Microsoft a publié à la mi-décembre un patch
corrigeant toutes les vulnérabilités des versions 5.5 (post SP2) et 6.0 de son navigateur Internet qui ont été
publiées depuis la diffusion de ce logiciel. A installer sans tarder!
Microsoft a publié un patch
corrigeant les bugs déjà solutionnés par le patch décrit dans le bulletin MS01-20 (cf. plus bas) ainsi que
deux vulnérabilités pouvant faire croire à un surfeur qu'il consulte un site de confiance alors que cela
n'est pas le cas. La première affecte la façon dont sont vérifiés les certificats. Si la consultation
d'une CRL est activée, IE ne vérifie plus la date d'expiration, la concordance entre l'adresse du site
et le nom indiqué dans le certificat ainsi que la validité de la CA ayant émis ce certificat. La seconde
permet à un pirate de faire s'afficher dans le navigateur une page différente de celle dont l'URL
apparaît dans la barre d'adresse.
Une fois n'est pas coutume, c'est au tour de Netscape d'être victime d'une faille dans le logiciel
SmartDownload, installable avec Communicator. Si cette faille (de type débordement de buffer) est
exploitée, elle permet d'exécuter du code à distance en utilisant une URL particulière.
Encore une faille dans IE 5.01 et 5.5. En envoyant un E-Mail ayant en attachement un fichier dont le
type MIME a été modifié par l'expéditeur, il est possible d'exécuter automatiquement le contenu de
cet attachement, sur le système du destinataire.
VeriSign a annoncé avoir généré par erreur deux certificats pour le
compte d'une personne s'étant fait passée pour un employé de Microsoft. Ces certificats, datés des 29 et 30
janvier derniers, peuvent être utilisés afin de signer des contrôles ActiveX, des macros ou toute forme
d'exécutable, en donnant l'impression à l'utilisateur qu'ils ont été développés par
Microsoft. Ceci est particulièrement grave car rappelons qu'une fois qu'un contrôle ActiveX a été autorisé
par l'utilisateur à s'exécuter sur sa machine, il a un accès total à toutes les ressources de cette machine.
Dans un bulletin
daté du 6 mars, Microsoft révèle la présence d'une nouvelle faille au sein de son navigateur, Internet
Explorer. En exploitant cette faille, un pirate pourrait exécuter les commandes de son choix en envoyant
un message HTML ou lors de la consultation d'une page pigée sur un site web. Il est en effet possible de
déterminer le nom que prend un document une fois stocké dans le cache. Ensuite, le pirate peut faire
ouvrir un document dans la Local Computer Zone (donc sans aucune restriction de sécurité), stocké dans
ce cache, lui permettant ainsi de lancer des commandes locales.
Une faille a été détectée dans Outlook (8, 2000) et Outlook Express (5.01/5.5). En envoyant une vcard
(carte de visite virtuelle), un individu malveillant aurait la possibilité de lancer les commandes
de son choix sur la machine de la victime. Un patch
est disponible.
Un philippin du nom de Leo de Velez aurait découvert un moyen de cracker le RSA, c'est-à-dire décrypter
un message chiffré à l'aide de l'algorithme, mais sans connaître la clé. Contacté, Ron Rivest (un des pères
de RSA) a estimé que l'attaque en question ne pourrait pas fonctionner en pratique (il serait plus rapide
de tenter de factoriser la clé publique).
Un vers spammeur (nommé Kalamar ou OnTheFly), se véhiculant via la messagerie électronique, a de nouveau frappé cette semaine. Il s'agit
d'un script VBS portant le nom AnnaKournikova.jpg.vbs qui, une fois exécuté, se diffuse aux adresses contenues
dans le carnet Outlook.
Le CERT (Computer Emergency Response Team) a publié en fin
d'année un document faisant le point sur la sécurité des contrôles ActiveX. Il présente dans une première
partie le fonctionnement de la technologie ActiveX en insistant sur les aspects liés à la sécurité.
Dans une seconde partie, on trouve un ensemble de suggestions relatives à l'utilisation de ces contrôles.
