mars 11th, 2011

Qui a volé le portefeuille de Joanna Rutkowska? Le petit monde de la sécurité est sur les dents et s’attend à être inondé de fausses pilules bleues compilées par des « virtual canadian pharmacy »

John Larimer de la Xforce publie une analyse technique très détaillée du malware Rootcager affectant les versions d’Android « d’avant le patch »

C’est la société Française Vupen qui, en 5 secondes rapportent nos confrères d’Ars Technica, est parvenue à exploiter un Safari 5.0.3 installé sur un OS X 10.6.6 entièrement « patché ». Le communiqué de victoire.

C’est l’Irlandais Stephen Fewer qui est parvenu à faire tomber I.E.8 installé sur un Windows 7 SP1 64 bits. Pour ce faire, il lui a fallu faire appel à 3 exploits différents : deux pour parvenir à exécuter un programme depuis le navigateur (le jeu consistant à exécuter Calc.exe et à écrire des données sur le disque local) et un troisième pour échapper au confinement de la sandbox du « mode protégé »… Trois exploits… c’est exactement le même nombre de ZDE qu’il a fallu pour concevoir Stuxnet. Voilà qui relativise certaines idées sur les « moyens colossaux » mis en œuvre par cette attaque Scada.

Chrome n’est pas tombé ce jour-là… certains de nos confrères y voient la conséquence du correctif de dernière minute provoqué par les révélations de Jon Oberheide. Voilà qui est possible mais peu probable. La rédaction d’un exploit fonctionnel est un travail nécessitant parfois beaucoup de temps. Il se peut en revanche que le trou visé ait fait l’objet d’un précédent correctif lors de la dernière vague de livraison de bouchons destinés à Safari et iTunes.

Pour l’heure, il ne s’agirait que de quelques cas isolés visant des groupes sociaux… une sorte de guéguerre entre hacktivistes de divers camps : la faille MHTML serait actuellement exploitée dans le cadre d’attaque en détournement d’usager vers des pages « infectées ». Rappelons que cette faille a fait l’objet d’un « fix-it » préventif en l’attente d’un correctif plus universel et moins bloquant. Les « fix-it » sont généralement des scripts de désactivation de fonction, assimilables à des « mesures de mitigation » automatisées et provisoires. Ce ne sont en aucun cas des correctifs de code.

Microsoft, par tradition et par nécessité technique, n’émet son traditionnel « cumulatif I.E. » qu’à l’occasion des mois pairs –ceci bien entendu en l’absence de mesures urgentes nécessitant la publication d’un bouchon « out of band »-. Ce laps de temps est nécessaire en raison des procédures de tests de régression relativement lourdes et complexes. Comme c’est actuellement le cas pour la faille MHTML, et en l’absence d’exploitation significative du bug, le bouchon ne devrait pas être émis avant le 12 avril prochain.