septembre 10th, 2010

Secunia vient d’annoncer l’entrée en phase « beta marketing » de son logiciel d’inventaire de failles PSI 2.0 (personnal software inspector). La première édition était déjà une bénédiction pour qui ne souhaite pas passer du temps à chasser la mise à jour ou traquer le correctif sauvage, puisqu’en regard de chaque vulnérabilité détectée et listée, le programme affichait l’URL salvatrice de l’éditeur concerné.

Avec l’édition 2.0, 90% des rustines sont appliquées automatiquement, sans que l’usager n’ait même à donner son aval ou naviguer dans les méandres de la section Download de la section Support de la sous-branche Security de l’alinéa Advisories du site secondaire Response_team dépendant de la page Software elle-même inféodée à la section Products du Web de l’éditeur frappé par une malédiction. Lors de nos essais, seul Adobe (bis repetita placent) exige une opération manuelle, pour des raisons de conflit probable entre les deux mécanismes de mise à jour automatique. Précisons que cet automatisme dans l’application des rustines peut être désactivé. PSI, sorte de « WSUS du pauvre » mériterait de figurer au nombre des logiciels intégrés de manière native au sein de toutes les éditions de Windows, serveurs autonomes y compris. Car PSI, logiciel gratuit théoriquement réservé aux particuliers, ne renâcle pas devant un noyau 2008, qu’il soit professionnel (2008 R2 standard edition) ou familial (Vail, alias Windows Home Server).

PSI 2.0 Beta occupe 19 Mo en mémoire et son impact CPU est indécelable sous Ressource Monitor lorsque qu’aucune opération de mise à niveau n’est exécutée.

Elle a tout pour plaire, cette faille Acrobat /Acrobat Reader : à la fois critique et dans la nature, exploitée « in the wild » par une campagne email ayant pour sujet « David Leadbetter’s One Point Lesson ». Lequel email contient un fichier pdf forgé qui ne fait réagir, à l’heure où nous rédigeons ces lignes, que 30 % des antivirus. La pétanque, le football et l’art de savamment cuisiner une choucroute garnie ou un tournedos Rossini étant, chez les Français, des sujets de passion un peu plus importants que de jouer au golf, ladite attaque aura probablement peu d’impact en dehors des sombres ghettos du triangle Auteuil-Neuilly-Passy. Car le monsieur Leadbetter en question est un spécialiste du jet de balles blanche sur des pelouses trouées. Le fait que cette attaque soit totalement nouvelle et donc pour l’heure non corrigée a justifié l’émission d’un communiqué de la part d’Adobe. Cette alerte sans rustine remercie au passage Mila Parkour du blog Contagio Dump pour la découverte de l’attaque, et assure que ses équipes font leur possible pour colmater cette brèche.

Mais l’art de lancer une balle dans un trou avec un bâton, très à la mode Outre Manche et Outre Atlantique, déclenche donc au-delà des mers une vague d’articles inquiets. Un cri du Sans, un grondement sur Security News, une dépêche télégraphique sur le web du Danois Secunia rappellent que ce trou ne doit pas être pris à la légère. Xiao Chen de l’Avert Lab précise que, à l’instar d’un autre exploit visant une faille de gestion du format Tiff (une fois encore dans un code Adobe), cette attaque utilise une technique ROP pour contourner les mécanismes de protection DEP.

Il existe pourtant deux mesures de contournement totalement passées sous silence par Adobe. La première consiste à ne plus utiliser Acrobat Reader et adopter Foxit ou Nitro. L’autre mesure consiste à craindre comme la peste tout ce qui touche au golf pour mieux s’en tenir éloigné, en se plongeant par exemple dans de saines et édifiantes lectures… celles de Jean Ray notamment pour qui cette histoire de ROP diabolique aurait probablement été source d’inspiration.

Tout Brucon en Video. C’est sur Vimeo. A regarder dans la pénombre, une Gueuse à la main et un portable sur les genoux… on s’y croirait

Wifi gratuit chez Starbuck ? Avec une « replay attack » suggérée par Robert Graham d’Errata Security à propos de la requête secrète « whisper » qu’émettent les iphone, ipod et autres ipad en prolegomènes à tout trafic WiFi.