septembre 16th, 2011

La semaine passée, le « hacker de Comodo » avait affirmé publiquement avoir compromis, outre les serveurs de Diginotar, quatre autres C.A. dont Globalsign. Cette dernière avait immédiatement cessé toute opération et immédiatement entamé un audit de ses services. « Nous reprenons nos activités » déclarait ce mardi soir le vendeur de certificats, qui précise que la seule intrusion constatée était celle de sa vitrine Web, qui est, nous assure-t-on, totalement isolée de l’infrastructure consacrée à la fabrication et à la délivrance des certificats.

Le Sans, pour sa part, fait remarquer qu’il serait imprudent, pour les clients de Globalsign, d’abandonner leur ancien fournisseur de service tant que l’on ne connaît pas l’identité des trois autres CA compromises. En effet, même si les revendications de DocomoHacker sont un peu exagérées semble-t-il, elles sont confirmées par les constatations nées de l’audit de Globalsign, et tendraient à confirmer la véracité des dires du pirate. Quitter ce fournisseur, explique Swa Frantzen dans le « journal » du Sans, ce serait risquer de tomber entre les mains d’une CA compromise mais dont personne (surtout pas le CA en question) ne soupçonne la vulnérabilité.

5 rustines, 15 vulnérabilités : le mardi des rustines de la rentrée est relativement calme. Calme relatif toutefois, puisque les correctifs MS11-071 et MS11-074 doivent si possible être appliqués avec rapidité, les failles qu’ils corrigent ayant déjà fait l’objet de publications. Il s’agit respectivement d’un risque d’exploitation à distance d’un défaut Windows et d’une possibilité d’élévation de privilège reposant sur un bug Sharepoint. MS11-072 n’est pas triste non plus, puisqu’elle ouvre la voie à une exécution de code arbitraire à l’aide d’un fichier Excel forgé. Toutes les éditions d’Excel sont concernées, versions Mac et Windows, y compris les plus récentes, « 2010 », y compris.

On notera que, sur les 5 rustines, deux d’entre elles colmatent une fois de plus des trous de «détournement de DLL »… un boulet que traîne Microsoft depuis plus d’un an, un tonneau des Danaïdes qui ne semble jamais pouvoir se combler. Détail amusant, la série de bulletins d’alerte a été momentanément disponible durant la nuit de vendredi dernier. Un « loupé » anticipatif qu’a remarqué le Sans.

Au détour d’une note de blog, l’on apprend également que la chasse aux certificats douteux d’origine Diginotar continue, et que de « Patch Tuesday » est complété par l’immolation de 6 nouveaux certificats, comme précisé par un billet rédigé sur le blog du MSRC.

Chez Adobe, qui publie également ses bulletins et rustines le second mardi du mois, la pitance est toute aussi consistante : un seul bulletin d’alerte, mais 13 CVE corrigés d’un coup. Les vulnérabilités corrigées sont considérées comme critiques et peuvent être exploitées via un fichier forgé. Ces failles concernent les versions 10.1 et précédentes du Reader et d’Acrobat pour Windows et Macintosh, et 9.4.2 et antérieures du Reader pour Unix.