Microsoft vient de publier un patch corrigeant pas moins de quatre vulnérabilités au sein d'Internet
Explorer (cf. bulletin MS00-093).
Deux failles ont été détectées
au sein de Windows Media Player version 6.x et 7.x. La première consiste
en l'exploitation d'un débordement de buffer via l'ouverture d'un fichier de type .ASX (Active Stream Redirector)
autorisant l'exécution d'un code quelconque sur la machine de l'utilisateur. La seconde, qui n'affecte que
la version 7 de WMP, concerne les fichiers .WMS (Windows Media player Skins). Les skins permettent de
personnaliser l'interface du logiciel. Or, ces fichiers peuvent contenir des scripts ayant la capacité
d'exécuter des contrôles ActiveX sur la machine de l'utilisateur, lorsqu'ils sont ouverts par ce dernier.
Microsoft a annoncé cette semaine que la présence du cheval de Troie QAZ
(voir L'Internet sécurisé page 312) avait été détectée sur son réseau
interne. Ce programme, lorsqu'il est reçu par mail et exécuté, permet à un pirate de se connecter à
distance sur la machine de la victime, autorisant ainsi l'accès à des informations confidentielles disponibles
sur le réseau local auquel est connecté l'ordinateur contaminé.
Le pirate aurait réussi à se faire envoyer par mail non seulement des mots de passe utilisés en interne mais
également des parties du code source de logiciels de la suite Office et du système d'exploitation Windows (ce que
Microsoft a démenti)...
Aucun de ces sources n'auraient cependant été modifiés.
Dans un bulletin
daté du 25 octobre, Microsoft révèle la présence d'une nouvelle faille au sein de sa machine virtuelle Java.
Les builds des séries 2000 et 3000 (cf. JView) de cette machine virtuelle, livrées avec IE 4.x et IE 5.x sont vulnérables
à une attaque entraînant l'accès à n'importe quel fichier local, en lecture uniquement, à l'aide d'une
applet Java programmée à cet effet.
Microsoft a publié deux bulletins concernant des vulnérabilités affectant Internet Explorer. Le premier
(MS00-075)
révèle un bug dans les builds des séries 2000, 3100, 3200 et 3300 de la machine virtuelle
Java, livrée avec IE 4.x et 5.x. Ce bug permet à une applet Java, exécutée à partir d'un site web
malveillant, de lancer n'importe quel contrôle ActiveX installé sur le poste de l'utilisateur.
Dans un communiqué de presse en date du 2 octobre, le NIST a annoncé le nom du lauréat du concours
internationnal qu'il avait organisé en 1997 afin de trouver un sucesseur à l'obsolescent DES (Data Encryption
Standard).
Dans un bulletin
daté du 26 septembre, Microsoft révèle la présence d'une faille au sein de Windows Media Player
version 7 affectant les applications de messagerie Outlook et Outlook Express. En effet, lorsque le contrôle
ActiveX WMP 7 est encapsulé dans un message au format RTF et que ce message est visualisé à l'aide d'Outlook
(Express), ce dernier plante lors de la fermeture de la fenêtre de visualisation du message...
Le premier virus capable d'infecter un Palm Pilot a été découvert le 22 septembre dernier. Phage (c'est son
nom) se propage via les applications Palm. Dès qu'une telle application, infectée par le virus, est
exécutée, le virus copie son code dans tous les autres programmes stockés en mémoire, les rendant ainsi
inutilisables.
Ce virus est considéré comme étant bénin puisqu'il ne s'attaque pas aux fichiers de données. Mais a priori rien
n'empêcherait une variante d'être nettement plus nuisible...
Comme annoncé en Juillet, Microsoft vient de publier la version béta d'un correctif d'IE permettant
d'obtenir une plus grande sécurité vis à vis des cookies.
Georgi Guninski a découvert une faille dans Internet Explorer 5.5 permettant de lire à distance des fichiers
locaux, d'obtenir le contenu de cookies, etc. Cette faille peut être exploitée à l'aide du contrôle
WebBrowser et d'un script Javascript, tel que celui proposé par Georgi Guninski sur son site web.
