mai 12th, 2010

Le traditionnel mardi des rustines qui unit en une fraternité correctrice Microsoft et Acrobat fera ce mois-ci parler de lui longtemps. Pourtant, chez Microsoft, le bulletin récapitulatif du mois de mai ne compte que deux rustines, mais deux rustines dont le niveau de criticité est élevé. Il s’agit en premier lieu de la MS10-030, faille Outlook Express/Windows mail découverte par le canadien Francis Provencher, et qui affecte toutes les éditions de ces programmes, de XP à 2008 R2 Server. La seconde faille est encore bien plus ennuyeuse, car il s’agit d’un problème touchant VBA, le Visual Basic for Application intégré (entre autres programmes) dans Office 2003 et 2007. Comme VBA est également utilisé par une multitude de logiciels « tiers », l’on risque d’entendre l’écho de ce défaut durant quelques mois encore.

Chez Adobe, c’est une tradition, les informations sur les failles découvertes brillent par leur absence. Mais l’on ne peut toutefois ignorer les quelques 18 CVE corrigées par ce bouchon gargantuesque destiné à Shockwave, et concernant aussi bien les utilisateurs de Windows que ceux d’OS/X. Ce plugin Shockwave étant parfois installé à l’insu des utilisateurs, il est utile de tester sa présence et sa version grâce à la page de test accessible sur le site Adobe.

« Cet exploit passe inaperçu aux yeux de tous les antivirus les plus connus » pensent les chercheurs de Matousec. Surnommé le « tremblement de terre des logiciels de sécurité Windows », ce programme fonctionne de manière plutôt simple, et reposant une fois de plus (c’est là une marotte de Matousec) sur les « kernels mode driver ».

Lors de chaque appel en lecture ou écriture, un programme (et par conséquent un virus) fait un appel au noyau qui est nécessairement inspecté par un antivirus. Le virus Matousec, lui, n’envoie pas un, mais deux appels, l’un sain, qui jouera le rôle de chèvre vis-à-vis du logiciel de protection, l’autre infectieux, mais expédié avec un léger retard par rapport au premier, et en utilisant un thread parallèle. Grâce à ce « double effet kiss-cool », en langage technique, une attaque en « race condition », la charge virale ne craint rien, même si son pedigree est théoriquement répertorié dans la base de signature de l’A.V.. Selon les chercheurs, ce Khobe-là fonctionnerait sur toutes les plateformes Windows, et n’aurait pour l’heure pas encore connu d’adversaire à sa taille.

*NdlC Note de la Correctrice : encore un jeu de mot aussi lamentable et je rends mon tablier !

Signalé par Secunia et découvert par Krystian Koskowski, cette faille dans la gestion de la fermeture d’une fenêtre de navigation « parente » a fait l’objet d’une preuve de faisabilité. Compte tenu de la dangerosité de cette faille (exploitable dans le cadre d’une attaque distante via une page Web forgée), le Cert US recommande aux usagers de Safari de désactiver JavaScript, au moins temporairement. Le défaut ne semble pas, pour l’heure, exploité de façon active par le moindre malware.

Le décalogue de la sécurité réseau, par Leon Ward : simples à comprendre… parfois complexes à mettre en œuvre.

Chris John Riley, sur son blog C22, offre une sorte de « manuel de survie dans la jungle des alertes CVE ».Que les pentesteurs se le disent !