Archives de catégorie : Adobe

Adobe, Cybersécurité, Identité numérique, Logiciels, Microsoft, Mise à jour, Particuliers, Patch, Vie privée, Wordpress

Analyse Patch Tuesday de Mai 2015

Le Patch Tuesday de mai 2015 est plutôt consistant. En effet, Microsoft a publié 13 bulletins pour mai, ce qui porte à 53 le nombre de bulletins depuis le début de l’année, un nombre un peu supérieur à celui constaté ces cinq dernières années, 2015 était peut-être même l’année la plus active à ce jour en la matière. Notre suivi interne du nombre de vulnérabilités indique que plus de 140 bulletins ont été publiés depuis le début de l’année, également un autre nouveau record :

Nombre de bulletins Microsoft par an

Le principal patch du mois est MS15-043 pour Internet Explorer (IE). Il résout 22 vulnérabilités et expositions courantes (CVE) dont 14 classées comme critiques. Les CVE présentes dans IE permettent d’exécuter du code à distance (RCE) sur la machine ciblée en dirigeant la proie vers une page Web malveillante. Pour ce faire, l’attaquant dispose de tout un éventail de techniques dans leur son arsenal.

Il peut notamment :

  • Attaquer des logiciels couramment utilisés pour les blogs et les forums pour prendre le contrôle du site Web puis y insérer des liens vers des pages malveillantes. La campagne SoakSoak constitue un bon exemple de ces pratiques. De récentes vulnérabilités de cette classe ont été découvertes dans le moteur d’e-commerce Magento ainsi que dans le CMS WordPress.

  • Exploiter les services de fournisseurs de publicités en ligne pour insérer des liens malveillants qui seront automatiquement inclus dans des sites Web de confiance utilisant les services de ces fournisseurs, comme cela s’est encore produit récemment avec MadAdsMedia.

  • Utiliser l’empoisonnement des moteurs de recherche, une technique dérivée de l’optimisation pour les moteurs de recherche (SEO) pour attirer le trafic vers des sites spécifiques hébergeant ce contenu malveillant. Tous les sujets d’actualité sont bons : bébés royaux, accidents, événements sportifs récents, streaming gratuit, etc.

Les pirates ont à leur disposition de nombreux exploits destinés à tout un éventail de vulnérabilités et qu’ils adaptent à la machine ciblée. On peut avancer sans se tromper que leurs vecteurs d’attaque préférés sont notamment Internet Explorer, les vulnérabilités Windows natives et Adobe Flash, vecteurs pour lesquels sont diffusées des mises à jour mensuelles car plus de 20 vulnérabilités et expositions courantes affectent ces derniers chaque mois. Préparez-vous à installer ces mises à jour aussi rapidement que possible. Mais dans quel délai ? Le tout dernier rapport d’enquête sur les failles de données (VDBIR) publié par Verizon en avril 2015 indique que 50% des vulnérabilités récemment exploitées qu’ils ont identifiées l’ont été dans un délai de deux semaines.

Mais toutes ne sont pas exploitées. En fait, en 2014, seulement 5% de l’ensemble des vulnérabilités de type RCE au sein des logiciels Microsoft (voir leur présentation à RSA 2015) sont en fin de compte devenus des exploits fonctionnels :

La difficulté est de prédire quels sont ces 5%. Il est important de s’intéresser au passé pour voir ce qui a été attaqué et quelles vulnérabilités sont concernées par les packs d’exploits afin de se préparer en conséquence. US-CERT vient de publier une recommandation de 30 CVE fréquemment attaqués selon eux tandis que le BSI, l’Office fédéral allemand de la sécurité des technologies de l’information, agite aussi une liste des CVE à rechercher. Pour faire court, Windows, Internet Explorer, Adobe Flash, Java et Office figurent tout en haut de leur liste.

Mais revenons à notre Patch Tuesday si vous le voulez bien. Notre deuxième priorité est le bulletin MS15-044 qui résout deux vulnérabilités critiques au sein de polices de la bibliothèque GDI+ et qui affectent de nombreux produits Microsoft. Les pirates peuvent utiliser des pages Web ou des documents contenant des polices malveillantes pour exécuter du code à distance. Le déploiement de cette mise à jour de sécurité MS15-044 est hautement prioritaire.

