La quinzaine des trous et patch : arsenic et vieilles failles

Actualités - Alerte - Posté on 08 Mai 2012 at 7:23 par Solange Belkhayat-Fuchs

Apple colmate deux failles importantes dans Webkit et une dans Safari. Que les participants du prochain p0wn20wn se le disent !

Apple encore, qui commence à battre un certain nombre de records ces temps-ci. Après son demi-million de machines infectées en raison d’une certaine « lenteur » dans la correction d’une faille Java, voici qu’est révélée l’existence d’une très probable distraction lors de la compilation de FileVault, le mécanisme de chiffrement de son système OSX Lion. Selon David Emery, chercheur Bostonien et titulaire de l’indicatif N1PRE, un « debug switch » aurait été laissé au sein du programme et aurait pour conséquence de conserver le mot de passe de l’utilisateur inscrit en clair dans un fichier de log. Du coup, les parties du disque protégé par FileVault (dont le déblocage nécessite la saisie du dit mot de passe) est ouvert aux quatre vents. Rien de grave, ce ne sont pas les données d’Apple qui sont en danger. Seulement celles de ses usagers.

Le très habituel correctif Microsoft colmate 23 failles, dont 8 considérées comme critiques et 3 ZDE… Au passage, on peut remarquer l’existence de la MS12-034, qui fermerait, nous explique l’éditeur, la porte au vecteur d’infection du botnet Duqu, et qui bouche au passage 10 failles portant un numéro CVE. Pour une fois, ce n’est pas Internet Explorer qui rafle la palme du plus gros cumulatif, mais la suite Microsoft Office, Windows, .NET Framework et Silverlight. D’ailleurs, les défauts corrigés visent, ce mois-ci, essentiellement des applications : MS12-029 met fin à un danger d’attaque distante via Word, MS12-030 résout également un risque d’attaque distante utilisant des fichiers Office forgés, MS12- MS12-031 bouche une fuite de l’afficheur de fichiers Visio, la MS12-035 ajoute une rustine sur .Net… reste deux risques d’élévation de privilège sur des défauts touchant TCP/IP (MS12-032) et le gestionnaire de partitions (MS12-033), deux problèmes considérés comme mineurs car nécessitant un accès console et un compte déjà authentifié.

Adobe,de son côté, bouche un ZDE exploitable -CVE-2012-0779- dans Flash player. La mise à jour 11.2.202.235 (torpilleur coulé) peut être téléchargée sur le site de l’éditeur.

Simultanément, ce même Adobe demande aux usagers de Shockwave Player 11.6.4.634 (escorteur touché) de passer rapidement à l’édition 11.6.5.635… Shockwave et Flash sont des « pâtes mères » fort appréciées des marmitons développeurs d’exploits en raison de leurs bugs relativement nombreux. En conservant une immatriculation des versions quasi unixienne, très adaptée au grand public, on comprend la raison pour laquelle les botnets apprécient particulièrement Adobe.

Gardons le meilleur pour la fin : Oracle émet un bulletin d’alerte prévenant la possibilité d’une attaque distante baptisée « TNS Listener Poison Attack » et qui concerne les éditions 11g et 10g de la base de données. Par le plus grand des hasards, cette alerte est émise peu de temps après qu’un chercheur Espagnol, Joxean Koret, ait osé publier quelques détails sur ce défaut exploitable à distance. Cet irresponsable hacker a manifestement forcé la main de l’éditeur de bases de données, ne lui donnant qu’à peine le temps de réagir. En effet, ce chercheur avait signalé l’existence de ce défaut il y a à peine 4 ans. Son inconsciente et hâtive publication sur la liste Full Disclosure précise que le défaut pourrait être qualifié d’endémique, puisqu’il semblerait être âgé de plus de 13 ans. La datation au carbone 14 ne pouvant s’appliquer aux failles, une estimation plus précise n’est hélas pas envisageable.

C’est avec sa rapidité de réaction légendaire que la société Oracle a donc été contrainte de publier une mesure de contournement (non, il ne s’agit pas d’un véritable « bug fixing »… le temps était bien trop court). Quelques esprits mal tournés s’interrogent sur le nombre exact de trous de sécurité connus de l’éditeur et laissés béants pour les besoins d’une cause ou d’une intelligence inconnue.

Laisser une réponse