L'équipe Vigil@nce veille les vulnérabilités publiques qui affectent votre parc informatique, puis propose des correctifs sécurité, une base et des outils pour y remédier.

Vulnérabilités informatiques de F-Secure AV

alerte de vulnérabilité CVE-2017-5565 CVE-2017-5566 CVE-2017-5567

Antivirus : élévation de privilèges via Microsoft Application Verifier

Synthèse de la vulnérabilité

Un attaquant peut contourner les restrictions via Microsoft Application Verifier de Antivirus, afin d'élever ses privilèges.
Produits concernés : Avast AV, NOD32 Antivirus, F-Secure AV, AVG AntiVirus, McAfee MOVE AntiVirus, VirusScan, Norton Antivirus, Norton Internet Security, Panda AV, Panda Internet Security, TrendMicro Internet Security, OfficeScan.
Gravité : 2/4.
Conséquences : accès/droits administrateur, accès/droits privilégié.
Provenance : shell utilisateur.
Nombre de vulnérabilités dans ce bulletin : 5.
Date création : 22/03/2017.
Références : 1116957, CVE-2017-5565, CVE-2017-5566, CVE-2017-5567, CVE-2017-6186, CVE-2017-6417, VIGILANCE-VUL-22211.

Description de la vulnérabilité

Un attaquant peut contourner les restrictions via Microsoft Application Verifier de Antivirus, afin d'élever ses privilèges.
Bulletin Vigil@nce complet... (Essai gratuit)

vulnérabilité informatique CVE-2017-6466

F-Secure AV : Man-in-the-Middle

Synthèse de la vulnérabilité

Un attaquant peut se positionner en Man-in-the-Middle sur F-Secure AV, afin de lire ou modifier des données de la session.
Produits concernés : F-Secure AV.
Gravité : 2/4.
Conséquences : lecture de données, création/modification de données.
Provenance : serveur internet.
Nombre de vulnérabilités dans ce bulletin : 2.
Date création : 10/03/2017.
Références : CVE-2016-9892-ERROR, CVE-2017-6466, VIGILANCE-VUL-22075.

Description de la vulnérabilité

Un attaquant peut se positionner en Man-in-the-Middle sur F-Secure AV, afin de lire ou modifier des données de la session.
Bulletin Vigil@nce complet... (Essai gratuit)

bulletin de vulnérabilité 17793

F-Secure Anti-Virus : élévation de privilèges via FSGK.SYS

Synthèse de la vulnérabilité

Un attaquant local peut utiliser le pilote FSGK.SYS de F-Secure Anti-Virus, afin d'élever ses privilèges.
Produits concernés : F-Secure AV.
Gravité : 2/4.
Conséquences : accès/droits administrateur, accès/droits privilégié.
Provenance : compte utilisateur.
Date création : 02/09/2015.
Références : FSC-2015-3, VIGILANCE-VUL-17793.

Description de la vulnérabilité

Le produit F-Secure Anti-Virus installe le pilote Gatekeeper (FSGK.SYS).

Cependant, ce pilote n'utilise pas le drapeau FILE_DEVICE_SECURE_OPEN, ce qui permet à un attaquant local de manipuler l'allocation de mémoire noyau.

Un attaquant local peut donc utiliser le pilote FSGK.SYS de F-Secure Anti-Virus, afin d'élever ses privilèges.
Bulletin Vigil@nce complet... (Essai gratuit)

