Le CERT-XMCO recommande l’installation du correctif MS10-026 proposé par Microsoft. Un code d’exploitation permettant de prendre le contrôle d’un système via la vulnérabilité corrigée a en effet été publié.
Résumé des évènements majeurs
Vulnérabilités :
Plusieurs vulnérabilités ont été découvertes au cours de cette semaine au sein de F-Secure Blacklist, de Windows, de Java et enfin d’Adobe Coldfusion.
Correctifs :
De nombreux correctifs ont été publiés pour les logiciels suivant : QuickTime, XEN, Novell eDirectory, Check Point Security Management, Symantec Veritas, Firefox, Thunderbird, SeaMonkey, RealPlayer, Solaris, RSA Adaptive Authentication, et enfin RoundCube.
Exploit :
Un code d’exploitation a été ajouté au sein du framework d’exploitation Metasploit. Celui-ci permet de prendre le contrôle d’un système Windows via une faille de sécurité au sein de Windows Media Player. Un pirate n’a qu’à inciter un internaute à visiter une page spécialement conçue pour cela. Cette vulnérabilité a été corrigée par Microsoft dans le bulletin MS10-026.
Un autre code d’exploitation permettant de prendre le contrôle d’un système a été publié au sein de Metasploit. En envoyant une requête spécialement conçue vers un serveur web hébergeant une application reposant sur le framework Apache Struts, un pirate est en mesure de contourner certaines restrictions de sécurité afin d’exécuter des commandes Java arbitraires, et de prendre le contrôle complet du système.
Conférence / Recherche :
Dans le cadre de la conférence Crypto 2011, des chercheurs ont présenté leur fruit de leur travail : une attaque sur l’algorithme de chiffrement AES réduisant la complexité d’une attaque. Schématiquement, cette attaque revient à réduire de 2 bits la longueur d’une clef de chiffrement : ainsi, lorsqu’un utilisateur chiffre des données avec une clef de 128 bits, la sécurité offerte par l’algorithme est en réalité la même que celle offerte par une clef de 126 bits. Cette attaque, bien qu’elle soit très importante en terme de cryptographie et de recherche, ne diminue pour ainsi dire pas la sécurité offerte par AES. En effet, même en bénéficiant de ce travail de recherche, un temps infini à l’échelle humaine serait toujours nécessaire pour obtenir le clair correspondant à un chiffré par une attaque de force brute…
Entreprises :
En étudiant le firmware proposé par Dell pour sa solution DRAC 6, un chercheur a découvert un compte utilisateur « user1 » et son mot de passe « user1234 ». Le chercheur a tout d’abord craint une porte dérobée, mais Dell a rapidement réagi afin de clarifier la situation : ce compte ne serait pas accessible à distance.
Enfin, nous vous rappelons que vous pouvez suivre l’actualité de la sécurité en retrouvant le CERT-XMCO sur Twitter : http://twitter.com/certxmco
