40 CVE, 17 bulletins et correctifs,2 trous considérés comme critiques par les équipes du MSRC, 5 selon le Sans . Sans oublier le désormais traditionnel indice d’exploitation (toutes sévérités confondues) relativement élevé ce mois-ci. Comme prévu, le quatrième et dernier ZDE (MS10-092) utilisé par le ver Stuxnet est corrigé. Le bulletin détaillé des correctifs, disponible dans les colonnes du Technet, prend des petits airs balzaciens tant sa longueur est impressionnante. L’on notera au passage les correctifs MS10-093, 94, 95, 96 et 97 qui résolvent partiellement le fameux problème du « DLL Preloading » qui permet à un attaquant de lancer un code d’attaque dans une bibliothèque dynamique sans que celle-ci soit nécessairement située sous le répertoire system32. Solution partielle donc, puisque cette faille affecte également un nombre important de logiciels tiers. Secunia tient à jour une liste des programmes connus souffrant de ce défaut, ainsi que leurs divers stades de correction. Nous attirons l’attention de nos lecteurs sur les risques de syndrome métacarpien que peut provoquer la consultation de cette page, le nombre de « scroll down » nécessaire pour atteindre le bas de la liste étant réellement astronomique… et déprimant. Achevons la tournée des trous critiques avec la faille « OpenType Font Driver » (MS10-091) qui permettrait une attaque sans que la moindre action de la part de l’utilisateur soit nécessaire (un simple browse de répertoire suffit, les fonctions de prévisualisation de Vista, Seven et 2008 font le reste), et près de 7 vulnérabilités dont une au moins est exploitée « dans la nature ».
Enfin, pour rester dans la série des grands travaux de nettoyage de l’aventure Trustworthy computing, signalons l’annonce de portage des fonctions de validation de fichiers bureautiques (doc, .xls, .ppt et .pub) sur les anciennes éditions d’Office 2003 et 2007. Le bulletin explicatif du MSRC revient en détail sur cette fonction de sécurité propre jusqu’à présent à Office 2010, fonction destinée à détecter la présence de code dangereux au sein même des fichiers de travail générés par la suite Office. Le bulletin ne précise pas à quelle date ce portage sera achevé et disponible en téléchargement (dans le cours du premier trimestre 2011).
Qu’un mot de passe par défaut soit aussi transparent que le trop répandu Admin/Admin, passe encore. Mais que le sésame en question soit « buriné dans le silicium » et impossible à changer, voilà qui fait tiquer nos confrères de Security Week. Le coupable ? Un rack de stockage fabriqué par HP, le MSA2000 G3. Certes, avant de parvenir aux portes de cette ressource, il aura fallu passer par d’autres niveaux de contrôles, d’autres systèmes, d’autres filtres de protection réseau. Mais l’histoire de l’informatique est une succession d’anecdotes qui prouvent que les défenses à la Montalembert ne sont pas toujours invulnérables, surtout si l’attaquant parvient à découvrir un chemin (VM, routeur imparfaitement sécurisé, attaque en « evil maid » sur un poste proche….) le conduisant au plus près du rack vulnérable.
Un Nmap pour plateforme Android : il s’appelle DroidMap et peut être téléchargé sur GoogleCode