vulnérabilité informatique CVE-2014-3566

SSL 3.0 : déchiffrement de session, POODLE

Synthèse de la vulnérabilité

Un attaquant, placé en Man-in-the-Middle, peut déchiffrer une session SSL 3.0, afin d'obtenir des informations sensibles.
Produits concernés : SES, SNS, Apache httpd, Arkoon FAST360, ArubaOS, Asterisk Open Source, BES, ProxyAV, ProxySG par Blue Coat, SGOS par Blue Coat, GAiA, CheckPoint IP Appliance, IPSO, SecurePlatform, CheckPoint Security Appliance, CheckPoint Security Gateway, Cisco ASR, Cisco ACE, ASA, AsyncOS, Cisco CSS, Cisco ESA, IOS par Cisco, IOS XE Cisco, IOS XR Cisco, IronPort Email, Nexus par Cisco, NX-OS, Prime Infrastructure, Cisco PRSM, Cisco Router, WebNS, Clearswift Email Gateway, Clearswift Web Gateway, CUPS, Debian, Black Diamond, ExtremeXOS, Summit, BIG-IP Hardware, TMOS, Fedora, FortiGate, FortiGate Virtual Appliance, FortiManager, FortiManager Virtual Appliance, FortiOS, FreeBSD, F-Secure AV, hMailServer, HPE BSM, HP Data Protector, HPE NNMi, HP Operations, ProCurve Switch, SiteScope, HP Switch, TippingPoint IPS, HP-UX, AIX, Domino, Notes, Security Directory Server, SPSS Data Collection, Tivoli System Automation, Tivoli Workload Scheduler, WebSphere AS Traditional, WebSphere MQ, IVE OS, Juniper J-Series, Junos OS, Junos Space, Junos Space Network Management Platform, MAG Series par Juniper, NSM Central Manager, NSMXpress, Juniper SA, McAfee Email and Web Security, McAfee Email Gateway, ePO, VirusScan, McAfee Web Gateway, IE, Windows 2003, Windows 2008 R0, Windows 2008 R2, Windows 2012, Windows 7, Windows 8, Windows (plateforme) ~ non exhaustif, Windows RT, Windows Vista, NETASQ, NetBSD, NetScreen Firewall, ScreenOS, nginx, Nodejs Core, OpenSSL, openSUSE, openSUSE Leap, Oracle DB, Oracle Fusion Middleware, Oracle Identity Management, Oracle OIT, Solaris, Tuxedo, WebLogic, Palo Alto Firewall PA***, PAN-OS, Polycom CMA, HDX, RealPresence Collaboration Server, RealPresence Distributed Media Application, Polycom VBP, Postfix, SSL (protocole), Puppet, RHEL, JBoss EAP par Red Hat, RSA Authentication Manager, ROS, ROX, RuggedSwitch, Slackware, Splunk Enterprise, stunnel, SUSE Linux Enterprise Desktop, SLES, Synology DSM, Ubuntu, Unix (plateforme) ~ non exhaustif, ESXi, vCenter Server, VMware vSphere, VMware vSphere Hypervisor, WinSCP.
Gravité : 3/4.
Conséquences : lecture de données, création/modification de données.
Provenance : client internet.
Date création : 15/10/2014.
Références : 10923, 1589583, 1595265, 1653364, 1657963, 1663874, 1687167, 1687173, 1687433, 1687604, 1687611, 1690160, 1690185, 1690342, 1691140, 1692551, 1695392, 1696383, 1699051, 1700706, 2977292, 3009008, 7036319, aid-10142014, AST-2014-011, bulletinapr2015, bulletinjan2015, bulletinjan2016, bulletinjul2015, bulletinjul2016, bulletinoct2015, c04486577, c04487990, c04492722, c04497114, c04506802, c04510230, c04567918, c04616259, c04626982, c04676133, c04776510, CERTFR-2014-ALE-007, CERTFR-2014-AVI-454, CERTFR-2014-AVI-509, CERTFR-2015-AVI-169, CERTFR-2016-AVI-303, cisco-sa-20141015-poodle, cpujul2017, CTX216642, CVE-2014-3566, DSA-3053-1, DSA-3253-1, DSA-3489-1, ESA-2014-178, ESA-2015-098, ESXi500-201502001, ESXi500-201502101-SG, ESXi510-201503001, ESXi510-201503001-SG, ESXi510-201503101-SG, ESXi550-201501001, ESXi550-201501101-SG, FEDORA-2014-12989, FEDORA-2014-12991, FEDORA-2014-13012, FEDORA-2014-13017, FEDORA-2014-13040, FEDORA-2014-13069, FEDORA-2014-13070, FEDORA-2014-13444, FEDORA-2014-13451, FEDORA-2014-13764, FEDORA-2014-13777, FEDORA-2014-13781, FEDORA-2014-13794, FEDORA-2014-14234, FEDORA-2014-14237, FEDORA-2014-15379, FEDORA-2014-15390, FEDORA-2014-15411, FEDORA-2014-17576, FEDORA-2014-17587, FEDORA-2015-9090, FEDORA-2015-9110, FreeBSD-SA-14:23.openssl, FSC-2014-8, HPSBGN03256, HPSBGN03305, HPSBGN03332, HPSBHF03156, HPSBHF03300, HPSBMU03152, HPSBMU03184, HPSBMU03213, HPSBMU03416, HPSBUX03162, HPSBUX03194, JSA10656, MDVSA-2014:203, MDVSA-2014:218, MDVSA-2015:062, NetBSD-SA2014-015, nettcp_advisory, openSUSE-SU-2014:1331-1, openSUSE-SU-2014:1384-1, openSUSE-SU-2014:1395-1, openSUSE-SU-2014:1426-1, openSUSE-SU-2016:0640-1, openSUSE-SU-2016:1586-1, openSUSE-SU-2017:0980-1, PAN-SA-2014-0005, POODLE, RHSA-2014:1652-01, RHSA-2014:1653-01, RHSA-2014:1692-01, RHSA-2014:1920-01, RHSA-2014:1948-01, RHSA-2015:0010-01, RHSA-2015:0011-01, RHSA-2015:0012-01, RHSA-2015:1545-01, RHSA-2015:1546-01, SA83, SB10090, SB10104, sk102989, SOL15702, SP-CAAANKE, SP-CAAANST, SPL-91947, SPL-91948, SSA:2014-288-01, SSA-396873, SSA-472334, SSRT101767, STORM-2014-02-FR, SUSE-SU-2014:1357-1, SUSE-SU-2014:1361-1, SUSE-SU-2014:1386-1, SUSE-SU-2014:1387-1, SUSE-SU-2014:1387-2, SUSE-SU-2014:1409-1, SUSE-SU-2015:0010-1, SUSE-SU-2016:1457-1, SUSE-SU-2016:1459-1, T1021439, TSB16540, USN-2839-1, VIGILANCE-VUL-15485, VMSA-2015-0001, VMSA-2015-0001.1, VMSA-2015-0001.2, VN-2014-003, VU#577193.

