L'équipe Vigil@nce veille les vulnérabilités publiques qui affectent votre parc informatique, puis propose des correctifs sécurité, une base et des outils pour y remédier.

Vulnérabilités informatiques de Mozilla Suite

alerte de vulnérabilité informatique CVE-2009-1836 CVE-2009-2057 CVE-2009-2059

HTTPS : obtention d'informations via un proxy

Synthèse de la vulnérabilité

Lorsqu'un attaquant peut mettre en place un proxy entre l'utilisateur et un serveur web HTTPS, il peut obtenir des informations sensibles.
Produits concernés : IE, Firefox, SeaMonkey, Mozilla Suite, openSUSE, Opera, SSL (protocole), SLES.
Gravité : 2/4.
Conséquences : lecture de données.
Provenance : serveur intranet.
Nombre de vulnérabilités dans ce bulletin : 5.
Date création : 18/06/2009.
Références : BID-35411, BID-35412, CVE-2009-1836, CVE-2009-2057, CVE-2009-2059, CVE-2009-2061, CVE-2009-2063, CVE-2009-2064, CVE-2009-2065, CVE-2009-2067, CVE-2009-2069, CVE-2009-2070, SUSE-SR:2009:015, VIGILANCE-VUL-8806.

Description de la vulnérabilité

Le protocole HTTPS (HTTP+SSL) permet de chiffrer les échanges entre un client et le serveur. Un proxy intercalé entre le client et le serveur ne peut pas obtenir le contenu des échanges. Cependant, plusieurs techniques d'attaques alternatives permettent à un proxy illicite d'obtenir l'information au niveau du navigateur web de la victime.

Lorsque le proxy génère une page d'erreur 4xx ou 5xx, le code JavaScript qu'elle contient est interprété dans le contexte du site web HTTPS demandé. Ce code JavaScript peut alors lire le contenu du site web HTTPS affiché dans le navigateur de la victime. Cette vulnérabilité est corrigée dans IE 8, Firefox 3.0.10 et Opera 9.25. [grav:2/4; CVE-2009-1836, CVE-2009-2057, CVE-2009-2059]

Le proxy peut rediriger les pages contenant du code JavaScript source vers un site illicite. Le code JavaScript illicite est alors inclus dans la page HTTPS et interprété dans son contexte. Cette vulnérabilité est corrigée dans Firefox 3.0.10 et Opera 9.25 (IE n'est pas vulnérable). [grav:2/4; BID-35412, CVE-2009-2061, CVE-2009-2063]

Lorsqu'un site web permet aux utilisateurs de charger la même page en HTTP ou HTTPS, le proxy peut employer la page HTTPS afin de forcer la victime à entrer dans une session SSL, afin qu'un code JavaScript illicite accède aux données HTTPS. Cette vulnérabilité n'est pas encore corrigée. [grav:2/4; CVE-2009-2064, CVE-2009-2065, CVE-2009-2067]

Un proxy SSL illicite peut d'abord autoriser une session SSL afin que le navigateur garde en cache le certificat SSL, puis retourner une page d'erreur 4xx ou 5xx illicite. Cependant, cette page d'erreur s'affiche avec tous les attributs d'une page sécurisée (cadenas, barre d'adresse verte/bleue). Cette vulnérabilité est corrigée dans IE 8 et Firefox 3.0.10 (Opera n'est pas vulnérable). [grav:2/4; BID-35411, CVE-2009-2069, CVE-2009-2070]

Lorsqu'un site web HTTPS utilise des cookies sans le drapeau "secure", le proxy peut employer une session HTTP pour obtenir le cookie. Cette vulnérabilité ne sera pas corrigée dans les navigateurs web : la correction doit être faite par les développeurs de sites web. [grav:2/4]

Lorsqu'un attaquant dispose ou peut mettre en place un proxy entre l'utilisateur et un serveur web HTTPS, il peut donc obtenir des informations sensibles.
Bulletin Vigil@nce complet... (Essai gratuit)

annonce de vulnérabilité informatique 8497

Firefox : nouveaux homographes

Synthèse de la vulnérabilité

Plusieurs caractères homographes ne sont pas reconnus par Firefox.
Produits concernés : Firefox, SeaMonkey, Mozilla Suite.
Gravité : 1/4.
Conséquences : camouflage.
Provenance : serveur internet.
Date création : 27/02/2009.
Références : VIGILANCE-VUL-8497.