Le bulletin MS15-046 est seulement classé comme important par Microsoft, mais il résout des vulnérabilités de format de fichier RCE à la fois dans Word et Excel que des pirates pourraient exploiter pour prendre le contrôle des machines de vos utilisateurs. Ces deux vulnérabilités ont pour vecteur d’attaque des documents attachés à un email envoyé au compte de messagerie de vos utilisateurs dans l’espoir que ces derniers ouvrent les pièces jointes. Et environ 10% des cibles les ouvrent selon des données de l’APWG (http://www.antiphishing.org) fournies dans le rapport VDBIR de Verizon.

À propos de vulnérabilités au sein de formats de fichiers entraînant une exécution RCE, Adobe diffuse également un patch ce mois-ci. Ce dernier résout des problèmes critiques dans Adobe Flash et Adobe Reader/Acrobat via les bulletins de sécurité APSB15-09 et APSB15-10. Pour Adobe Reader, le vecteur d’attaque est semblable au scénario Office décrit plus haut, à savoir qu’un pirate doit inciter un utilisateur à ouvrir un document PDF joint formaté de manière à exécuter l’exploit. Une fois installés sur la machine, les attaquants exploiteront ensuite une deuxième vulnérabilité pour obtenir des privilèges d’administration système, par exemple une vulnérabilité au niveau du noyau que Microsoft résout dans ses bulletins MS15-051 et MS15-052. Intégrez les deux bulletins à votre programme de patch critique.

Les autres bulletins de sécurité critiques concernent Journal Windows avec six vulnérabilités. Deux des vulnérabilités sont publiquement connues sans être pour autant exploitées. Corrigez rapidement et envisagez de désactiver l’application de prise de notes Journal Windows. Ne connaissant personne qui utilise cette application, je recommande donc de suivre la solution de contournement décrite dans l’avis de sécurité et de neutraliser la description du fichier « .jnl » pour contrer cette attaque et les prochaines à venir contre ce logiciel.

C’en est fini des bulletins de sécurité critiques pour mai. Les autres avis de sécurité concernent un certain nombre d’autres produits Microsoft parmi lesquels le logiciel serveur Sharepoint qui profite d’un patch pour une vulnérabilité de type RCE potentiel dans MS15-047.

Corrigez rapidement, d’ici deux semaines si vous le pouvez. (Par wkandek)

Adobe, Cybersécurité, Entreprise, Fuite de données, Logiciels, Microsoft, Mise à jour, Patch, Propriété Industrielle

Patch Tuesday de mars 2015

Tout comme le mois dernier, davantage de vulnérabilités sont encore traitées par rapport à un mois classique. À moins qu’il ne s’agisse d’un nouveau rythme concernant les correctifs des failles de Microsoft et Adobe, avec un ensemble d’autres failles de sécurité à résoudre.

Les correctifs de Microsoft sont au nombre de 14 pour mars, dont 5 critiques. La priorité absolue est le bulletin MS15-018 consacré à Internet Explorer (IE). Toutes les versions d’IE sont concernées, depuis IE6 (sur Windows Server 2003) jusqu’à IE11. La nouvelle version traite 12 vulnérabilités, dont 10 critiques et exploitables pour exécuter du code sur la machine ciblée. L’une des vulnérabilités a été publiquement révélée, mais elle n’est pas du type Exécution de code à distance, ce qui atténue un peu l’exposition. Scénario typique : un attaquant injecte du code HTML malveillant sur un site Web sous son contrôle puis il incite la machine cible à se rendre sur ce site. Il peut aussi pirater un site sur lequel la cible se rend habituellement et tout simplement attendre que cette dernière se rende sur ledit site. MS15-019 est le bulletin frère de MS15-018 et corrige le composant VBScript pour IE6 et IE7 qui est résolu dans MS15-018 pour les navigateurs plus récents. Commencez par installer ce bulletin.

