Sécurité des systèmes Windows
Base OSWIN v2
Site expérimental
Ressources
XP SP2
Guides de sécurité
Outils
Forum (N/D)
Rechercher sur ce site :
Site réalisé, maintenu et hébergé par EdelWeb
Veille OSSIR pour le mois de Mars 2005
Date de création : 25/05/2005
Dernière modification : -
1. Avis Microsoft
2. Autres avis
3. Nouveaux outils
4. Autres infos
Les faits marquants de ce mois-ci :
- De nombreux bulletins de sécurité Microsoft, corrigeant des failles de niveau "critique"
Avis Microsoft |
| Alerte | MS05-004 Vulnérabilité dans la validation des chemins ASP.NET |
|---|---|
| Référence | Microsoft / Février 2005 |
| Affecte | .NET Framework 1.0 et 1.1 |
| Type de problème | Une vulnérabilité dans la validation des chemins ASP.NET permet d'outrepasser les contrôles d'accès sur un site ASP.NET. |
| Exploitation | Il suffit de remplacer les caratères / par \ ou %5C pour contourner les contrôles d'accès aux pages ".aspx" |
| Avis de l'OSSIR | Cette vulnérabilité a été publiée avant le correctif et préfigure un avenir sombre pour le modèle de sécurité .NET. L'application du correctif sur les serveurs Web est fortement recommandée. |
| Alerte | MS05-005 "buffer overflow" dans Office XP |
|---|---|
| Référence | Microsoft / Février 2005 |
| Affecte | Microsoft Office XP |
| Type de problème | Le "buffer overflow" se produit lors de l'ouverture de documents Office, via une URL longue. |
| Exploitation | La méthode d'exploitation est publique : |
| Avis de l'OSSIR | Il est peu probable que cette vulnérabilité fasse l'objet d'une exploitation "dans la nature". |
| Alerte | MS05-006 "Cross-site scripting" et spoofing d'adresse dans SharePoint |
|---|---|
| Référence | Microsoft / Février 2005 |
| Affecte | Windows SharePoint Services for Windows Server 2003 |
| Type de problème | Deux vulnérabilités de type "cross site scripting" et spoofing d'adresse permetteraient d'abuser un utilisateur afin de lui faire exécuter un script dans son navigateur. |
| Exploitation | L'exploit n'est pas public, mais il semble que la vulnérabilité ait tout de même été utilisée contre des sites réels. |
| Avis de l'OSSIR | - |
| Alerte | MS05-007 Fuite d'information via un tube SMB |
|---|---|
| Référence | Microsoft / Février 2005 |
| Affecte | Windows XP |
| Type de problème | La vulnérabilité permet à un attaquant
d'obtenir la liste des personnes connectées à un serveur
SMB. |
| Exploitation | Le code d'exploitation ne semble pas avoir été publié. |
| Avis de l'OSSIR | Comme l'explique Jean-Baptiste Marchand, ce problème dépasse largement le cas particulier corrigé par Microsoft. Le problème vient du fait que les canaux RPC ouverts dans le même processus peuvent tous être accédés les uns via les autres. |
| Alerte | MS05-008 Exécution de code à travers un événement "drap and drop" |
|---|---|
| Référence | Microsoft / Février 2005 |
| Affecte | Windows 98, 2000, XP, 2003 |
| Type de problème | La vulnérabilité affecte le mécanisme de traitement des événements "drag and drop". Cette vulnérabilité est exploitable via une page Web et requière une interaction de l'utilisateur. |
| Exploitation | La méthode d'exploitation est publique. |
| Avis de l'OSSIR | L'application du correctif est recommandée. |
| Alerte | MS05-009 "buffer overflow" dans le traitement des fichiers PNG |
|---|---|
| Référence | Microsoft / Février 2005 |
| Affecte | Messenger 5.0, 6.1, 6.2 |
| Type de problème | Une vulnérabilité de type "buffer overflow" affecte le mécanisme de traitement des images PNG. Ainsi, du code malveillant peut être exécuté dans le contexte de l'utilisateur courant à l'ouverture d'une telle image. |
| Exploitation | La méthode d'exploitation est publique. |
| Avis de l'OSSIR | De nombreux antivirus ont intégré la signature de cet exploit dans leur base de signatures. Cependant, l'application du correctif est recommandée. |
| Alerte | MS05-010 "buffer overflow" dans le "license logging service" |
|---|---|
| Référence | Microsoft / Février 2005 |
| Affecte | Windows NT4 Server, 2000 Server, 2003 |
| Type de problème | Ce "buffer overflow" affecte le service "license logging service" (llssrv.exe). L'exploitation de cette vulnérabilité permet d'obtenir à distance les droits SYSTEM. |
| Exploitation | Les détails techniques concernant cette vulnérabilité ont été publiés. |
| Avis de l'OSSIR | L'application du correctif est recommandée. |
| Alerte | MS05-011 "buffer overflow" dans le driver SMB |
|---|---|
| Référence | Microsoft / Février 2005 |
| Affecte | Windows 2000, XP, 2003 |
| Type de problème | Un "buffer overflow" affecte le driver SMB. Cette vulnérabilité se produit en mode noyau. |
| Exploitation | Le détail technique de la vulnérabilité a été publié. A l'heure actuelle, seul un déni de service peut être obtenu mais rien ne s'oppose à l'exécution de code en mode noyau. |
| Avis de l'OSSIR | L'application du correctif est recommandée. |
| Alerte | MS05-012 Vulnérabilités multiples OLE/COM |
|---|---|
| Référence | Microsoft / Février 2005 |
| Affecte | Windows 2000, XP, 2003 Ainsi que les applications suivantes utilisant OLE : |
