Avis d'expert : semaine du 1 au 7 août 2011

Le CERT-XMCO ne note aucun événement particulier à retenir cette semaine.

Résumé des évènements majeurs :

Vulnérabilités :

Plusieurs failles de sécurité ont été découvertes cette semaine. Parmi les logiciels concernés figurent NginX et le processus CSRSS de Windows.

Correctifs :

Google a publié un correctif pour son système d’exploitation Android, ainsi qu’une mise à jour de 26 failles de sécurité dans le navigateur Google Chrome.

De nombreux autres correctifs ont également été publiés sur les logiciels suivant : Bugzilla, Zabbix, Telligent Community Server, Quick Time, HP Web OS et IBM System Storage.

Exploit :

Plusieurs preuves de concept permettant de prendre le contrôle d’un système ont été publiées au sein du framework d’exploitation Metasploit. Celles-ci exploitent notamment une erreur de gestion d’objet dans Firefox et une vulnérabilité dans le traitement des fichiers de type SVG sous Windows.

Une preuve de concept exploitant la vulnérabilité MS11-056 sous Windows XP a également été publiée, ainsi qu’un code en Java permettant de mener une attaque de type « Cross-Site Scripting » (XSS) sous le système d’exploitation Android.

Conférence / Recherche :

Lors de la conférence Black Hat, Microsoft a lancé un concours nommé Blue Hat Prize, proposant 250 000$ offerts à la personne trouvant une nouvelle solution contre les exploitations sous Windows. Facebook commence également son programme de rémunération de 500$ par faille critique découverte sur le réseau social.

D’après Armorize, plus de 3 millions de pages de sites web utilisant le CMS osCommerce étaient infectées au 31 juillet 2011. Ces sites auraient été contaminés grâce à 3 failles de sécurité présente dans les anciennes versions.

Dans un rapport publié par Lookout Mobile Security, on apprend que plus de 500 000 utilisateurs du système Android auraient des applications malveillantes installées.

Cybercriminalité / Attaques :

La société McAfee a déclaré que l’ONU et plusieurs autres organisations gouvernementales avaient été victimes d’espionnage informatique. Ce serait 72 organisations qui auraient été victimes de cyberattaques durant ces 5 dernières années.

Durant la période de décembre 2010 à août 2011, Cisco a fourni des CD de garantie contenant une référence en direction d’un site tiers connu pour distribuer des logiciels malveillants.

Juridique :

Jack Davis, le porte-parole présumé du groupe LulzSec et auteur présumé de l’attaque du site Internet du bureau britannique des affaires criminelles, a été remis en liberté par un juge britannique.

Enfin, nous vous rappelons que vous pouvez suivre l’actualité de la sécurité en retrouvant le CERT-XMCO sur Twitter : http://twitter.com/certxmco

Adrien Guinault

Découvrir d'autres articles