MS15-022 est le second bulletin le plus important en termes de sévérité. Il corrige cinq vulnérabilités dans Microsoft Office, l’un d’elle étant critique dans l’analyseur RTF. En effet, ce dernier peut être exécuté automatiquement dans la zone d’aperçu lors de la réception d’un courriel si bien que Microsoft classe cette vulnérabilité comme critique. Cependant, comme deux des vulnérabilités restantes permettent à un attaquant d’exécuter du code à distance, nous positionnons ce bulletin en tête du classement d’aujourd’hui.

MS15-021 résout huit vulnérabilités liées aux polices sous Windows. En effet, un attaquant qui incite un utilisateur à visualiser une police altérée peut lancer une exécution de code à distance sur la machine ciblée. Les attaques peuvent être lancées via des pages Web ou des documents, au format PDF ou Office.

Stuxnet
MS15-020 est le dernier bulletin critique de la série pour le mois de mars. Il concerne un attaquant qui peut inciter un utilisateur à parcourir un répertoire d’un site Web ou à ouvrir un fichier. Le système Windows Text Services contient une vulnérabilité qui permet à l’attaquant de lancer une exécution de code à distance sur la machine cible. Ce bulletin comprend aussi un correctif pour CVE-2015-0096, une vulnérabilité associée à la vulnérabilité Stuxnet d’origine CVE-2010-2568. HP ZDI a rapporté cette vulnérabilité à Microsoft et fournit une bonne description technique sur son blog.

Test Fuzzing
Tous les bulletins restants sont moins critiques, c’est-à-dire seulement importants, dans la mesure où les vulnérabilités concernées ne permettent typiquement pas à un attaquant d’exécuter du code à distance. Ces dernières sont plutôt des fuites d’information ou n’autorisent qu’une élévation locale de privilèges. Les bulletins MS15-024 et MS15-029 traitent des bugs découverts via l’outil afl-fuzz de lcamtuf et que ce dernier améliore sans cesse et rend toujours plus intelligent. Jetez un coup d’œil sur son blog pour lire une série de posts sur afl-fuzz.

Serveurs
MS15-026 est un bulletin pour Microsoft Exchange qui résout plusieurs élévations de privilèges et problèmes de fuites d’information. Consultez ce bulletin si vous utilisez Outlook Web Access. FREAK cible aussi les serveurs, même si de manière différente. Côté serveur, si vous désactivez le chiffrement de type Configuration d’exportation, vos utilisateurs ne pourront pas être victimes de la vulnérabilité FREAK, même si leurs clients ne sont pas patchés.

Adobe
Adobe diffuse aussi une mise à jour (APSB15-05) pour Flash que Microsoft intègre à Internet Explorer, qui sera publiée ce jeudi. Explication de Microsoft dans le correctif KB2755801 : « Le 10 mars 2015, Microsoft a publié une mise à jour (3044132) pour Internet Explorer 10 sur Windows 8, Windows Server 2012, Windows RT ainsi que pour Internet Explorer 11 sur Windows 8.1, Windows Server 2012 R2, Windows RT 8.1, Windows Technical Preview et Windows Server Technical Preview. Cette mise à jour concerne les vulnérabilités décrites dans le bulletin de sécurité Adobe APSB15-05 (disponible le 12 mars 2015). Pour plus d’informations sur cette mise à jour, y compris les liens de téléchargement, voir l’article 3044132 dans la base de connaissances Microsoft. »

Appliquez les correctifs aussi vite que possible mais vérifiez aussi votre exposition à Superfish et sachez que certaines applications modifient votre magasin de certificats racine pour espionner vos communications. (Par Wolfgang Kandek, CTO, Qualys Inc.)

Adobe, Apple, Cyber-attaque, Cybersécurité, ios, iOS, Linux, Linux, Logiciels, Microsoft, Mise à jour, OS X, Patch, Piratage, Smartphone

Windows, moins dangereux qu’iOS et OS X d’Apple

Le National Vulnerability Database, qui recense les failles dans les logiciels et autres applications web indique que l’année 2014 aura été l’année des vulnérabilités pour iOS, OS X Apple et Linux. Windows se classe 4ème.