| Type de problème | Via un espace mémoire partagé appellé "COM structured storage", il est possible de procéder à une élévation de privilèges ou à l'exécution de code malveillant. |
| Exploitation | Un code d'exploitation a été publié. |
| Avis de l'OSSIR | L'application du correctif est recommandée. |
| Alerte | MS05-013 Exécution de code via l'ActiveX DHTML |
|---|---|
| Référence | Microsoft / Février 2005 |
| Affecte | Windows 98, ME, 2000, XP, 2003 |
| Type de problème | Le composant DHTML (dhtmled.ocx) permet d'injecter des scripts dans une autre page via execScript(). |
| Exploitation | Le code l'exploitation est public. |
| Avis de l'OSSIR | L'application du correctif est recommandée. |
| Alerte | MS05-014 Patch cumulatif pour Internet Explorer |
|---|---|
| Référence | Microsoft / Février 2005 |
| Affecte | Internet Explorer 5.01, 5.5, 6.0 |
| Type de problème | Plusieurs vulnérabilités sont corrigées par ce correctif : - Vulnérabilité "drag and drop" |
| Exploitation | Les codes d'exploitation de certaines de ces vulnérabilités sont publics. |
| Avis de l'OSSIR | L'application du correctif est recommandée. |
| Alerte | MS05-015 "buffer overflow" dans le traitement des liens hypertextes |
|---|---|
| Référence | Microsoft / Février 2005 |
| Affecte | Windows 98, ME, 2000, XP, 2003 |
| Type de problème | La librairie "Hyperlink Object Library" est affectée par un "buffer overflow". |
| Exploitation | La méthode d'exploitation ne semble pas avoir été publiée. |
| Avis de l'OSSIR | L'application du correctif est recommandée. |
Mise à jour de bulletins
Octobre 2004 :
- MS04-035 "Buffer overflow" dans le service SMTP : disponibilité d'un correctif pour Exchange 2000 Server
Janvier 2005 :
- MS05-005 Vulnérabilité dans Office XP
- MS05-006 Vulnérabilité SharePoint : FrontPage 2002 n'est pas affecté
- MS05-010 Vulnérabilité "License Logging Service"
Autres avis |
| Alerte | Les antivirus Windows ne scannent pas les ".tgz" |
|---|---|
| Référence | Mars 2005 |
| Affecte | De nombreux antivirus Windows |
| Type de problème | Certains antivirus Windows ne contrôlent pas les archives "UNIX" (.tgz, .tar.bz2), alors que ces fichiers sont ouverts par de nombreux logiciels de décompression. |
| Exploitation | - |
| Avis de l'OSSIR | Les éditeurs ont réagis rapidement. La mise à jour de son antivirus est recommandée. |
| Alerte | "Buffer overflow" dans le décompresseur ARJ de F-Secure |
|---|---|
| Référence | Mars 2005 |
| Affecte | Antivirus F-Secure |
| Type de problème | Le décompresseur ARJ de F-Secure est affecté par un "buffer overflow" permettant l'exécution de code. |
| Exploitation | - |
| Avis de l'OSSIR | Bien qu'il soit peu probable qu'un virus exploite cette vulnérabilité, la mise à jour de l'antivirus est recommandée. |
| Alerte | "Heap overflow" dans le décompresseur UPX de Symantec |
|---|---|
| Référence | Mars 2005 |
| Affecte | Antivirus Symantec |
| Type de problème | Le décompresseur UPX de Symantec est affecté par un "Heap overflow". |
| Exploitation | - |
| Avis de l'OSSIR | Bien qu'il soit peu probable qu'un virus exploite cette vulnérabilité, la mise à jour de l'antivirus est recommandée. |
Nouveaux outils |
- Microsoft Malicious Software Removal Tool
Cet outil, mis à jours tous les mois et distribué via Windows Update, est un "Stinger"-like. Il supprime une liste prédéfinie de virus sur le système. Attention : en cas de détection, un rapport est envoyé à Microsoft.
http://www.microsoft.com/security/malwareremove/default.mspx
- SUperior SU
Par rapport à RunAs, cet outil gratuit comporte des fonctions intéressantes telles que les bureaux multiples.
http://www.stefan-kuhr.de/supsu/main.php3
Autres infos |
- Internet Explorer 7 sortira finalement fin 2005
Microsoft change de cap face à l'explosion du "phishing". IE 7 sortira avant LongHorm.
- Microsoft AntiSpyware restera gratuit
http://informationweek.securitypipeline.com/news/60401102
- Un point intéressant dans la licence de Microsoft AntiSpyware
Microsoft engage sa responsabilité à hauteur de 5 $, en
cas de destruction de données.
http://news.zdnet.com/2100-1009_22-5590042.html
- "Les spywares, ces mouchards qui vous espionnent"
http://go.microsoft.com/?linkid=2110069
- "Ce que vous pouvez faire contre les logiciels espions et autres logiciels indésirables"
http://go.microsoft.com/?linkid=1852525
- Microsoft rachète Sybari (Antigen)
- Distribution automatique du Service Pack 2 de Windows XP
Microsoft a fixé la distribution automatique du Service Pack 2 de Windows XP par Windows Update au 12 avril 2005.
- Rights Management Services (RMS) Service Pack 1
Le Service Pack 1 de RMS est prévu pour cette année. Il devrait apporter la possibilité d'utiliser un serveur d'entreprise au lieu du serveur Microsoft.
- ISA Server 2004 SP1
http://support.microsoft.com/?kbid=891024
- Sortie de FireFox 1.0.1
Cette nouvelle version corrige entre autre le bogue "IDN".
- Le premier Cheval de Troie à attaquer l'antispyware de Microsoft
Nom de code : BankAsh.A/SpyBank
http://www.silicon.fr/getarticle.asp?ID=8497