septembre 29th, 2010

Microsoft vient de publier un correctif « out of band » référencé MS10-070 et commenté dans la foulée sur le blog du MSRC. 10-070 est un « petit bug ». Il n’est pas exploitable à distance (exploitable dans le sens de « capable d’injecter un exploit »), ne peut provoquer le moindre déni de service… à tel point qu’il n’obtient qu’un petit « jaune » dans l’échelle des couleurs graduant la dangerosité des failles. Mais…

…Mais 10-070 est un enfant vicieux. Il affecte tous les .NET Framework 3.5 Service Pack 1 et au-delà, et pourrait permettre à un attaquant de récupérer tout fichier situé dans une application ASP.Net… y compris les fichiers de configuration Web, précise l’alerte Microsoftienne. En d’autres termes, 01-070 ne fournit pas la dynamite pour faire sauter le coffre, il offre tout simplement les plans de la banque, l’heure des rondes des gardiens, la position des caméras de surveillance et une indication précise de ce que contient le coffre.

La recommandation des principaux gourous est « patchez immédiatement, n’attendez pas le prochain cycle de test de non-régression ». Les amoureux des mécanismes tordus et des tests poussés d’intrusion peuvent se reporter à l’exposé de MM Duong et Rizzo pour comprendre ce que sont ces mystérieuses « padding oracles attacks » que mentionne le bulletin MS.

Didier Stevens est l’auteur d’un petit opuscule de 23 pages consacré à l’analyse des fichiers PDF compromis. A lire notamment par les organisateurs en mal de concours …