Dans un bulletin publié fin août, le CERT (Computer Emergency Response Team)
rapporte l'existence d'un bug dans les versions 5.5.x à 6.5.3 de PGP ayant pour conséquence de permettre
à un hacker de modifier un certificat en y ajoutant une clé ADK (Additonal Decryption Key) qui, lorsqu'une
personne l'utilise afin de chiffrer des informations, autorise le hacker à prendre connaissance de
ces informations. Les clés ADK permettent normalement à un tiers autorisé de déchiffrer des informations chiffrées
à l'intention d'une autre personne (un salarié d'une entreprise par exemple).
En pratique, PGP ne vérifie pas que la clé ADK a été ajoutée sans être signée, comme l'est la clé primaire
du destinataire, si bien qu'il est possible d'en générer une dont on possède la clé privée correspondante
et de l'ajouter au certificat de la victime.
Certaines versions de la JVM (Java Virtual Machine), intégrées aux systèmes d'exploitation Microsoft (9x et NT)
renferment une vulnérabilité qui, si elle est exploitée via une applet proposée sur le site web d'un
individu malveillant, permet à l'attaquant de se faire passer pour sa victime, et d'accéder ainsi à
des sites web (notamment intranets) normalement injoignable de l'Internet.
Dans un bulletin récent ("Scriptlet Rendering Vulnerability"),
Microsoft révèle deux nouvelles vulnérabilités dans son logiciel de navigation web, Internet Explorer (4.x et 5.x),
qui, si elles sont exploitées, permettent d'accéder en lecture à des fichiers stockés sur le disque de
l'utilisateur. Cette attaque ne peut cependant être réalisée qu'à condition, d'une part, que les chemins
d'accès aux fichiers cibles soient connus de l'attaquant et d'autre part que le contenu de ces mêmes fichiers
soit visualisable via la fenêtre du navigateur (ex.: .txt, .doc, etc.).
Dan Brumleve a découvert de nouvelles fonctionnalités dans les classes distribuées avec le navigateur
Netscape Communicator permettant de créer un serveur de fichiers accessible à distance. Pour prouver
ses dires, il a écrit un programme nommé Brown Orifice HTTPD qui permet de transformer Communicator
en un serveur de fichiers (ouvert sur le port 8080) ou en proxy HTTP et FTP. De plus, les fichiers
rendus accessibles par ce programme sont automatiquement indexés dans une base consultable sur le web de
l'auteur.
Microsoft a publié, en l'espace de quelques jours, trois bulletins de sécurité concernant des vulnérabilités
(voir L'Internet sécurisé chapitre 10) affectant les logiciels de
messagerie Outlook (97, 98 et 2000) et Outlook Express (4.0 à 5.01).
A peine quelques jours après la sortie de la version 5.5 d'Internet Explorer, Microsoft vient de publier
un communiqué de presse dans lequel il annonce qu'une mise à jour d'IE 5.5, ajoutant des fonctionnalités
de gestion des cookies (voir L'Internet sécurisé chapitre 9),
sera disponible d'ici la fin du mois d'août à tous les internautes préoccupés par le respect de leur vie
privée sur le Web.
Le LASEC (Laboratoire de Sécurité et de Cryptographie) de
l'EPFL (Ecole Polytechnique Fédérale de Lausanne) vient
de révéler que les algorithmes de chiffrement par blocs fonctionnant en mode CBC (Cipher Block Chaining),
c'est-à-dire où un bloc de texte en clair est combiné, à chaque ronde, au bloc de texte chiffré à la précédente,
sont vulnérables à l'attaque des anniversaires. Cette attaque repose sur le paradoxe des anniversaires
selon lequel il suffit de réunir 23 personnes dans une pièce pour qu'il y ait une chance sur deux que deux
d'entre elles soient nées un même jour.
