Flux RSS

Inscrivez-vous

Annuels Linkbynet : Croissance record en 2010

Le cabinet McKinsey a mesuré l'impact d'Internet sur l'économie française

Mac OS X : Apple propose un patch pour corriger 27 bugs critiques dans Java

Selon Apple, certains de ces bugs peuvent être exploités pour exécuter du code en dehors de la sandbox Java, autorisant ainsi des pirates à détourner des Mac. La firme de Cupertino n'a pas précisé combien de vulnérabilités pourraient être exploitées pour exécuter du code malveillant, une façon de dire que les failles doivent bien être considérées comme critiques.

Mac OS X 10.5, alias Leopard, reçoit ainsi une mise à jour pour remiser 16 vulnérabilités dans Java SE 6 et 11 dans Java SE 5. La mise à jour pour le récent Mac OS X 10.6, alias Snow Leopard, vient corriger 16 bugs dans Java SE 6. Cette dernière comble en effet les mêmes défauts qu'Oracle a corrigé le 15 février 2011 avec sa rustine 1.6.0_24 pour Java. Cette mise à jour Java est la première pour Apple depuis la mi-octobre 2010.

Plus de Java en standard dans Mac OS X 10.7

Peu de temps avant que Apple ne livre cette rustine pour remplacer une machine virtuelle Java devenue "obsolète" sur Mac OS X, certains développeurs disaient désespérer du retard de la firme de Cupertino et envisageaient désormais de travailler avec les outils Open Source du projet OPenJDK d'Oracle pour exploiter Java SE 7. D'autant qu'Apple a depuis annoncé son intention de stopper ses propres développements de Java sur Mac et l'abandonnerait même pour les futures versions de son OS. La société s'est toutefois engagée à maintenir le support de Java dans Leopard et Snow Leopard. 

« La machine virtuelle Java pour Mac OS X 10.6 Snow Leopard et Mac OS X 10.5 
Leopard, continuera d'être soutenue et maintenue durant la durée de vie de ces produits » a indiqué Apple en octobre dernier sur son site web destiné aux développeurs. Cette annonce laisse toutefois entendre qu'Apple ne proposera pas en standard de runtime Java avec Mac OS X 10.7, la prochaine mise à jour du système connu sous le nom de code Lion et attendu cet été. Des informations rapportées par le site AppleInsider le mois dernier confirment que Java est bien absent de Lion. Les experts restent toutefois divisés quant à savoir si la disparition de Java dans Mac OS X améliorera la sécurité du système d'exploitation. 

Les mises à jour Java (de 78 à 120 Mo) proposées cette semaine peuvent être téléchargées sur le site d'Apple ou installées à l'aide de l'utilitaire de mise à jour intégré au système d'exploitation.

Microsoft corrige un bug Windows critique sans toucher à IE

Microsoft a qualifié ce Patch Tuesday de « promenade » pour les utilisateurs. « C'est un mois favorable, » a ainsi déclaré Jerry Bryant, group manager du Microsoft Security Response Center (MSRC) l'entité chargée de pister, de corriger et de livrer les correctifs pour les produits Microsoft.

L'éditeur a aussi pris pour habitude de livrer moins de correctifs les mois impairs. En janvier, par exemple, seules trois vulnérabilités ont été patchées, alors que le mois dernier la mise à jour mensuelle corrigeait 22 vulnérabilités. Une seule des trois mises à jour, le « bulletin » MS11-015, a été jugée «critique», soit le niveau de menace le plus élevé dans le classement de l'éditeur, et les deux autres d'« importantes », soit au second rang de cette classification. Le bulletin critique corrige deux vulnérabilités, dont une dans les composants de Windows Media Center et de Windows Media Player que l'on trouve dans la plupart des versions de Windows. « Celle-ci nous inquiète particulièrement » a déclaré Wolfgang Kandek, CTO de Qualys. La faille se trouve dans les fichiers d'enregistrement vidéo numériques (DVR-MS), créés par le moteur Stream Buffer Engine (SBE) et portant l'extension de fichier .dvr.ms. « C'est un bug lié au navigateur et au site visité, » a déclaré Jerry Bryant, pour expliquer que les attaquants devaient amener les utilisateurs à visiter un site malveillant pour exploiter la vulnérabilité. Selon Andrew Storms, directeur des opérations de sécurité chez nCircle Security, « c'est un drive-by bug, ». « Il existe deux méthodes pour l'exploiter, la première dans un IFRAME, c'est le drive-by classique. L'autre méthode consiste à envoyer un fichier en pièce jointe par mail : les utilisateurs doivent l'ouvrir pour en voir le contenu, car il ne génère pas de preview dans le client mail. » Toutes les éditions de Windows, que ce soit Windows XP, Vista et 7, sont vulnérables tant que ce correctif n'est pas appliqué. « Seule exception : Windows XP Home Edition, qui ne prend pas en charge le codec malveillant, » a déclaré Angela Gunn, senior communications manager du MSRC.