Voilà qui a fait pas mal parler chez les « trolleurs » en tout genre. Mais il faut bien l’admettre, la firme de Redmond a mis les bouchées double pour protéger son OS, Windows. Bilan, la National Vulnerability Database, qui recense les failles (19 par jour en 2014) a classé l’OS de Microsoft plus sécurisé qu’iOS, OS X Apple. Même Linux, classé 3ème, dans ce top 4, devance Microsoft du point de vu des failles découvertes l’année dernière. Les problèmes dans les systèmes d’exploitation (OS) ne représentent que 13% des failles recensées en 2014. 1.705 failles recensées. 182 failles de moins que l’année record, en 2010. Les navigateurs sont toujours montrés du doigt. Internet Explorer, en 2014, a souffert de 242 brèches dangereuses. Chrome (124) et Firefox (117) ont dépassé la centaine de failles. (gfi)

Adobe, Cyber-attaque, Cybersécurité, Entreprise, Fuite de données, Logiciels, Mise à jour, Patch, Piratage, Propriété Industrielle

Nouvelle vulnérabilité zero-day dans Adobe Flash

Un commentaire

Trend Micro, éditeur de logiciel et solutions de sécurité, a identifié le week-end dernier une nouvelle vulnérabilité 0day affectant Adobe Flash Player, la troisième depuis le début de l’année ! Confirmée par Adobe mais pas encore patchée, cette faille expose plus d’un milliard d’ordinateurs utilisant la dernière version d’Adobe Flash.

Dans un post publié hier sur leur blog, les chercheurs de Trend Micro expliquent que cette vulnérabilité est semblable à celle de la semaine dernière, qui affectait les produits Flash pour Windows. Les attaques sont en effet menées via des publicités en ligne malveillantes, une technique appelée « malvertising ».

L’attaque révélée hier est en cours depuis le 14 janvier et s’est intensifiée à partir du 27 janvier. 3 294 compromissions ont déjà été détectées par les chercheurs sur l’un des sites concernés. Dailymotion.com est l’un des premiers sites où ces attaques ont été détectées.

« Il s’agit de la troisième vulnérabilité découverte depuis le début de l’année dans ce logiciel très répandu chez les particuliers et au sein des entreprises ! Un incident qui rappelle l’importance du Virtual Patching », commente à DataSecurityBreach.fr Loïc Guézo, de chez Trend Micro. « Cette démarche est essentielle pour compenser le temps nécessaire à l’éditeur concerné pour publier son patch correctif. Des délais parfois très longs ! De plus, certains patches sont incorrects, comme c’est arrivé avec Heartbleed, ou n’arrivent tout simplement jamais si les systèmes ne disposent plus de support, comme c’est le cas pour les anciennes versions de Windows. »

Il est recommandé aux entreprises ne disposant pas d’un système de sécurité adéquat de désactiver Adobe Flash Player en attendant qu’un patch de sécurité soit disponible. Data Security Breach en profite pour vous rappeler de vous méfier des fausses mises à jour [lire].

Adobe, Cyber-attaque, Cybersécurité, Entreprise, Fuite de données, Joomla, Leak, Logiciels, Microsoft, Mise à jour, Oracle, Patch, Piratage, Red Hat, Social engineering, Wordpress

Selon Cisco – 100% des réseaux analysés contiennent des malwares

Le principal enjeu des équipes en charge de la sécurité des systèmes d’information est de faire face à des attaques de plus en plus ciblées et de mieux comprendre la menace pour détecter les signaux faibles sur leurs réseaux. Selon Cisco – 100% des réseaux analysés contiennent des malwares. Vous avez dit inquiétant ?

Le Rapport Annuel sur la Sécurité 2015 de Cisco révèle que 40 % des failles de sécurité en entreprise ne sont pas corrigées. Les résultats du Rapport Cisco soulignent que, malgré une prise de conscience de la menace et un nombre croissant d’attaques ciblées médiatisées, les entreprises n’utilisent pas forcément l’ensemble des outils disponibles, simples à mettre en œuvre, pour contrer les cyberattaques. L’étude Cisco a été menée auprès de 1700 entreprises dans 9 pays.

