Flux RSS

Inscrivez-vous

Adobe colmate une faille zero day dans son player Flash

Adobe avait reconnu cette faille en indiquant que des kits d'attaques étaient déjà en circulation. L'éditeur avait promis de corriger la faille avec une mise à jour d'urgence. Ce patch est le deuxième en moins de quatre semaines. La version de Flash Player 10.2.159.1 est disponible pour Windows, Mac, Linux et Solaris. On notera l'absence d'Android dans cette liste, le système d'exploitation mobile de Google qui gère également Flash. Un correctif spécifique sera délivré au plus tard la semaine du 25 avril, a déclaré Adobe.

L'éditeur doit dans la même semaine corriger Acrobat et Reader, outils pour la création et la lecture de PDF. La vulnérabilité trouvée dans Flash existe aussi dans Reader et de manière plus avancée dans Acrobat car le code peut s'immiscer dans des documents PDF. Les premières attaques se sont basées sur des pièces jointes Word malveillantes. Les pirates ont élargi leur campagne afin d'inclure des fichiers Excel corrompus, selon Mila Parkour, le chercheur indépendant en sécurité qui a signalé la faille dans Flash. Elle a suivi les attaques pendant plus d'une semaine et a publié des informations à leur sujet sur son blog Contagio Malware Dump. Elle a ainsi montré que les premiers documents Word portaient sur les lois antitrust chinoises ou sur le programme d'armement nucléaire japonais. Peu après, les documents étaient plus terre à terre en portant sur des plans de réorganisation de l'entreprise ou sur une mise à jour des listes de contacts professionnels.

Une origine chinoise ?

La spécialiste en sécurité a également réussi à tracer  le serveur d'envoi des messages. Celui-ci est enregistré en Chine. Elle a par ailleurs constaté que certains des documents Word et Excel malveillants avait été initialement conçus en chinois.

Google a mis à jour son navigateur Chrome  qui inclut une copie de Flash Player. Ce téléchargement rectifie non seulement le bug Adobe, mais aussi un trio de vulnérabilités critiques dans la technologie d'accélération matérielle au sein du navigateur. Comme Internet Explorer et Firefox, Chrome utilisent le processeur graphique (GPU) pour traiter certaines tâches. La firme de Mountain View considère habituellement comme « critiques » les failles que les attaquants pourraient utiliser pour contourner la « sandbox » du navigateur.
Les utilisateurs d'autres navigateurs peuvent télécharger la version corrigée de Flash Player à partir du site d'Adobe.

HP fourbit ses services pour moderniser les applications

HP s'attelle à convaincre les entreprises de rénover leur patrimoine applicatif. C'est l'un des axes de sa stratégie Instant-On, définie fin 2010, dans laquelle s'inscrit aussi l'évolution vers les environnements de cloud. Pour apporter de l'eau à son moulin, le groupe IT cite une étude* récemment conduite auprès de 312 cadres dirigeants (DG, DAF et DSI) des secteurs publics et privés. 56% d'entre eux jugent que la modernisation des applications est le premier domaine dans lequel investir pour disposer de processus plus flexibles, propres à favoriser l'innovation indispensable à leur croissance. « La réactivité au niveau applicatif doit être plus forte », commente-t-on chez HP France en rappelant qu'en Europe, 55% des applications ont entre cinq et dix ans (ou plus). Une partie d'entre elles, dans des proportions parfois significatives, sont parfois jugées dépassées par les DSI et susceptibles d'être mises hors service, comme le montre un autre rapport, publié cette semaine avec Capgemini.