Description de la vulnérabilité

Certains caractères sont difficilement discernables, comme le '0' (zéro) et le 'O' (lettre o). De même, plusieurs caractères Unicode ont une apparence similaire au slash ('/'), comme 0x2044, 0x2215 et 0x3033. Certains attaquants utilisent des noms de domaine contenant ces variations, afin d'inciter la victime à cliquer sur un lien.

Firefox contient une liste de caractères homographes ("même apparence") afin qu'ils soient clairement affichés dans les urls.

Cependant, plusieurs caractères sont absents de cette liste :
 - 0x66A, 0x799, 0x780, 0x9F4, 0xAEE, 0x96E, 0x2220, 0x2571 : homographes de '/'
 - 0x203D : homographe de '?'

Un attaquant peut donc employer ces caractères dans une url afin de tromper la victime.
Bulletin Vigil@nce complet... (Essai gratuit)

avis de vulnérabilité informatique CVE-2009-0652

HTTPS : attaque man-in-the-middle en utilisant http, SSLstrip

Synthèse de la vulnérabilité

Un attaquant situé en man-in-the-middle peut tromper la victime, afin qu'elle se connecte sur un site http au lieu de https (HTTP sur SSL).
Produits concernés : Maxthon, IE, Firefox, SeaMonkey, Mozilla Suite, Netscape Navigator, NLD, OES, openSUSE, Opera, SSL (protocole), RHEL, SLES.
Gravité : 2/4.
Conséquences : lecture de données, transit de données.
Provenance : serveur internet.
Date création : 19/02/2009.
Références : BID-33837, CVE-2009-0652, RHSA-2009:0436-02, RHSA-2009:0437-02, SUSE-SR:2009:010, VIGILANCE-VUL-8479.

Description de la vulnérabilité

Le protocole SSL (utilisé pour les urls de type "https://") est conçu pour empêcher le succès des attaques man-in-the-middle. En effet, si l'attaquant est situé entre le client et le serveur web, le certificat présenté au client n'est plus valide, et un message d'erreur s'affiche dans son navigateur web.

Si l'attaquant est situé en man-in-the-middle il peut intercepter les sessions "http://". L'attaquant peut alors remplacer toutes les urls https par des urls http créées à la volée. Par exemple, si un document contient un lien vers :
  https://www.example.com/auth
l'attaquant peut remplacer ce lien par :
  http://www.example.com/auth-
Lorsque la victime clique sur ce lien (http://www.example.com/auth-), l'attaquant se connecte sur le serveur https (https://www.example.com/auth) pour obtenir le contenu réel de la page, et retourne cette page au client dans la session http. Certaines victimes ne se rendent alors pas compte qu'elles ne sont pas passées dans une session https, et peuvent saisir leur mot de passe.

De plus, si l'attaquant dispose d'un certificat wildcard (*.attaquant.com) valide, il peut employer un caractère homographe du slash (représenté en "[/]" ci-après, comme 0x2044, 0x2215 ou 0x3033), afin de créer l'url suivante, au lieu d'utiliser une url http :
  https://www.example.com[/]auth.attaquant.com
Dans ce cas, un site https est réellement utilisé, et un cadenas apparaît, ce qui rend l'attaque plus difficilement détectable.

Un attaquant situé en man-in-the-middle peut donc tromper la victime, afin qu'elle se connecte sur un site http au lieu de https (HTTP sur SSL).
Bulletin Vigil@nce complet... (Essai gratuit)

alerte de vulnérabilité CVE-2004-2761

SSL : création de fausse autorité de certification

Synthèse de la vulnérabilité

Un attaquant, disposant de ressources importantes, peut créer une fausse autorité de certification intermédiaire utilisant un hachage MD5.
Produits concernés : Brocade Network Advisor, Brocade vTM, ASA, IOS par Cisco, Cisco Router, Fedora, HP Switch, Notes, Maxthon, IE, Windows (plateforme) ~ non exhaustif, Firefox, SeaMonkey, Mozilla Suite, Netscape Navigator, Opera, RHEL, Unix (plateforme) ~ non exhaustif.
Gravité : 1/4.
Conséquences : transit de données.
Provenance : serveur internet.
Date création : 16/01/2009.
Références : 17341, BID-33065, BSA-2016-004, c05336888, CSCsw88068, CSCsw90626, CVE-2004-2761, FEDORA-2009-1276, FEDORA-2009-1291, HPSBHF03673, RHSA-2010:0837-01, RHSA-2010:0838-01, VIGILANCE-VUL-8401, VU#836068.