Description de la vulnérabilité

Les sessions SSL/TLS peuvent être établies en utilisant plusieurs protocoles :
 - SSL 2.0 (obsolète)
 - SSL 3.0
 - TLS 1.0
 - TLS 1.1
 - TLS 1.2

Un attaquant peut abaisser la version (downgrade) en SSLv3. Cependant, avec SSL 3.0, un attaquant peut modifier la position du padding (octets de bourrage) en chiffrement CBC, afin de progressivement deviner des fragments d'information en clair.

Cette vulnérabilité porte le nom POODLE (Padding Oracle On Downgraded Legacy Encryption).

Un attaquant, placé en Man-in-the-Middle, peut donc déchiffrer une session SSL 3.0, afin d'obtenir des informations sensibles.
Bulletin Vigil@nce complet... (Essai gratuit)

alerte de vulnérabilité informatique CVE-2013-7369

F-Secure Anti-Virus : exécution SQL via un ActiveX

Synthèse de la vulnérabilité

Un attaquant peut inviter la victime à consulter un site web illicite avec Internet Explorer, pour charger un ActiveX installé par F-Secure Anti-Virus, afin d'exécuter des requêtes SQL sur les drivers ODBC.
Produits concernés : F-Secure AV.
Gravité : 3/4.
Conséquences : accès/droits privilégié, accès/droits utilisateur, lecture de données, création/modification de données, effacement de données.
Provenance : document.
Date création : 25/04/2013.
Références : BID-59443, CERTA-2013-AVI-273, CVE-2013-7369, FSC-2013-1, VIGILANCE-VUL-12716.

Description de la vulnérabilité

Le produit F-Secure Anti-Virus installe un ActiveX sur le système. Il se connecte sur le pilote ODBC, et transmet des requêtes SQL.

Cependant, il peut être instancié depuis Internet Explorer.

