Sécurité des systèmes Windows
Base OSWIN v2
Site expérimental
Ressources
XP SP2
Guides de sécurité
Outils
Forum (N/D)
Rechercher sur ce site :
Site réalisé, maintenu et hébergé par EdelWeb
Veille OSSIR pour le mois de Février 2005
Date de création : 24/05/2005
Dernière modification : -
1. Avis Microsoft
2. Autres avis
3. Nouveaux outils
4. Autres infos
Les faits marquants de ce mois-ci :
- De nombreuses vulnérabilités dans les librairies Microsoft de traitement des fichiers images
- Le chiffrement d'Office est cassable
- Microsoft propose une version Beta de son anti-spyware
- Diffusion de fichiers WMV infectés
Avis Microsoft |
| Alerte | MS05-001 Vulnérabilités dans l'aide HTML |
|---|---|
| Référence | Microsoft / Janvier 2005 |
| Affecte | Windows 2000, XP, 2003 Windows NT4 peut être affecté si IE 6 est installé. |
| Type de problème | Via le contrôle ActiveX HHCTRL.OCX, il est possible d'exécuter des scripts dans la zone de sécurité "poste de travail". |
| Exploitation | De nombreux "Proof Of Concept" ont été publiés sur Internet. |
| Avis de l'OSSIR | Cette faille est d'ores et déjà exploitée par des sites Web hostiles et par le Cheval de Troie "Phel". L'application du correctif est recommandée. |
| Alerte | MS05-002 Multiples vulnérabilités dans le traitement des fichiers images |
|---|---|
| Référence | Microsoft / Janvier 2005 |
| Affecte | Windows NT4, 2000, XP (sauf SP2), 2003 |
| Type de problème | 1/ La fonction USER32!LoadImage() est affectée par un Heap Overflow permettant l'exécution de code. 2/ L'interpréteur de fichiers .ANI est affecté d'une vulnérabilité pouvant mener à un déni de service. |
| Exploitation | Les fichiers de type BMP, CUR, ANI et ICO peuvent être utilisés afin d'exploiter ces vulnérabilités. |
| Avis de l'OSSIR | L'application du correctif est recommandée. A défaut, le filtrage de ces types de fichiers au niveau des passerelles de messagerie est préconisé comme solution de contournement. |
| Alerte | MS05-003 Vulnérabilité dans le service d'indexation |
|---|---|
| Référence | Microsoft / Janvier 2005 |
| Affecte | Windows 2000, XP (sauf SP2), 2003 |
| Type de problème | Le service d'indexation est affecté par un "buffer overflow". |
| Exploitation | Cette vulnérabilité est exploitable à travers IIS ou un accès distant au service d'indexation via SMB (requière une authentification). |
| Avis de l'OSSIR | L'application de ce correctif est recommandée. Par ailleurs, il est recommandé de ne pas installer le service d'indexation si celui-ci n'est pas nécessaire. |
Mise à jour de bulletins
Aucune.
Autres avis |
| Alerte | Vulnérabilités dans winhlp32.exe |
|---|---|
| Référence | N/D |
| Affecte | Windows (toutes versions) |
| Type de problème | winhlp32.exe est effecté par un "heap overflow" et un "integer overflow" pouvant mener à une exécution de code. |
| Exploitation | La méthode d'exploitation a été publiée sur Internet. |
| Avis de l'OSSIR | Cette faille n'est pas corrigée par Microsoft. Elle peut être exploitée via l'exécution de fichiers .hlp mal formés. |
| Alerte | Le chiffrement Office est cassable |
|---|---|
| Référence | N/D |
| Affecte | Office 2000, XP, 2003 |
| Type de problème | La faille se situerait dans l'implémentation de l'algorithme RC4, utilisé pour chiffrer les documents. |
| Exploitation | La méthode d'exploitation a été publiée sur Internet. |
| Avis de l'OSSIR | Le chiffrement Office ne doit jamais être utilisé pour protéger des données sensibles. |
| Alerte | "Buffer overflow" dans Acrobat Reader |
|---|---|
| Référence | N/D |
| Affecte | Les versions inférieures ou égales à 6.0.2 d'Acrobat Reader sous Windows. Les versions inférieures ou égales à 5.0.9 d'Acrobat Reader sous Linux. |
| Type de problème | La fonction mailListIsPdf() est affectée par un "buffer overflow". |
| Exploitation | - |
| Avis de l'OSSIR | Les logiciels tiers, tels que Acrobat Reader, étant rarement mis à jour, ils sont souvent la cible des auteurs de spywares. Il est recommandé d'appliquer le correctif. Note : les mises à jour françaises tardent à être publiées. |
Nouveaux outils |
- HFNetChk 4.3
Sortie d'une nouvelle version de l'outil. Cette version supporte des logiciels tiers tels que Apache Win32 et Winzip.