Description de la vulnérabilité

Fin 2008 (VIGILANCE-ACTU-1377), en utilisant un cluster de 200 consoles de jeux, des chercheurs ont utilisé une collision sur MD5, afin de créer une fausse autorité de certification, reconnue par tous les navigateurs web.

Voici le principe de fonctionnement de cette attaque :
 - L'attaquant choisit une Autorité de Certification (AC) utilisant des signatures MD5 (RapidSSL, FreeSSL, TC TrustCenter AG, RSA Data Security, Thawte, verisign.co.jp).
 - L'attaquant demande un certificat pour site web à cette AC. Ce certificat d'origine est donc signé par MD5.
 - L'attaquant modifie ce certificat pour le transformer en Autorité de Certification Intermédiaire (ACI), puis utilise une collision MD5 afin que ce faux certificat ait la même signature MD5 que le certificat d'origine.
 - L'attaquant utilise l'ACI pour générer un certificat de Site Web (SW).
 - L'attaquant met en place un site web illicite, proposant les certificats du SW et de l'ACI.
 - La victime se connecte sur ce site web. Son navigateur web contient le certificat racine de l'AC, qui authentifie l'ACI et ensuite le SW.

Aucun message d'erreur ne s'affiche dans le navigateur de la victime, qui peut alors faire confiance au site de l'attaquant.
Bulletin Vigil@nce complet... (Essai gratuit)

alerte de vulnérabilité CVE-2007-6591 CVE-2007-6592 CVE-2008-2809

Firefox, Netscape : usurpation via subjectAltName dNSName

Synthèse de la vulnérabilité

Un attaquant peut créer un certificat SSL utilisant l'extension subjectAltName:dNSName afin que le message d'avertissement de nouveau certificat SSL ne soit pas affiché.
Produits concernés : Firefox, SeaMonkey, Mozilla Suite, Netscape Navigator.
Gravité : 1/4.
Conséquences : transit de données.
Provenance : serveur internet.
Nombre de vulnérabilités dans ce bulletin : 3.
Date création : 19/11/2007.
Date révision : 20/11/2007.
Références : BID-26501, CVE-2007-6590-REJECT, CVE-2007-6591, CVE-2007-6592, CVE-2008-2809, VIGILANCE-VUL-7351.

Description de la vulnérabilité

La famille d'extensions subjectAltName permet ajouter des informations complémentaires à un certificat X.509.

L'extension subjectAltName:dNSName indique une liste de noms de domaines. Par exemple :
 - subjectAltName:dNSName=www.pageperso.dom
 - subjectAltName:dNSName=www.banque.dom
Le certificat peut alors être utilisé pour les deux domaines.

Ce champ peut contenir "*" ou "*.org" afin d'englober de nombreux noms. [grav:1/4]

Ce champ n'est pas généralement affiché, ce qui peut conduire la victime à accepter un certificat pour "www.pageperso.dom", alors qu'il contient aussi "www.banque.dom". [grav:1/4]

De plus, les navigateurs de la famille Firefox n'associent pas le certificat au site d'origine. Ainsi, l'attaquant peut inviter la victime à accepter le certificat pour un site peu important comme "www.pageperso.dom". Ensuite, l'attaquant peut par exemple employer une attaque DNS pour rediriger la victime vers un faux site "www.banque.dom" ayant le même certificat. Lorsque la victime arrivera sur ce site, aucun message ne l'avertira que le certificat est nouveau. [grav:1/4]

Un attaquant peut ainsi mener des attaques de type hameçonnage.
Bulletin Vigil@nce complet... (Essai gratuit)

alerte de vulnérabilité informatique CVE-2007-5947

Firefox : Cross Site Scripting via jar

Synthèse de la vulnérabilité

Un attaquant peut déposer une archive jar sur un site public afin de mener un Cross Site Scripting sur ce site.
Produits concernés : Firefox, SeaMonkey, Mozilla Suite.
Gravité : 1/4.
Conséquences : accès/droits client.
Provenance : serveur internet.
Date création : 09/11/2007.
Références : 369814, BID-26385, CVE-2007-5947, VIGILANCE-VUL-7326, VU#715737.