Un attaquant peut donc inviter la victime à consulter un site web illicite avec Internet Explorer, pour charger un ActiveX installé par F-Secure Anti-Virus, afin d'exécuter des requêtes SQL sur les drivers ODBC.
Bulletin Vigil@nce complet... (Essai gratuit)

annonce de vulnérabilité informatique CVE-2012-1429 CVE-2012-1430 CVE-2012-1431

F-Secure Anti-Virus : contournement via ELF, EXE, RAR, TAR

Synthèse de la vulnérabilité

Un attaquant peut créer une archive ou un programme, contenant un virus qui n'est pas détecté par F-Secure Anti-Virus.
Produits concernés : F-Secure AV.
Gravité : 2/4.
Conséquences : transit de données.
Provenance : document.
Nombre de vulnérabilités dans ce bulletin : 8.
Date création : 21/03/2012.
Références : BID-52581, BID-52589, BID-52591, BID-52598, BID-52612, BID-52614, BID-52623, BID-52626, CVE-2012-1429, CVE-2012-1430, CVE-2012-1431, CVE-2012-1442, CVE-2012-1443, CVE-2012-1459, CVE-2012-1461, CVE-2012-1463, VIGILANCE-VUL-11477.

Description de la vulnérabilité

Les outils d'extraction d'archives (RAR, TAR, etc.) acceptent d'extraire des archives légèrement malformées. Les systèmes acceptent aussi d'exécuter des programmes (ELF, EXE) légèrement malformés. Cependant, F-Secure Anti-Virus ne détecte pas les virus contenus dans ces archives/programmes.

Un programme ELF contenant "ustar" à l'offset 257 contourne la détection. [grav:2/4; BID-52581, CVE-2012-1429]

Un programme ELF contenant "\19\04\00\10" à l'offset 8 contourne la détection. [grav:2/4; BID-52589, CVE-2012-1430]

Un programme ELF contenant "\4a\46\49\46" à l'offset 6 contourne la détection. [grav:2/4; BID-52591, CVE-2012-1431]

Un programme EXE contenant un champ "class" trop grand contourne la détection. [grav:2/4; BID-52598, CVE-2012-1442]

Une archive RAR contenant "MZ" dans les 2 premiers caractères contourne la détection. [grav:1/4; BID-52612, CVE-2012-1443]

Une archive TAR avec un entête contenant une valeur trop grande contourne la détection. [grav:1/4; BID-52623, CVE-2012-1459]

Une archive TAR+GZ contenant deux streams contourne la détection. [grav:1/4; BID-52626, CVE-2012-1461]

Un programme ELF avec un cinquième octet modifié contourne la détection. [grav:2/4; BID-52614, CVE-2012-1463]

Un attaquant peut donc créer une archive contenant un virus qui n'est pas détecté par l'antivirus, mais qui est extrait par les outils d'extraction. Le virus est ensuite détecté une fois qu'il a été extrait sur le poste de la victime. Un attaquant peut aussi créer un programme, contenant un virus qui n'est pas détecté par l'antivirus, mais qui est exécuté par le système.
Bulletin Vigil@nce complet... (Essai gratuit)

bulletin de vulnérabilité informatique 10948

F-Secure Anti-Virus : exécution de code via fsresh.dll

Synthèse de la vulnérabilité

Un attaquant peut inviter la victime à consulter un document HTML illicite appelant l'ActiveX F-Secure Gadget Resource Handler, afin de faire exécuter du code sur sa machine.
Produits concernés : F-Secure AV.
Gravité : 3/4.
Conséquences : accès/droits utilisateur.
Provenance : document.
Date création : 24/08/2011.
Références : BID-49293, FSC-2011-3, VIGILANCE-VUL-10948.

Description de la vulnérabilité

Les produits F-Secure installent l'ActiveX F-Secure Gadget Resource Handler (fsresh.dll).

Cependant, la méthode initialize() de cet ActiveX ne vérifie pas la taille de son deuxième paramètre. Un attaquant peut alors employer un paramètre trop long, afin de corrompre la mémoire.

Un attaquant peut donc inviter la victime à consulter un document HTML illicite appelant l'ActiveX F-Secure Gadget Resource Handler, afin de faire exécuter du code sur sa machine.
Bulletin Vigil@nce complet... (Essai gratuit)

avis de vulnérabilité informatique 10219

F-Secure AV : exécution de code via DLL Preload

Synthèse de la vulnérabilité

Un attaquant peut utiliser une DLL illicite afin de faire exécuter du code dans F-Secure Anti-Virus.
Produits concernés : F-Secure AV.
Gravité : 2/4.
Conséquences : accès/droits utilisateur.
Provenance : serveur intranet.
Date création : 15/12/2010.
Références : ASPR #2011-01-11-1, BID-45405, FSC-2010-4, VIGILANCE-VUL-10219.

