avril 1st, 2010

Après la démonstration de hack du Dect (oh combien technique et difficilement réalisable sans microscope à balayage), voici un autre type de pêche à l’information, bien plus facile et qui peut rapporter gros : la pêche à la photocopieuse. Article généralement placé en « location bail » ou en location pure, le photocopieur achève souvent ses jours revendu aux enchères, sans toujours passer par les mains expertes et prudentes de professionnels. Si ce détail était relativement secondaire il y a une dizaine d’années, la chose devient de plus en plus critique de nos jours, ces appareils intégrant de plus en plus des disques durs contenant des années d’archives, d’images de documents copiés. C’est un quotidien Canadien non spécialisé, le Star de Toronto, qui s’en émeut. Tous les photocopieurs ne finissent pas à la casse, et même les modèles utilisant un mécanisme de chiffrement sont susceptibles de devenir très bavards sous la torture d’un bon hacker. Ceci sans omettre le fait qu’une « Xerox » moderne est aussi généralement un périphérique pouvant être raccordé à un réseau, avec les risques d’intrusion que cela comporte.

Un seul serait mortel, pour I.E. 6 et 7. Les rustines « out of band » concernent généralement les failles ayant fait l’objet d’une publication d’exploit et d’une utilisation active par des malwares… ce qui est précisément le cas de l’alerte 981374. Alerte qui, par la magie des transmutations des failles en rustine, prend l’immatriculation MS10-018. Comme il s’agit d’un problème affectant Internet Explorer, l’un des maillons les plus prolifiques dans la chaine de production de bugs Microsoft, l’équipe du MSRC prévient ses lecteurs qu’elle en a profité pour caser dans le lot neufs autres correctifs de moindre criticité qui étaient initialement attendus pour la livraison du 13 avril prochain.

Le « bug mortel » ne concerne que les éditions 6 et 7 du navigateur. Cependant, puisque d’autres correctifs colmatent des trous de sécurité I.E.8, MS10-018 concerne absolument tout le monde.

A lire à ce sujet le papier de Craig Schmugar de l’Avert, qui dresse quelques statistiques précisément sur la présence détectée de la CVE-2010-0806, celle-là même qui est colmatée par la rustine en question. Le moins que l’on puisse dire, c’est que le danger n’est pas nul.

Ce Patch Tuesday hors calendrier pour Microsoft semble avoir déclenché une véritable épidémie. Le Sun Developer Network signale l’existence d’une nouvelle version de Java répondant au nom transparent de 1.6.0_19-b04 (b signifiant « build » nous précise le bulletin).

Chez Apple, le nombre de défauts que corrige Mac OS X v10.6.3 est tel qu’il faudrait un roman pour les décrire tous. Les versions stables sont disponibles sur le site de l’éditeur, et trois articles de la base de connaissance fournissent quelques très maigres informations.

VMware, de son côté, émet trois bulletins d’alertes. L’un d’eux est entièrement nouveau, il s’agit du VMSA-2010-0005 portant sur Virtual Center 2.5 et 2.0.2, VMware Server 2.0.2 et 1.0.10, ainsi que ESX 3.5 et 3.0.3. Deux autres bulletins plus anciens ont été mis à jour, les VMSA-2009-0016.5 et VMSA-2010-0002.1. Bonne semaine pour les responsables de déploiement de patchs.