Pour accompagner les entreprises sur la voie de cette modernisation, HP vient d'annoncer de nouveaux services ou produits dans son portefeuille de solutions « Application Transformation ». Le premier service, Application Portfolio Management, vise à évaluer le patrimoine applicatif dont l'entreprise n'a pas toujours établi ou conservé une vision consolidée au fil des fusions/acquisitions. L'objectif est de déterminer quelles sont les applications qui doivent être réarchitecturées, réécrites, migrées vers un environnement plus ouvert ou tout simplement arrêtées. Pour réaliser cette évaluation, qui intègre les aspects « coûts de possession », et proposer une feuille de route au client, l'entité services de HP s'appuie sur un outil maison accessible en mode SaaS (en attente de brevet). « Sur le marché français, nous réalisons cette analyse du parc applicatif et de sa rationalisation dans le secteur des télécommunications, de la banque/assurance et de l'automobile, avec des objectifs business fixés par les comités de direction », indique Sylvain Faligand, directeur applications services chez HP France. C'est le genre de chantier que HP a lui-même mené en interne. Après avoir entrepris de consolider ses datacenters, le groupe a dressé un état des lieux et drastiquement décidé de supprimer une de ses applications sur deux. 

Intégration des outils de sécurité Fortify

L'un des autres services annoncés concerne la transformation des applications pour le cloud. « En fonction de 32 critères business et technologiques -liés à la sécurité, aux performances, aux interfaces, aux règlementations, etc.- et en nous appuyant sur des outils et méthodes HP, nous déterminons si l'application est candidate pour être portée vers le cloud public, pour être installée sur un cloud privé géré par HP ou par le client, et nous identifions le meilleur chemin de migration de l'infrastructure », explique Sylvain Faligand. Dans le domaine des solutions de sécurité, indispensables à ces déploiements, HP annonce par ailleurs l'intégration des produits de sécurité de Fortify avec les siens.

Pour automatiser le cycle de vie des applications dans ces environnements hétérogènes, le groupe IT va proposer le logiciel HP Cloud Service Automation qui permettra de créer un portail de services pour déployer et surveiller applications et infrastructure au sein d'environnements hétérogènes.

HP intervient aussi sur la modernisation des postes de travail. Dans ce domaine, il propose de mettre en place dans un cloud privé des services de messagerie basés sur Exchange 2010 de Microsoft. Cette offre de services s'étend à la solution de gestion de la relation client, Microsoft Dynamics CRM, également proposée dans un environnement de cloud privé.

(*) Une étude conduite par Burson-Marsteller pour HP, réalisée à partir de 312 interviews menées entre février et mars 2011 au niveau mondial (et incluant la France). (...)

Oracle va corriger 73 failles de sécurité

Sous le nom de Critical Patch Update, Oracle fournit chaque trimestre une mise à jour rassemblant des patches de sécurité pour ses différents produits. Le prochain CPU est prévu pour le mardi 19 avril. Il contiendra neuf rustines pour la gamme Fusion Middleware, quatorze pour l'ERP PeopleSoft, huit pour l'ERP JD Edwards et quatre pour la E-Business Suite.

Deux des correctifs destinés à la base de données sont considérés comme « critiques », ce qui signifie qu'ils sont susceptibles d'être exploités à travers un réseau sans qu'il soit nécessaire de fournir un nom d'utilisateur et un mot de passe, a précisé Oracle dans le bulletin publié hier pour présenter le contenu de la mise à jour. Cette dernière succède à la livraison mensuelle de correctifs livrée mardi par Microsoft (Patch Tuesday), l'une des plus fournies jusqu'à ce jour. Cette semaine, Apple n'a pas été en reste avec des mises à jour pour Mac OS X, Safari et iOS.

Solaris, serveurs Java, Identity Management, Agile, Siebel...

Oracle s'apprête à corriger plusieurs produits du catalogue Sun, dont Solaris et quelques-uns des serveurs Java. Toutefois, les très utilisés clients Java SE et Java for Business ne sont pas concernés par la livraison de mardi prochain. L'éditeur semble essayer d'insérer ses clients Java dans son jeu de correctifs trimestriel, mais cela n'est pas encore vraiment le cas. Ainsi, dans le calendrier 2011 qu'il a présenté, les Critical Patch Update prévus pour Java SE et Java for Business sont annoncés pour le 7 juin et le 18 octobre. On voit donc qu'ils ne sont pas calés avec les correctifs périodiques destinés aux autres logiciels, le prochain de ceux-ci étant programmé pour le 19 juillet 2011.