Suite aux ravages du virus I Love You, Microsoft a publié un patch pour Outlook 2000 et 98 permettant
de réduire les possibilités de propagation et de contamination par un virus de type ver comme Melissa,
Love Letter ou Stages. Une fois appliqué, ce correctif interdit l'accès à tout attachement contenant
du code exécutable ou ayant la possibilité de changer les paramètres du système (.EXE, .COM, .VBS, etc.),
l'administrateur ayant la possibilité de définir une liste de fichiers "sensibles" (.ZIP, etc.) que les
utilisateurs doivent impérativement enregistrer sur un disque avant de pouvoir les ouvrir. Par ailleurs,
le patch empêche l'accès au carnet d'adresses Outlook sans confirmation de l'utilisateur, ce qui limite le
risque de diffusion d'un virus se propageant de cette façon. Enfin, c'est la zone Internet Explorer "sites
sensibles" (voir L'Internet sécurisé p. 392) qui est positionnée à la place de la zone "Internet",
configurée par défaut. Ceci interdit l'exécution automatique de scripts actifs.
La société InterMute, éditrice du logiciel du même nom (voir L'Internet sécurisé p. 232),
a annoncé le 22 mai dernier la disponibilité d'AdSubtract Pro. Ce programme a pour but de protéger
les surfeurs contre les cookies, scripts malveillants, bannières, fenêtres pop-up, etc. Il reprend
les fonctionnalités d'InterMute tout en ajoutant un gestionnaire de cookies performant et la possibilité
d'associer des sons à chaque événement (cookie, publicité, etc.).
Microsoft publie un patch cumulatif pour IE 5.5 et 6.0 (30/12/2001)
http://www.microsoft.com/technet/treeview/default.asp?url=/technet/security/bulletin/MS01-058.asp
Des failles d'IE permettant le spoofing d'un site web (25/05/2001) http://www.microsoft.com/technet/security/bulletin/MS01-027.asp
Un bug dans Netscape SmartDownload 1.3 (15/04/2001)
Il est recommandé d'installer SmartDownload version 1.4,
ne comportant pas cette vulnérabilité.
http://www.atstake.com/research/advisories/2001/a041301-1.txt
Exécution automatique d'attachements à cause d'IE ! (01/04/2001)
Un patch a été publié par Microsoft.
http://www.microsoft.com/technet/security/bulletin/MS01-020.asp
Deux vrais-faux certificats Microsoft publiés par VeriSign (29/03/2001)
Les personnes ayant accepté automatiquement les certificats Microsoft verront malgré tout une fenêtre de confirmation s'afficher, lors
de l'exécution d'un tel composant, car les certificats considérés comme étant de confiance sur un système Windows sont
identifiés par leur numéro de série plutôt que par le nom du titulaire ("Microsoft Corporation" en l'occurrence).
Verisign a intégré ces certificats à sa CRL (Certificate Revocation List), tandis que l'éditeur américain a
publié un patch bloquant l'exécution des composants signés avec l'un des certificats litigieux et mettant
à jour la CRL sur le système.
http://www.microsoft.com/technet/security/bulletin/MS01-017.asp
IE peut divulguer la localisation des éléments de son cache ! (10/03/2001)
Un patch, qui corrige également d'autres vulnérabilités (une variante du problème "Frame Domain Verification",
une autre affectant Windows Scripting Host, etc.) a été publié. Ce patch s'applique à IE 5.01 et 5.5 ainsi qu'à
WSH 5.1 et 5.5 (distribué avec IE).
http://www.microsoft.com/technet/security/default.asp
Outlook (Express) digère mal les vcards ! (22/02/2001) http://www.microsoft.com/technet/security/bulletin/MS01-012.asp
RSA cracké ? (18/02/2001) http://www.seedmuse.com/rsa_edit.htm
Le virus Kournikova (18/02/2001) http://www.cert.org/advisories/CA-2001-03.html
Le CERT publie un document sur la sécurité des ActiveX (25/12/2000) http://www.cert.org/reports/activeX_report.pdf
Quatre failles dans IE 5.x ! (01/12/2000)
La première, "Browser Print Template", autorise l'exécution de scripts sur la machine de l'utilisateur, à
partir d'un template introduit dans IE 5.5 afin d'autoriser la personnalisation des impressions d'une
page web. En exploitant la deuxième ("File Upload via Form"), il peut être possible d'accéder en lecture
à un fichier stocké sur le disque dur de l'utilisateur, en utilisant la balise HTML INPUT TYPE=FILE au sein
d'une page web piégée. Les deux dernières ("Script Rendering" et "Frame Domain Verification") sont de nouvelles
variantes de failles déjà détectées. Elles peuvent également entraîner la lecture de fichiers locaux sur
le disque de l'utilisateur d'un site web malveillant...