Description de la vulnérabilité

Un fichier JAR est une archive ZIP contenant les fichiers nécessaires, comme des pages HTML ou des images.

Les uri JAR sont de la forme :
  jar:url_vers_l'archive!chemin_dans_l'archive
Par exemple :
  jar:http://serveur/fichier.jar!/rep/document

Si l'attaquant peut déposer une archive JAR sur un serveur public, il peut inviter les victimes à cliquer sur l'uri suivante :
  jar:http://serveurpublic/fichierattaquant.zip!...
Lorsque Firefox ouvre cet uri, le contenu du fichier de l'attaquant est ouvert dans le contexte du serveur public. L'attaquant peut ainsi créer une attaque Cross Site Scripting.

On peut noter que de nombreux documents sont au format ZIP (OpenOffice, Microsoft Office 2007, etc.) et sont généralement autorisés à être déposés sur un serveur public.

D'autres navigateurs (IE, Opera) pourraient être affectés par la même vulnérabilité.
Bulletin Vigil@nce complet... (Essai gratuit)

avis de vulnérabilité CVE-2007-4841

Firefox, Thunderbird : exécution de commandes via mailto, nntp, news et snews

Synthèse de la vulnérabilité

Un attaquant peut employer des uri mailto, nntp, news et snews pour exécuter des commandes sous Windows.
Produits concernés : Firefox, SeaMonkey, Mozilla Suite, Thunderbird, Netscape Navigator.
Gravité : 3/4.
Conséquences : accès/droits utilisateur.
Provenance : document.
Date création : 06/09/2007.
Références : BID-25543, CVE-2007-4841, VIGILANCE-VUL-7154.

Description de la vulnérabilité

Le bulletin VIGILANCE-VUL-7009 décrit une vulnérabilité générique concernant les gestionnaires de protocole sous Windows.

Une nouvelle variante d'attaque a été annoncée. Elle consiste à employer un uri "non attendu".

Un attaquant peut donc créer une page HTML illicite afin d'exécuter des commandes avec les privilèges de l'utilisateur.
Bulletin Vigil@nce complet... (Essai gratuit)

annonce de vulnérabilité informatique CVE-2007-4041 CVE-2007-4042

Firefox, Netscape : exécution de commandes via mailto, nntp, news et snews

Synthèse de la vulnérabilité

Un attaquant peut employer des uri mailto, nntp, news et snews pour injecter des commandes sous Windows.
Produits concernés : Debian, HP-UX, Mandriva Corporate, Mandriva Linux, Firefox, SeaMonkey, Mozilla Suite, Thunderbird, Netscape Navigator, Slackware.
Gravité : 4/4.
Conséquences : accès/droits utilisateur.
Provenance : serveur internet.
Nombre de vulnérabilités dans ce bulletin : 2.
Date création : 25/07/2007.
Date révision : 26/07/2007.
Références : 389580, BID-25053, c00771742, CERTA-2002-AVI-136, CVE-2007-4041, CVE-2007-4042, DSA-1344-1, DSA-1345-1, DSA-1346-1, HPSBUX02153, MDKSA-2007:152, SSA:2007-213-01, SSA:2007-222-04, SSRT061181, VIGILANCE-VUL-7037, VU#403150, VU#783400.

Description de la vulnérabilité

Le navigateur Firefox ouvre les gestionnaires de protocoles mailto, nntp, news et snews sans prévenir l'utilisateur.