Le Rapport permet de tirer plusieurs conclusions majeures :
La menace est réelle et permanente : 100 % des réseaux analysés contiennent des malwares. Ces résultats sont identiques au Rapport 2014. En 2014, 1 % des vulnérabilités connues (43 sur 6756) ont été exploitées par les cybercriminels. D’une part, cela signifie que les entreprises doivent prioriser 1 % des vulnérabilités exploitées dans le cadre de leur politique globale de correction. D’autre part, même si les technologies atteignent de hauts niveaux de performance, il est nécessaire de comprendre les menaces pour lutter contre les vulnérabilités. Les kits d’exploits largement utilisés sont rapidement détectés par les solutions de sécurité – ce qui signifie que les cybercriminels préfèrent disposer  du 4ème ou 5ème kit d’exploits le plus utilisé, pour ne pas trop attirer l’attention. Même si les kits d’exploits ont diminué de 88 % entre mai et novembre 2014, ils restent un outil utilisé à un rythme soutenu par les cybercriminels, aux conséquences sérieuses pour les entreprises. Les failles Java sont en baisse de 34 % et les attaques Flash de 3 % alors que les failles Silverlight ont augmenté de 228 % et les failles PDF de 7 %.

Les malwares Flash peuvent désormais interagir avec JavaScript pour cacher des vulnérabilités en partageant un exploit entre deux fichiers distincts : un Flash et un JavaScript. L’activité malveillante est alors plus difficile à détecter et à analyser et prouve la sophistication des attaques et la professionnalisation des hackers.

L’industrie pharmaceutique et la chimie sont les secteurs les plus touchés par la cybercriminalité. Les médias, l’industrie, le transport et la logistique et l’aviation complètent le top 5 des secteurs les plus touchés. L’an dernier, seuls l’industrie pharmaceutique et la chimie et l’aviation figuraient parmi les secteurs les plus concernés par les attaques. Le volume de spam a augmenté de 250 % en 2014. Plus ciblé et plus dangereux, envoyé à plus faible volume à partir d’un grand nombre d’adresses IP pour échapper aux outils de détection, un nouveau type de spam est en train d’émerger (Snowshoe). Les spammeurs adaptent les messages à leur cible (phishing), de façon à contourner les filtres anti-spam pour mieux tromper leurs victimes. Le malvertising (publicités malicieuses) est une nouvelle technique utilisée par les cybercriminels en 2014 qui permet de diffuser des malwares au travers des navigateurs, tout en ne nécessitant pas de moyens importants mais permettant aux cybercriminels de gagner beaucoup d’argent. Adobe et Internet Explorer sont les éditeurs les plus vulnérables avec respectivement 19 % et 31 % des attaques observées.

Grâce à l’évolution des technologies de sécurité, les attaques directes et massives sont de plus en plus difficiles à mettre en œuvre. Les cybercriminels font désormais preuve de plus de créativité pour tromper l’utilisateur afin que celui-ci installe lui-même le logiciel malveillant. Ils profitent également de la faiblesse des entreprises en matière de mise à jour des vulnérabilités connues sur leurs systèmes : Alors que la faille Heartbleed a été découverte il y a plus de 6 mois, et qu’elle a permis de révéler une faille dans OpenSSL, 56 % des versions OpenSSL ont plus de 4 ans et sont toujours vulnérables car elles n’ont pas été mises à jour depuis la sortie du patch. Internet Explorer est le navigateur le moins mis à jour avec seulement 10 % des versions installées mises à jour avec la dernière version connue, la version la plus courante datant de 31 mois par rapport à la version la plus récente. Au contraire, 64 % des versions de Chrome sont à jour.

« La sécurité du système d’information est une affaire d’équipe : elle ne pourra être optimale que si le RSSI et l’équipe informatique, les dirigeants de l’entreprise, les directeurs métier, etc. travaillent ensemble pour mieux comprendre la menace et faire face aux cyberattaques. Les cybercriminels travaillent de mieux en mieux pour dissimuler leurs traces. L’ensemble des parties prenantes doit donc répondre à des questions majeures : est-ce que l’entreprise dispose des outils qui lui permettront non seulement d’identifier les attaques avérées, mais également de déterminer où se situent les vrais vulnérabilités de son informatique ? Comment l’entreprise peut être certaine que ses utilisateurs sont en sécurité, et cela même lorsqu’ils travaillent en dehors du périmètre du réseau de l’entreprise ? » explique à DataSecurityBreach.fr Christophe Jolly, Directeur Sécurité Cisco France. « Face à l’évolution de la menace, les entreprises doivent mettre en œuvre un ensemble de mesures de sécurité pour leur permettre de répondre aux défis liés à la cybercriminalité et au cyberespionnage industriel et pour mieux comprendre la cybersécurité du monde d’aujourd’hui ».