http://www.microsoft.com/technet/security/default.asp
Deux failles dans Windows Media Player (26/11/2000)
Microsoft a publié un patch qui corrige ces deux problèmes.
http://www.microsoft.com/technet/security/default.asp
Microsoft victime d'un cheval de Troie ! (29/10/2000)
Le FBI a été sollicité par la firme américaine afin qu'il ouvre une enquête.
http://www.microsoft.com/technet/security/001027.asp
Une nouvelle faille Java/IE (29/10/2000)
Microsoft a publié un patch corrigeant ce problème.
http://www.microsoft.com/technet/security/default.asp
Deux nouvelles failles corrigées dans IE (15/10/2000)
Le bulletin suivant
affecte également IE 4.x et IE 5.x mais pas IE 5.5. Lorsqu'un utilisateur, connecté
en SSL, s'authentifie sur un site web, les informations d'authentification sont toujours envoyées quand
le même utilisateur accède à des pages non protégées par SSL sur le serveur considéré. Ainsi, ces informations
circulent en clair et peuvent permettre à un individu malveillant de se faire passer pour l'utilisateur,
si elles sont interceptées...
Microsoft a publié deux patchs corrigeant ces problèmes.
http://www.microsoft.com/technet/security/default.asp
L'AES sélectionné (08/10/2000)
En août 1999, le NIST avait communiqué les noms des cinq algorithmes finalistes, à savoir MARS, RC6, Rijndael,
Serpent et Twofish. C'est finalement l'algorithme des cryptographes belges Joan Daemen et Vincent Rijmen,
Rijndael, qui a été sélectionné. Le vainqueur va être soumis au gouvernement américain afin de devenir
un standard d'ici à l'été 2001.
Quand Media Player fait planter Outlook... (30/09/2000)
Microsoft a publié un patch corrigeant ce problème.
http://www.microsoft.com/technet/security/default.asp
Phage : le premier virus Palm (30/09/2000)
La société F-Secure propose déjà un anti-virus spécifique au Palm capable de détecter Phage.
Microsoft publie la version béta de l'Advanced Security Privacy (10/09/2000)
Il est disponible à l'URL indiquée ci-dessous.
http://www.microsoft.com/windows/ie/download/preview/privacy.htm
Une nouvelle vulnérabilité dans IE 5.5... (10/09/2000)
Aucun patch n'étant disponible à ce jour, il est conseillé de désactiver le support des contenus
actifs, comme indiqué au chapitre 10 de L'Internet sécurisé (page 190).
Un bug dans PGP autorise le chiffrement avec une clé non autorisée (03/09/2000)
Un patch a été publié sur le site www.pgp.com.
Une vulnérabilité dans la machine virtuelle Java de Microsoft (03/09/2000)
D'après le bulletin Microsoft MS00-059,
les versions suivantes de la JVM sont vulnérables : builds des séries 2000, 3100, 3200 et 3300. Pour savoir
quelle build vous utilisez, il suffit d'entrer la commande JVIEW dans une fenêtre MS-DOS.
http://www.microsoft.com/technet/security/default.asp
Encore des failles dans IE ! (20/08/2000)
Le patch
proposé par Microsoft corrige ces vulnérabilités ainsi que celles signalées dans les bulletins
MS00-033,
MS00-039,
MS00-042 (si IE5.5 est installé) et
MS00-049.
http://www.microsoft.com/technet/security/default.asp
Quand Communicator devient serveur de fichiers... (15/08/2000)
L'utilisation d'un "firewall personnel", tel ZoneAlarm, pourrait éviter que ce type d'attaque ne puisse
être exploité par des individus malveillants.
http://www.brumleve.com/BrownOrifice/
Outlook et Outlook Express victimes de multiples vulnérabilités (30/07/2000)
La première de ces vulnérabilités, appelée "Cache Bypass",
permet à un individu malveillant d'envoyer un message HTML particulier qui, lorsqu'il est ouvert, autorise
la lecture du contenu de n'importe quel fichier se trouvant sur le disque dur de la victime.