Description de la vulnérabilité

L'application F-Secure Anti-Virus charge la bibliothèque wintab32.dll lors de son démarrage.

Cependant, la bibliothèque est chargée de manière non sécurisée. Un attaquant peut alors employer la vulnérabilité VIGILANCE-VUL-9879 pour faire exécuter du code.

Un attaquant peut donc inviter la victime à ouvrir un fichier avec F-Secure Anti-Virus dans un partage réseau contenant une DLL illicite, afin de faire exécuter du code dans le contexte de F-Secure Anti-Virus.
Bulletin Vigil@nce complet... (Essai gratuit)

bulletin de vulnérabilité CVE-2010-5151 CVE-2010-5152 CVE-2010-5154

Antivirus : contournement de SSDT Hooking

Synthèse de la vulnérabilité

Lorsqu'un antivirus redirige la SSDT pour détecter les virus, un attaquant local peut employer une erreur d'atomicité, pour contourner cette protection.
Produits concernés : Avast AV, CA Antivirus, F-Secure AV, AVG AntiVirus, Kaspersky AV, VirusScan, Norton Antivirus, Norton Internet Security, Panda AV, Panda Internet Security, Symantec AV.
Gravité : 2/4.
Conséquences : accès/droits administrateur, transit de données.
Provenance : shell utilisateur.
Nombre de vulnérabilités dans ce bulletin : 13.
Date création : 10/05/2010.
Date révision : 11/05/2010.
Références : CVE-2010-5151, CVE-2010-5152, CVE-2010-5154, CVE-2010-5156, CVE-2010-5161, CVE-2010-5163, CVE-2010-5166, CVE-2010-5167, CVE-2010-5168, CVE-2010-5171, CVE-2010-5172, CVE-2010-5177, CVE-2010-5179, VIGILANCE-VUL-9633.

Description de la vulnérabilité

La table SSDT (System Service Descriptor Table) contient les références des appels système :
 - NtCreateKey : création d'une clé dans la base de registres
 - NtCreateThread : création d'un thread
 - NtDeleteFile : effacement d'un fichier
 - etc.

Les antivirus redirigent les entrées de cette table vers des fonctions de vérification. De nombreuses implémentations vérifient les paramètres, puis emploient l'appel système d'origine. Cependant, entre ces deux opérations, un attaquant local peut modifier les paramètres de l'appel système. Un attaquant peut donc créer un programme qui emploie des paramètres légitimes, puis les change au dernier moment, juste avant l'appel système.

Lorsqu'un antivirus redirige la SSDT pour détecter les virus, un attaquant local peut donc employer une erreur d'atomicité, pour contourner cette protection.
Bulletin Vigil@nce complet... (Essai gratuit)

vulnérabilité CVE-2010-1425

F-Secure AV : contournement via 7Z, GZIP, CAB et RAR

Synthèse de la vulnérabilité

Un attaquant peut créer une archive 7Z, GZIP, CAB ou RAR, contenant un virus qui n'est pas détecté par les produits F-Secure.
Produits concernés : F-Secure AV.
Gravité : 2/4.
Conséquences : transit de données.
Provenance : document.
Date création : 12/04/2010.
Références : BID-39371, CVE-2010-1425, FSC-2010-1, VIGILANCE-VUL-9570.

Description de la vulnérabilité

Les produits F-Secure supportent les archives 7Z, GZIP, CAB et RAR, qui contiennent un ou plusieurs fichiers.

Les outils d'extraction de ces archives (7Zip, gunzip, etc.) acceptent d'extraire des archives légèrement malformées.

Cependant, F-Secure Anti-Virus rejette ces archives malformées, et ne détecte pas les virus qu'elles pourraient contenir.

Un attaquant peut donc créer une archive 7Z, GZIP, CAB ou RAR, contenant un virus qui n'est pas détecté par les produits F-Secure, mais qui est extrait par les outils d'extraction. Le virus est ensuite détecté une fois qu'il a été extrait sur le poste de la victime.
Bulletin Vigil@nce complet... (Essai gratuit)
Notre base de données contient d'autres bulletins. Vous pouvez utiliser un essai gratuit pour les consulter.

Consulter les informations sur F-Secure AV :