Lorsque Internet Explorer 7 est installé sur le système, les gestionnaires ne sont plus appelés de la même manière si l'url contient un caractère nul (%00). Par exemple :
 - mailto:commande.bat : appelle le gestionnaire de protocole "mailto"
 - mailto:%00commande.bat : appelle le gestionnaire de type de fichiers ".bat"
Lorsque la victime clique sur la deuxième url dans Firefox, une commande shell s'exécute alors automatiquement (sans prévenir l'utilisateur). Cette vulnérabilité ne peut pas être mise en oeuvre depuis Internet Explorer car il refuse d'ouvrir les gestionnaires contenant %00.

Cette vulnérabilité est différente de VIGILANCE-VUL-7009.
Bulletin Vigil@nce complet... (Essai gratuit)

avis de vulnérabilité informatique CVE-2007-3832 CVE-2007-4038 CVE-2007-4039

IE, Firefox : vulnérabilités des gestionnaires de protocoles

Synthèse de la vulnérabilité

Plusieurs vulnérabilités ont été annoncées concernant les gestionnaires de protocoles accessibles depuis les navigateurs web.
Produits concernés : IE, Windows 2000, Windows 2003, Windows Vista, Windows XP, Firefox, SeaMonkey, Mozilla Suite, Netscape Navigator.
Gravité : 1/4.
Conséquences : accès/droits utilisateur.
Provenance : document.
Nombre de vulnérabilités dans ce bulletin : 4.
Date création : 16/07/2007.
Dates révisions : 20/07/2007, 25/07/2007.
Références : BID-25021, CVE-2007-3832, CVE-2007-4038, CVE-2007-4039, CVE-2007-4040, VIGILANCE-VUL-7009, VU#786920.

Description de la vulnérabilité

Les gestionnaires de protocoles sont enregistrés dans la base de registres. Par exemple :
  HKEY_CLASSES_ROOT\proto
    "URL Protocol" existe pour indiquer qu'il s'agit d'un gestionnaire de protocole
    "shell\open\command" contient :
       programme_pour_proto.exe "%1"

Dans un navigateur web, lorsque l'utilisateur consulte une uri de la forme :
  proto://abc
le navigateur exécute :
       programme_pour_proto.exe "proto://abc"
Internet Explore ouvre tous les gestionnaires de protocoles sans prévenir l'utilisateur. Firefox ouvre uniquement mailto, nntp, news et snews (par défaut) sans prévenir l'utilisateur.

Cependant, deux types de vulnérabilité affectent les gestionnaires de protocoles :
 - le navigateur ne remplace pas les guillemets par \" dans "%1" (origine de VIGILANCE-VUL-6995, origine de VIGILANCE-VUL-7039)
 - les programmes appelés ne vérifient pas les paramètres passés (deuxième origine de VIGILANCE-VUL-6995, deuxième origine de VIGILANCE-VUL-7039, et origine d'un buffer overflow de AIM)

Un attaquant peut donc créer une page HTML illicite afin d'exploiter les vulnérabilités concernant les gestionnaires de protocole.
Bulletin Vigil@nce complet... (Essai gratuit)

vulnérabilité informatique CVE-2007-3656

Firefox : accès et modification des données en cache

Synthèse de la vulnérabilité

Les données mises en cache sont accessibles via une redirection sur un uri wyciwyg.
Produits concernés : Firefox, SeaMonkey, Mozilla Suite, Netscape Navigator.
Gravité : 3/4.
Conséquences : lecture de données, création/modification de données.
Provenance : document.
Date création : 10/07/2007.
Références : 387333, BID-24831, CVE-2007-3656, VIGILANCE-VUL-6975.

Description de la vulnérabilité

Les documents mis en cache par le navigateur Firefox sont gérés via un uri interne de la forme :
  wyciwyg://i/http://www.example.dom/
Normalement, ces uris ne sont pas directement accessibles.

Cependant, en utilisant une redirection HTTP, un script illicite peut accéder aux données en cache. L'attaquant peut alors obtenir les données sensibles qu'elles contiennent, les modifier avant de les réafficher, etc.

Cette vulnérabilité permet par exemple à un attaquant d'obtenir des informations ou de mener une attaque de type hameçonnage.
Bulletin Vigil@nce complet... (Essai gratuit)
Notre base de données contient d'autres bulletins. Vous pouvez utiliser un essai gratuit pour les consulter.