:: Actualité ::
[Les News] [Recherche avancée] [SecALERT]
Les 7 MS failles du mois
3 critiques, 3 importantes, une modérée …
le bulletin d’alertes du traditionnel « patch Tuesday » est, ce mois-ci, particulièrement fourni. Des trois vulnérabilités jugées les plus dangereuses, l’on remarque tout d’abord un problème lié aux ADS, toutes versions confondues ou presque (l’édition de 2008 Server Itanium est épargnée).
L’exploitation exige un login et offre la possibilité de crasher des applications server.
Crash de services serveur également par le biais de la faille « Pragmatic General Multicast » (PGM) MS08-036. Il semblerait que cette attaque en déni de service doive passer par un paquet PGM forgé anormalement long provoquant avant toute chose un buffer overflow.
Vient enfin MS08-030, un défaut dans la stack Bluetooth qui concerne les possesseurs de machines sous XP et Vista, et dont l’exploitation peut conduire à une exécution de code à distance. De quoi faire plaisir à Thierry Zoller le père de BTCrack.
Ce patch Tuesday ne serait pas complet sans son habituel "cumulatif" I.E.
Celui de ce mois-ci ne démérite pas : c’est une série de bugs presque ancestraux, qui remontent à I.E. 5.01 et s’étendent jusqu’à la dernière I.E. 7. Rappelons que la qualification de « faille modérée » appliquée au contexte 2008 Server n’est du qu’aux restrictions imposées par les GPO. Toute modification d’ycelle à des fins plus ou moins avouables fera prendre du galon à la collection 08-031.
Notons en passant que le changement de navigateur n’est pas nécessairement une garantie absolue de sécurité. Les « rump sessions » des toutes dernières SSTIC ont fait quelques misères à Firefox, et une récente communication du célèbre chasseur de trous Liu Die Yu prouve très nettement que Safari pour Windows est, lui aussi, critiquable sur certains points. Plus exactement, sa coexistence avec Internet Explorer s’avère relativement orageuse pour des raisons de conception dans les modes de chargement de DLL d’I.E..
Ce défaut est-il corrigé avec la dernière rustine de ce mardi ? Rien n’est moins sûr, puisque les experts eux-mêmes ne s’entendent pas sur l’origine du défaut. Entre le trou de Nitesh Dhanjani et la faille d’Aviv Raff, il existe une différence. Subtile… mais une différence quand même.
Si l’on excepte la preuve de faisabilité du « coup double » Safari/I.E., il n’existe, à l’heure où nous rédigeons ces lignes, pas de publication de PoC* sur les principaux sites d’alertes, tels que Milw0rm ou les ressources de Zaraza. Le déploiement des correctifs et les tests de non-régression peuvent donc s’opérer dans une relative quiétude.
*NdlC (Note de la Correctrice) : Le PoC, ou "Proof of Concept", n’est qu’une autre manière de désigner une "preuve de faisabilité", abominable barbarisme néologisant dont raffole l’auteur.
Ce dernier tente donc péniblement –et en vain- d’éviter répétitions et idées ressassées. Notons au passage que le « PoC » n’est pas nécessairement synonyme d’Exploit. L’Exploit en question, qui n’a strictement rien à voir avec celui des coulisses de Robert Chapatte, fait généralement un peu plus que prouver l’existence d’une faille. Il en tire un bénéfice direct, allant de l’extraction de données à l’exécution de programmes plus ou moins avouables, en passant par les élévations de privilèges ou les dénis de service.
|