La deuxième ("Persistent Mail-Browser Link")
peut être exploitée afin de permettre la lecture à distance de tout message consulté via la fenêtre de
prévisualisation d'Outlook Express.
Enfin, l'exploitation de la vulnérabilité "Malformed E-mail Header"
peut conduire à l'exécution, sur l'ordinateur de la victime, de n'importe quel code lorsqu'un message,
dont l'en-tête contient le code en question formaté d'une certaine façon, est récupéré sur un serveur POP3
ou IMAP4 via Outlook (Express).
Ces trois vulnérabilités peuvent être corrigées en appliquant le patch
proposé par Microsoft, en installant Internet Explorer 5.01 SP 1 ou Internet Explorer 5.5 (sauf sous
Windows 2000).
http://www.microsoft.com/technet/security/default.asp
Microsoft déclare la guerre aux cookies ! (23/07/2000)
Actuellement en test auprès d'un panel de 2000 béta-testeurs, cette update ajoutera trois fonctionnalités
principales : une meilleure information lors de l'envoi ou la réception d'un cookie, en particulier lorsque
ce cookie est positionné à partir d'un site autre que celui en cours de consultation (ex.: via une bannière),
l'apparition d'un bouton "effacer tous les cookies" dans la fenêtre d'options d'IE et enfin une documentation
plus étoffée dans l'aide du logiciel.
Microsoft a par ailleurs annoncé que la mise à disposition de cette update n'était qu'une étape,
avant l'intégration de la technologie P3P (Platform for
Privacy Preferences, qui permet aux surfeurs de définir le niveau de protection de leurs informations
personnelles qu'ils souhaitent assurer), au sein de la prochaine version de Windows.
http://www.microsoft.com/presspass/press/2000/jul00/IECookiePR.asp
SSL et S/MIME vulnérables à "l'attaque des anniversaires" (10/07/2000)
L'attaque révélée par le LASEC consiste donc à trouver deux segments (8 caractères) de texte en clair au
sein d'un flot de données chiffrées en mode CBC. Les deux seules contraintes sont que le texte original
soit écrit dans un langage redondant (un texte par exemple) et qu'une certaine longueur de texte chiffré
soit disponible. Par exemple, la probabilité de trouver un segment de texte en clair dans un flot de 1Mo
est de 5.10-10. Avec 1Go, elle atteint 5.10-4 et nécessite une heure de calcul
sur un PC...
Là où le bât blesse, c'est que de nombreux algorithmes employés par des protocoles ou standards tels que
SSL ou S/MIME (voir L'Internet sécurisé pp. 92 et 247) utilisent le mode
CBC...Le LASEC recommande d'augmenter la taille des blocs pour diminuer les chances de réussite de l'attaque,
le mieux étant d'utiliser des algorithmes ne fonctionnant pas en mode CBC...
Idéalement, il serait conseillé de ne pas chiffrer de trop grandes quantités de données avec la même clé et,
dans la mesure du possible, de les compresser au préalable, de façon à diminuer la redondance. Les risques
étant relativement faibles en pratique, SSL et S/MIME (à 128 bits) ne sont pas encore à mettre au rebut !
http://lasecwww.epfl.ch/birthday.shtml
Microsoft publie un correctif "anti-virus" pour Outlook (10/06/2000) http://officeupdate.microsoft.com/2000/downloadDetails/Out2ksec.htm
InterMute présente AdSubtract Pro (28/05/2000)
AdSubtract est vendu environ 200F, les utilisateurs enregistrés d'InterMute bénéficiant d'un tarif préférentiel.
A noter enfin la disponibilité d'une version allégée du logiciel, baptisée AdSubtract SE, disponible
gratuitement en téléchargement. Cette version ne traite
que les cookies et les bannières.
Accueil | Présentation | Commander | Actualité | Erratum | Contact | Presse | Liens | Avertissements importants
Copyright © 2000-2002 Eric Larcher