Retrouvez le Rapport Annuel sur la Sécurité 2015 de Cisco en intégralité ici : www.cisco.com/go/asr2015

Adobe, Arnaque, backdoor, Cyber-attaque, Cybersécurité, escroquerie, Espionnae, Fuite de données, Leak, Microsoft, Phishing, Piratage, Vie privée

Google et Doubleclic exploités dans une diffusion malveillante

La méthode est connue, utilisée depuis des années : des pirates exploitent les réseaux publicitaires pour diffuser des codes malveillants dans les ordinateurs des visiteurs de site Internet. Des cyber-criminels ont exploité la puissance de deux réseaux de publicité en ligne pour infecter et infiltrer des millions de potentielles victimes.

Lors de vos visites sur le site web, des publicités peuvent s’afficher. Des pirates informatiques ont rapidement compris le potentiel intérêt de ces supports pour diffuser leurs malveillances informatiques. Il y a quelques jours, les réseaux de DoubleClick et de l’agence de publicité Zedo, affiliée à Google, ont diffusé des publicités malveillantes qui avaient pour mission d’installer un logiciel espion dans les ordinateurs des visiteurs.

Un récent rapport publié par les chercheurs de la société Malwarebytes suggère que les cybercriminels ont pu profiter d’affiches piégés sur un certain nombre de sites web, y compris le Times d’Israël, le Jérusalem Post et encore le  site de streaming musical Last.fm.

L’attaque a été détectée à la fin du mois août dernier. Depuis, des millions d’ordinateurs ont probablement été exposés au code malveillant Zemot. Un microbe que les antivirus mis à jour détectent les yeux fermés. Google a confirmé l’attaque et a fermé l’ensemble des serveurs permettant la diffusion des publicités piégées. Ce qui est intéressant, dans ce cas, est la facilité déconcertante qu’ont eu les pirates à pirater les administrations de diffusion, à installer leurs publicités et à permettre la mise en ligne sans que personne ne puisse s’en inquiéter.

Les pirates ont exploité de nombreux sites supports, les publicités renvoyaient sur ces espaces. Des sites qui déclenchaient ensuite l’installation d’un kit pirate. Beaucoup de sites étaient basés au Pays-Bas (.nl), Suisse (.ch) et quelques pays de l’Est.

Zemot a été détecté, pour la première fois, en novembre 2013. Rien qu’en juin 2014, Microsoft annonçait 45.000 machines piégées ; plus de 35.000 en juillet, 27.000 en août. Zemot se concentre sur des ordinateurs exécutant Windows XP, mais il peut aussi infecter les systèmes d’exploitation plus modernes s’exécutant sur des machines tournant en x86 et 64 bits. Zemot est conçu pour contourner la sécurité d’un système avant d’infecter les ordinateurs avec des logiciels malveillants supplémentaires.

Adobe, Cybersécurité, Logiciels, Microsoft, Mise à jour, Oracle, Patch

Grosses mises à jour Microsoft et Adobe

Microsoft a publié ce 8 juillet six bulletins pour des vulnérabilités qui affectent toutes les versions d’Internet Explorer, de Windows ainsi que des composants pour serveur. Deux vulnérabilités sont considérées comme « critiques » car elles autorisent l’exécution de codes à distance (RCE), tandis que trois sont signalées comme « importantes » dans la mesure où elles autorisent une élévation de privilèges internes sur Windows.

