|
|
 |
Accueil | Ressources | Avis et Alertes publics
| Dangers potentiels
| Référence : |
CERT-IST/DG-2008.006 |
| Version : |
3.0 |
| Date de la version : |
30 Mai 2008 |
|
Classification de la vulnérabilité
| Risque : |
 |
Elevé |
|
| Conséquence : |
Accès au système
Déni de service |
| Catégorie de la vulnérabilité : |
Débordement de mémoire |
| Niveau de confiance : |
Faille officielle |
| Niveau de connaissance de l'attaquant : |
Connaisseur |
| Moyen nécessaire à l'attaquant : |
Accès distant (sans compte) sur un service standard |
|
Information sur le(s) système(s) impacté(s)
| Plate(s)-forme(s) impactée(s) : |
- Indépendant de la plate-forme
|
| Logiciel(s) impacté(s) : |
- Adobe Flash Player versions antérieures à la version 9.0.124.0
|
Remarques : - La version 9.0.124.0 de Adobe Flash Player n'est pas affectée.
|
|
| Liste des produits impactés |
Description
| Contexte de publication : |
|
[Version 3.0] : Nous ré-émettons ce "Danger Potentiel" en version 3.0 parce que Symantec a finalement confirmé que la dernière version de Adobe Flash Player (version 9.0.124.0 disponible depuis le 08/04/2008) n'est pas affectée par cette vulnérabilité.
[Version 2.0] : Nous ré-émettons ce "Danger Potentiel" en version 2.0 parce que :
- Dans la version 1.0 il y avait une faute de frappe dans le nom d'un des sites web à bloquer : site "wuqing17173" mal orthographié.
- Certaines sources d'information ont publié des listes de nouveaux sites web à bloquer.
- Il y a des discussions en cours sur le fait que la vulnérabilité ne serait pas réellement un "0-day" et que la version 9.0.124.0 de Adobe Flash Player ne serait pas vulnérable.
[Version 1.0] : Ce "DanGer potentiel" fait suite :
- à la publication par le SANS d'un avis concernant l'exploitation d'une vulnérabilité de type "0-day" (non corrigée) concernant Adobe Flash Player,
- à l'observation par Symantec de l'exploitation active de cette vulnérabilité sur Internet, via différents vecteur dont les attaques par injection SQL (augmentation du niveau de vigilance "DeepSight ThreatCon"),
- à l'analyse de McAfee faisant état de la découverte de plusieurs fichiers SWF spécifiquement construits pour exploiter cette vulnérabilité contre différentes versions d'Adobe Flash Player.
|
|
| Nature du problème : |
|
Le 27/05/2008, Symantec a annoncé qu'une vulnérabilité de type "0-day" avait été découverte dans Adobe Flash Player et qu'elle était utilisée activement pour compromettre à distance un système vulnérable à l'aide d'un fichier SWF malveillant.
Il a été identifié ultérieurement que cette vulnérabilité était la même que la vulnérabilité CVE-2007-0071 qui a été corrigée dans la dernière version de Adobe Flash Player (cf. avis CERT-IST/AV-2008.173). Seuls les systèmes n'ayant pas installés la dernière version de Adobe Flash Player sont donc vulnérables aux attaques en cours.
Il existe plusieurs vecteurs théoriques d'attaque pour cette vulnérabilité :
- Attaque web : un internaute visite un site web malicieux (ou clique sur un lien l'envoyant sur un site web malicieux) avec un navigateur susceptible de lire des contenus flash.
- Attaque par échange : un utilisateur reçoit par e-mail, télécharge ou échange via un support quelconque un fichier malicieux (fichier SWF) qu'il ouvre ensuite avec Flash Player.
Nota :
- Cette vulnérabilité est actuellement exploitée sur Internet via un fichier "SWF" malveillant spécifiquement construit.
- Cette vulnérabilité affecte actuellement les navigateurs Internet Explorer et Firefox
- Symantec rapporte que cette vulnérabilité serait exploitée via une attaque par injection SQL
- Plusieurs sites chinois ont été identifiés comme vecteurs de cette attaque.
|
|
| Analyse détaillée : |
|
Cette vulnérabilité CVE-2007-0071 est due à un débordement de mémoire. Elle permet à un attaquant distant à l'aide d'un fichier SWF spécifiquement construit d'exécuter du code arbitraire sur un système vulnérable ou de provoquer un déni de service.
Nota :Cette vulnérabilité est décrite dans l'avis "CERT-IST/AV-2008.173". |
|
Solution
01 - Mettre à jour "Adobe Flash Player" avec la version 9.0.124.0- Mises à jour de "Flash Player"
02 - Protéger les systèmes vulnérables
Le Cert-IST vous recommande :
- de vérifier que vos solutions antivirales sont à jour
- la plus grande vigilance lors de l'ouverture de fichiers SWF en provenance de sources non fiables,
- de filtrer les adresses ou noms de domaines impliqués dans ces attaques,
- wuqing17173 [point] cn (voir le Nota ci-dessous)
- woai117 [point] cn
- dota11 [point] cn
- www [point] play0nlnie [point] com (125 [point] 46 [point] 104 [point] 172)
- 117276 [point] cn
- 0novel [point] com
- de positionner le "kill-bit" suivant pour les navigateurs Internet Explorer
CLSID d27cdb6e-ae6d-11cf-96b8-444553540000
- d'utiliser un plugin de blocage de scripts pour les navigateurs Firefox (ex. NoScript)
Nota :- Dans la version 1.0 de ce "Danger Potentiel" nous avons indiqué par erreur que le site à bloquer est "wuqinq17173", alors qu'il s'agit en réalité de "wuqing17173".
- Le site "ShadowServer" a publié une liste additionnelle de sites web qui pourraient également héberger des fichiers SWF malveillants
- Liste additionnelle de sites à bloquer (établie par le projet "ShadowServer")
|
|
Identifiant(s) du problème
Documentation additionnelle
- Avis de sécurité de SANS 4465 du 27 mai 2008
- Avis de sécurité de SecurityFocus 29386 du 27 mai 2008
- Avis de sécurité de Symantec du 27 mai 2008
- Avis de sécurité de US-CERT du 27 mai 2008
- Billet dans le blog de sécurité de McAfee du 27 mai 2008
- Note d'Adobe "Potential Flash Player issue" du 27 mai 2008
|
|
Historique
|
|
|
|
|
|
|
|
|
|
Version |
|
|
|
Commentaire |
|
|
|
Date |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
1.0 |
|
|
|
Création du danger potentiel |
|
|
|
28 Mai 2008 |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
2.0 |
|
|
|
Erreur d'orthographe pour le site "wuqing17173" |
|
|
|
28 Mai 2008 |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
3.0 |
|
|
|
L'attaque exploite la vulnérabilité connue CVE-2007-0071 |
|
|
|
30 Mai 2008 |
|
|
|
|
|
|
|
|
|
|
|
|
|