Parmi les autres produits concernés par la mise à jour du mardi 19 avril figurent la machine virtuelle Java JRockit, versions R27.6.8 et antérieures, Identity Management 10g, Outside In Technology, WebLogic Server, Oracle InForm, Agile Technology Platform (suite Supply Chain), l'application de CRM Siebel, ainsi que les suites bureautiques Open Office, version 3, et StarOffice/StarSuite, versions 7 et 8.

Illustration : montage LMI (source - D.R.) (...)

Le club des CIL compte déjà 400 membres

Patch Tuesday : 64 correctifs dont au moins 1 pour le noyau de Windows 7

Jeudi dernier, Microsoft avait prévenu que sa prochaine mise à jour de sécurité mensuelle comporterait de 17 bulletins corrigeant un nombre record de 64 vulnérabilités, soit 15 de plus que l'édition d'octobre 2010, qui détenait jusque-là le titre. Comme à son habitude, Microsoft n'a pas donné beaucoup détails sur ces futures mises à jour, mais selon Andrew Storms, directeur des opérations de sécurité chez nCircle Security, le nombre élevé de bulletins critiques affectant Windows - neuf en tout, soit plus de la moitié - signifie probablement qu'au moins l'une d'elle concerne le noyau. 

« Même si nous disposons de peu d'informations sur les correctifs, je pense qu'il y a une forte probabilité qu'un ou plusieurs correctifs concernent le noyau, » a déclaré Andrew Storms. « Les problèmes de kernel sont récents, » a-t-il ajouté. Sur les neuf bulletins critiques de Windows prévus cette semaine, sept concernent Windows XP, neuf Vista et huit Windows 7.

Des attaques ciblant le noyau de Windows 7

Le dernier correctif du noyau de Windows - le coeur du système d'exploitation - par Microsoft date du 8 février. Mais l'éditeur a aussi corrigé des failles dans son kernel chaque mois pair de l'année 2010. Cette tendance devrait se confirmer avec les correctifs prévus cette semaine. Un autre indice sur la nature du prochain Patch Tuesday a été fourni par Aaron Portnoy, responsable de l'équipe de chercheurs en sécurité chez HP TippingPoint. Dans un message publié hier sur Twitter, dans lequel il répondait à l'entreprise de sécurité française Vupen à propos du nombre record de failles que Microsoft doit corriger, celui-ci écrit : « J'en ai entendu parlé par @kernelpool. »

« Kernelpool, » c'est le surnom du chercheur en sécurité norvégien Tarjei Mandt, qui travaille pour Norman ASA, un éditeur de solutions anti-virus dont le siège se trouve dans une banlieue d'Oslo. Celui-ci a fait état de cinq vulnérabilités du noyau patchées par Microsoft il y a deux mois et de plusieurs autres corrigées au cours de l'années 2010.

Un kernel renforcé dans Windows 8

De plus, lors de la conférence Black Hat sur la sécurité qui s'est tenue à Washington DC en janvier, Tarjei Mandt avait présenté et publié un document sur les techniques exploitant « le pool du noyau » dans Windows 7. Dans le document, le chercheur norvégien écrit : « En dépit des mesures de sécurité mises en place dans Windows 7, le système est toujours susceptible de subir des attaques génériques de type kernel pool. » Comme l'explique Andrew Storms, « ces pools de noyau sont des blocs mémoire réservés au noyau du système d'exploitation. » Au passage Tarjei Mandt dit que Microsoft finira par fermer ces trous. « La plupart des vecteurs d'attaque identifiés peuvent être bloqués en ajoutant de simples systèmes de contrôle ou en entassant des mesures de protections » déclare le chercheur dans son document. « Il est probable que dans les futures versions de Windows et les Service Packs, le pool du kernel soit renforcé. »