Une vulnérabilité récurrente

La seconde vulnérabilité MS11-015, et les deux autres failles décrites dans les bulletins MS11-016 et MS11-017, concernent le détournement de DLL, parfois appelé bug « binaire entrainant le plantage de la machine. » En août dernier, les chercheurs avaient déjà révélé des problèmes conséquents de détournement de DLL dans Windows, mais aussi dans un grand nombre d'applications de tierce-partie. Microsoft avait commencé à corriger ce problème de DLL dans ses propres programmes en novembre dernier. En décembre, Jerry Bryant avait déclaré que Microsoft pensait avoir résolu tous les problèmes relatifs à cette question. Mais en janvier et février, l'éditeur a fourni des correctifs supplémentaires pour corriger ce problème. « Nos investigations se poursuivent, » a déclaré hier le group manager. « Même si nous pensons avoir identifié tous les problèmes de détournement de DLL dans IE, nous continuons à examiner les autres produits de notre gamme. »

Wolfgang Kandek et Andrew Storm estiment quant à eux que Microsoft continuera à produire des correctifs pour régler le problème du détournement de DLL pendant encore un certain temps. « Cela va durer, non seulement pour les produits de Microsoft, mais aussi pour les produits tiers, » a ainsi déclaré Wolfgang Kandek. Suite à l'alerte diffusée en août, Microsoft avait sorti en urgence un outil pour bloquer les attaques potentielles. Mais les pirates n'ont pas utilisé la technique pour attaquer les ordinateurs sous Windows, ou s'ils ont essayé, leurs tentatives n'ont pas été détectées. Pour Andrew Storm, ce n'est pas une surprise. « Ces failles sont très difficiles à exploiter,» a t-il affirmé. « L'an dernier, cela avait effrayé tout le monde, mais il s'est avéré que le détournement de DLL n'était pas si facile à exploiter. Pour que l'exploit soit efficace, il faut que l'utilisateur se rende sur le site malveillant, ouvre un fichier, que l'attaquant introduise le DLL malveillant et substitue un fichier infecté. Cela représente un certain nombre d'étapes. »  HD Moore, directeur de la sécurité chef Rapid7 et créateur de la boîte à outil Open Source de piratage Metasploit, a rappelé aujourd'hui aux entreprises qu'elles pouvaient rendre les attaques de détournement de DLL plus difficiles encore : en désactivant le service client WebDAV sur tous les ordinateur sous Windows, et en bloquant les ports sortants 139 et 445. L'an dernier, le responsable de Rapid7 avait été l'un des premiers à révéler la nature de cette nouvelle menace.

Pas de modification d'IE avant le Pwn2Own

Cela n'a pas incité Microsoft à corriger IE avant le Pwn2Own qui démarre aujourd'hui. La conférence du hacking, qui met chaque année des chercheurs en sécurité au défi de casser les sécurité des navigateurs internet, Internet Explorer de Microsoft, Safari d'Apple, Chrome de Google et Firefox de Mozilla, se passe en même temps que la conférence sur la sécurité CanSecWest qui se tient à Vancouver du 9 au 11 mars. Le premier chercheur qui réussira à pirater IE, Safari ou Firefox recevra un prix de 15.000 dollars. Et 20.000 dollars s'il parvient à craquer Chrome. Pour Jerry Bryant, il était inutile de perturber les utilisateurs avec une mise à jour de sécurité uniquement pour donner plus de chance à IE de passer l'épreuve du Pwn2Own. « Le concours n'est pas une raison suffisante pour perturber nos clients, » a ainsi déclaré le responsable du MSRC. « Le fait de sortir de notre calendrier de mise à jour est un motif de rupture potentiel, et nous n'avons pas de raison de prendre une telle décision aujourd'hui, sauf s'il était avéré que la vulnérabilité était utilisée de manière active par des attaquants. »

La réponse de Microsoft à propos du patch éventuel d'IE avant le Pwn2Own n'est pas une surprise : les mises à jour d'IE sont réservées aux mois pairs, et le dernier patch du navigateur date du 8 février. « Dans tous les cas, » a ajouté Jerry Bryant, « il n'y a pas de risque à ce que les failles éventuellement découvertes pendant le concours Pwn2Own ne s'échappent dans la nature, puisqu'il est entendu que les bugs sont d'abord signalés aux vendeurs. » C'est le programme Zero Day Initiative (ZDI) initié par HP TippingPoint, qui sponsorise le concours Pwn2Own, paye la majorité des prix en argent comptant, en contrepartie des droits sur les bugs exploités au concours, qu'il revend aux éditeurs. Après quoi, le ZDI accorde six mois aux développeurs pour corriger ces bugs avant de rendre ses informations publiques. C'est ainsi que Google et Mozilla ont récemment patché leur navigateur - Google a même livré une nouvelle mise à jour hier - et Apple devait mettre à jour Safari avant le début du concours Pwn2Own.

Les mises à jour de sécurité de Microsoft peuvent être téléchargées et installées en utilisant les services Microsoft Update et Windows Update, et Windows Server Update (WSUS) pour la version serveur.