- UPromote
UPromote permet de promouvoir un serveur Windows NT4 en PDC sans réinstallation.
http://utools.com/UPromote.asp
- Netcraft anti-phishing
Netcraft sort sa barre anti-phishing.
http://news.netcraft.com/archives/2004/12/28/netcraft_antiphishing_toolbar_available_for_download.html
Autres infos |
- Publication de la première Release Candidate pour le Service Pack 1 de Windows 2003
http://www.microsoft.com/windowsserver2003/downloads/servicepacks/sp1/default.mspx
- "Update Rollup" pour Windows 2000 prévu mi-2005
http://www.microsoft.com/windows2000/server/evaluation/news/bulletins/rollup.asp
- Programme "Microsoft Genuine"
Microsoft projette de vérifier le numéro de licence Windows avant tout téléchargement.
- Microsoft rachète l'anti-spyware de Giant Company
http://www.giantcompany.com/
http://www.microsoft.com/athome/security/spyware/default.mspx
La Beta 1 du nouveau produit est disponible :
http://www.microsoft.com/downloads/details.aspx?FamilyID=321cd7a2-6a57-4c57-a8bd-dbf62eda9671&DisplayLang=en
- Microsoft abandonne Passport
Défection de eBay et de Monster :
http://seattletimes.nwsource.com/html/businesstechnology/2002136272_passport31.html
- Microsoft Elevater Privileges Application Launcher (EPAL)
Permet d'exécuter des applications enregistrées dans Active
Directory, avec un niveau de privilèges "administrateur".
http://www.microsoft.com/technet/prodtechnol/windows2000serv/downloads/epal.mspx
- Microsoft sortira son propre antivirus en 2005
Le produit est une fusion de :
– Gecad Software (base de signatures)
- Pelican Software (analyse comportementale)
http://www.zdnet.fr/actualites/telecoms/0,39040748,39163407,00.htm
- Windows XP Pro 64 bits passe en RC1
- Microsoft publie discrètement un correctif critique pour une faille ICF
Lors d'une migration SP1 vers SP2, Internet peut être considéré comme une zone de confiance dans le pare-feu Microsoft.
Correctif :
– http://support.microsoft.com/kb/886185
– http://www.microsoft.com/downloads/details.aspx?familyid=da66a0ac-55ca-4591-b3e6-d78695899141&displaylang=en
- Contournement de la protection du "heap" sur Windows XP SP2 ?
http://www.maxpatrol.com/defeating-xpsp2-heap-protection.pdf
- Un étudiant condamné en France pour "phishing"
12 clients du Crédit Lyonnais abusé
Préjudice 20 000 euros
1 an de prison avec sursis et 8 500 euros de dommages et intérêts
http://www.clubic.com/actualite-18344-premiere-condamnation-pourphishing-en-france.html
- Propagation importante des vers Zafi.D, Bagle.AY et Sober.J
- Fichiers WMV infectés
Le Cheval de Troie Trj/WmvDownloader détourne le système de DRM de Windows Media Player 10 pour installer un Spyware.