« Les autres correctifs de la colossale mise à jour prévue cette semaine concernent les formats de fichiers Excel et PowerPoint, Internet Explorer, la version en ligne de PowerPoint, Graphics Device Interface GDI+, c'est à dire le composant de rendu graphique de Windows, » a ajouté Andrew Storms. Il est possible que Microsoft corrigera les vulnérabilités d'IE8 dévoilées par un chercheur irlandais le mois dernier, lors du concours annuel de hacking Pwn2Own. Stephen Fewer, d'Harmony Security, était parvenu à enchaîner trois exploits pour pirater IE8. En guise de prix, il avait reçu 15 000 dollars et un ordinateur portable Sony du sponsor HP TippingPoint.

[[page]]

Microsoft a dit que les bugs exploités par le chercheur irlandais dans IE8 avaient été corrigés dans IE9, la dernière version du navigateur de Microsoft disponible depuis le mois dernier. « En fait, je m'attendais plutôt à ce que Microsoft dise, sur le blog du Microsoft Security Response Center MSRC, qu'ils corrigeraient les bugs découverts pendant le Pwn2Own, ce qu'ils n'ont pas fait, » a déclaré le chercheur de nCircle. Celui-ci évoquait le message publié jeudi sur le blog du MSRC, listant certains des correctifs du Patch Tuesday de demain. Selon Andrew Storms, « le mois de juin est probablement plus propice pour livrer les correctifs liés aux vulnérabilités de IE découvertes au Pwn2Own, » rappelant que c'est en juin 2010 que Microsoft avait patché les failles IE exploitées au précédent concours 2010.

Quel que soit le contenu du prochain Patch Tuesday de Microsoft, ce qui est sûr, c'est que ce sera un grand jour pour les administrateurs informatiques. « Comme dit parfois mon fils ... c'est giga-énorme, » a déclaré Andrew Storms. « C'est un mois giga-énorme. Ce sera aussi un moment privilégié pour établir ses priorités. »

Recap IT : Cloud, Failles, Tablettes et Windows 8

Paris est devenu en l'espace d'une semaine le lieu de convergence du cloud. SalesForce.com a ouvert le bal avec un Marc Benioff au meilleur de sa forme, qui a mis en garde contre les risques de développement de faux clouds. De son côté, Oracle a rappelé lors d'une conférence à Paris sa présence sur l'ensemble des types de clouds, privés et publics. Enfin IBM a annoncé aussi son saut dans l'informatique dans les nuages en misant sur la qualité de service et la sécurité. De son côté, Facebook donne des indications stratégiques sur son projet de datacenter, Open Compute. Les annonces de la semaine ont concerné aussi le matériel et plus exactement les composants. Intel a lancé sa gamme de processeurs Xeon E7 à destination des serveurs haut de gamme.

Entre vulnérabilité et conservation des données

Sur ce dernier point, il en a été question au sujet d'IE9. En effet une société française a découvert une faille dans le navigateur pouvant pirater Windows 7, y compris dans sa dernière version SP1. Symantec a dévoilé en début de semaine son rapport sur la sécurité et souligne la montée en puissance des attaques depuis les réseaux sociaux et contre les smartphones. En ce qui concerne les données personnelles, certains éditeurs réunis autour de l'association ASIC ont saisi le Conseil d'Etat pour demander l'annulation d'un décret qui oblige les sites à sauvegarder pendant 1 an les données de leurs clients.

Les tablettes et Windows 8

La semaine a été plus discrète dans le monde des tablettes, même si on annonce la sortie de la Xoom de Motorola, qui semble ne pas séduire grand monde. Intel a promis des ardoises numériques équipées des puces Oak Trail pour le mois de mai prochain. L'actualité micro est plutôt à chercher vers les OS et notamment la prochaine version de Windows. En effet, encore secrète, quelques révélations ont été faites sur la possible adoption du ruban Office ou du web immersif et un lecteur PDF. Des interrogations se sont faites jour sur l'ouverture d'Android, avec des risques de fragmentation certains.