Le patch le plus critique est le bulletin 1. Il concerne toutes les versions d’Internet Explorer (IE) depuis la version 6 du navigateur, désormais uniquement prise en charge sur Windows Server 2003 depuis l’arrêt du support de XP, jusqu’à la toute dernière version IE 11 sur Windows 8.1 et R. Ce patch doit être une priorité pour vous car la plupart des attaques s’appuient d’une manière ou d’une autre sur votre navigateur Web. Les derniers chiffres publiés dans le rapport Microsoft SIR v16 démontrent clairement que les attaques Web, notamment via Java et Adobe Flash, sont les plus courantes.

Le bulletin 2 est une mise à jour critique pour Windows. Toutes les versions de Vista, Windows 7, 8 et RT pour poste de travail sont concernées. Concernant l’aspect serveur, toutes les versions sauf la plus ancienne, Windows Server 2003, sont affectées. La mise à jour imposera de réinitialiser le système, un paramètre à inclure dans votre planning, plus particulièrement côté serveur.

Les bulletins 3, 4 et 5 traitent de vulnérabilités liées à des élévations de privilèges dans Windows. Toutes les versions de Windows sont concernées. Il s’agit de vulnérabilités locales qui ne permettent pas d’exécuter du code à distance via le réseau, mais qui imposent à l’attaquant d’être déjà présent sur la machine ciblée en tant qu’utilisateur normal ou standard. Les exploits pour ces types de vulnérabilités font partie de la boîte à outils de tout pirate qui a obtenu un compte sur la machine ciblée, après avoir subtilisé des certificats. Dans tous les cas de figure, l’attaquant souhaitera pouvoir contrôler la machine en permanence et, pour ce faire, il devra devenir administrateur de cette dernière afin d’y installer son code de contrôle malveillant. C’est à ce moment que ces vulnérabilités entrent en jeu. Nous estimons donc que résoudre ces dernières est une priorité absolue pour contrarier ou ralentir les attaquants installés sur la machine ciblée.

Enfin, le bulletin 6 traite une vulnérabilité par déni de service (DoS) dans le Service Bus de Windows. Le Service Bus est un tout nouveau composant de Windows utilisé dans l’environnement Windows Azure pour développer des applications hétérogènes. Selon nos estimations, rares sont les entreprises qui ont installé ce composant. Sur Azure, Microsoft se charge de déployer le correctif à votre place.

Courant juillet, Oracle publiera sa mise à jour des patchs critiques (CPU). Elle devrait être diffusée le 15 juillet et fournir des correctifs pour des centaines de vulnérabilités. La pertinence de ces patchs pour votre entreprise dépend de votre inventaire logiciel, mais, dans tous les cas, la mise à jour de Java sera incontournable pour la plupart des entreprises.

Même chose pour ADOBE. Il est d’ailleurs conseillé de se rendre sur le site afin de mettre à jour rapidement l’outil Flash Player. Une mise à jour d’Adobe Flash indispensable. Passez rapidement vers la version 14.0.0.145 qui tourne sur les systèmes Windows, Mac et Linux. Voyez le site ADOBE pour connaitre votre version de flash installée. (avec Wolfgang Kandek, CTO Qualys)

Adobe, Android, Logiciels, Mise à jour, Sécurité, Smartphone

Faille pour le lecteur Adobe PDF dédié à Android

Un commentaire

Les smartphones et tablettes deviennent de véritables nids à problémes. Après les fuites de données via les applications malveillantes, des systèmes de sécurité bancals, voici venir une faille dans un outil que nous aurions pu penser « propre ». Il a été découvert que l’application, pour Android, du logiciel Adobe Reader PDF était faillible à une vulnérabilité qui permet à un pirate de compromettre les documents stockés dans l’appareil et les fichiers stockés sur la carte SD du matos. Le lecteur Adobe exploite du javascript mal sécurisé (pleonasme ? ndr). Le chercheur néerlandais en sécurité Yorick Koster a vérifié avec succès l’existence de la vulnérabilité dans la version 11.1.3 du lecteur Adobe pour Android. Le bug a été corrigé dans la dernière version 11.2.0. Il est donc fortement conseillé de mettre à jour l’outil. Un code de démonstration « poc » est proposé. Il va créer un fichier .txt lorsqu’un utilisateur ouvre un fichier pdf spécialement conçu pour utiliser la version vulnérable d’Adobe Reader.