Orange Business Services
Vigil@nce Vigil@nce Vigil@nce
nous veillons pour votre sécurité depuis 1999
 accueil présentation vulnérabilités documentation contact  
espace abonné espace abonné
accès gratuit accès gratuit
Vigil@nce décrit les vulnérabilités informatiques qui affectent vos systèmes, et propose les solutions pour y remédier.
vulnérabilités récentes vulnérabilités récentes
produits suivis produits suivis
fil RSS fil RSS
vulnérabilité

vulnérabilité CVE-2009-2510 CVE-2009-2511

Windows, IE : validation incorrecte de X.509

Synthèse de la vulnérabilité

Un attaquant peut inviter la victime à se connecter sur un site SSL employant un certificat X.509 avec un champ illicite, afin de tromper la victime.
Gravité : 2/4.
Date création : 01/10/2009.
Dates révisions : 02/10/2009, 06/10/2009.

Description de la vulnérabilité

Internet Explorer emploie la CryptoAPI de Windows pour gérer les certificats SSL/TLS. D'autres applications emploient la CryptoAPI, qui est impactée par deux vulnérabilités.

Lorsqu'un certificat X.509 contient un caractère nul dans le champ Common Name, la CryptoAPI tronque le champ. Cette vulnérabilité est similaire à VIGILANCE-VUL-8908, même si le code source à l'origine de cette erreur est différent. [grav:2/4; BID-36475, CVE-2009-2510, REJ-2009-3454, >]

Les OIDs (Object ID) indiquent les champs des certificats X.509 (encodés en ASN.1 BER). Le champ "Common Name" possède l'OID 2.5.4.3. Les OIDs 2.5.4.0003 et 2.5.4.2^64.3 sont invalides. Cependant, la CryptoAPI les reconnaît comme 2.5.4.3, c'est-à-dire comme le CN. [grav:2/4; BID-36577, CVE-2009-2511, >]

Un attaquant peut donc inviter la victime à se connecter sur un site SSL employant un certificat X.509 illicite, afin de tromper la victime.

Bulletin Vigil@nce complet

Accès au bulletin Vigil@nce complet

Caractéristiques

Titre : Windows, IE : validation incorrecte de X.509.
Mots clés : 0003 509 ASN BER Common CryptoAPI Explorer Name OID OIDs Object REJ-2009-3454 SSL TLS Windows incorrecte validation.
Références : 974571, BID-36475, BID-36577, CVE-2009-2510, CVE-2009-2511, MS09-056, REJ-2009-3454, VIGILANCE-VUL-9060.

Sources d'information

Publications et annonces
Exemple de source : MS09-056 - Vulnerabilities in Windows CryptoAPI Could Allow Spoofing (974571)

Solutions pour cette vulnérabilité

Patch correctif ou contre-mesure

Compléments

Vulnérabilité : NULL

Lorsqu'un certificat X.509 contient un caractère nul dans le champ Common Name, la CryptoAPI tronque le champ. Cette vulnérabilité est similaire à VIGILANCE-VUL-8908, même si le code source à l'origine de cette erreur est différent.
Gravité : 2/4.
Références : BID-36475, CVE-2009-2510, REJ-2009-3454.
Publications et annonces
Exemple de source : SSL spoof bug still haunts IE, Safari, Chrome

Vulnérabilité : OID

Les OIDs (Object ID) indiquent les champs des certificats X.509 (encodés en ASN.1 BER). Le champ "Common Name" possède l'OID 2.5.4.3. Les OIDs 2.5.4.0003 et 2.5.4.2^64.3 sont invalides. Cependant, la CryptoAPI les reconnaît comme 2.5.4.3, c'est-à-dire comme le CN.
Gravité : 2/4.
Références : BID-36577, CVE-2009-2511.
Publications et annonces
Exemple de source : PKI Layer Cake: New Collision Attacks Against The Global X.509 CA Infrastructure

Attaque

Outil d'attaque ou exploit 0day

Service de veille sur les vulnérabilités informatiques

Le service de veille sur les vulnérabilités informatiques Vigil@nce alerte vos équipes des failles et des menaces qui concernent votre système d'information.
La base de vulnérabilités Vigil@nce contient plusieurs milliers de failles.
Ce bulletin a été rédigé par l'équipe Vigil@nce, qui surveille les vulnérabilités informatiques de systèmes et d'applications.
Vulnérabilité informatique d'applications



















France Télécom Copyright 1999-2010 Vigil@nce. Vigil@nce est proposé par Orange Business Services. Plan du site. Mention légale. English version