’un patch important pour SQLServer A ceci l’on doit ajouter un défaut Visio et l’incontournable,l’inévitable bouche-trou IE –c’est d’ailleurs le second bulletinqualifié de critique http://www.secuobs.com/revue/news/77616.shtmlhttp://www.secuobs.com/revue/news/77616.shtml Secuobs.com : 2009-03-31 23:51:35 - Alerte - Pas de « bug surprise » ni d’amplification de dangerosité : le « patchTuesday » de Microsoft s’est déroulé comme prévu, avec ses 4 «bouchons » dont deux qualifiés de critique, colmatant 8 failles autotal Soit, dans l’ordre, deux failles colmatées dans IE 7 à l’aidede la MS09-002, une paire de trous dans Exchange bouchés grâce à la09-003, un risque d’exploitation distante de SQL Server –mais exigeantune authentification-, et un risque d’exploitation distante passantpar une inconsistance Visio A noter que la vulnérabilité SQL Server afait l’objet d’un exploit rendu public et que le patch Visio « annuleet remplace » le bulletin MS08-019http://www.secuobs.com/revue/news/77615.shtmlhttp://www.secuobs.com/revue/news/77615.shtml Secuobs.com : 2009-03-31 23:51:35 - Alerte - … pas un seul, mais 50 Qui vont de la vulnérabilité OS/X àl’instabilité Java affectant ainsi aussi bien la version Mac queWindows de Safari L’histoire de la découverte d’un des bugs Safari–lié au feed RSS- est d’ailleurs racontée par le menu par BrianMastenbrook, son inventeur L’on y découvre –mais est-ce vraiment unedécouverte- l’extraordinaire force d’inertie qui caractérise leResponse Team d’Applehttp://www.secuobs.com/revue/news/77614.shtmlhttp://www.secuobs.com/revue/news/77614.shtml Secuobs.com : 2009-03-31 23:51:35 - Alerte - Elle est « critique » nous affirme l’éditeur, et touche indifféremmentAdobe Reader et Acrobat Et en plus, elle ouvre une backdoor quiservira à asservir la machine victime, nous certifie l’Avert LabC’est par le biais d’un document PDF forgé que des black hats peuventparvenir à injecter un Troyen relativement néfaste Shadowserver, poursa part, préfère insister sur la seule parade applicable pourl’instant http://www.secuobs.com/revue/news/77613.shtmlhttp://www.secuobs.com/revue/news/77613.shtml