La sécurité informatique

Description, analyse et étude de la sécurité dans l'informatique.

Archives
Catégories

14 février 2008

Une vulnérabilité de type directory transversal dans Firefox

 

Une démonstration de la vulnérabilité sur le blog hiredhacker.com a fini par alerter Mozilla et sa responsable de la sécurité, Window Snyder, qui même si elle a qualifié le risque lié de faible, a toutefois publié un billet au sujet de cette vulnérabilité tout en annonçant que des investigations sont en cours.
 
  La démonstration, quant à elle, montre comment via l'ouverture avec Firefox d'une page Web piégée, il est possible de lire le fichier de configuration globale sous Windows du client mail Thunderbird (un autre programme aurait pu être choisi). Néanmoins, l'exploit nécessite que soit installée une extension (ou module complémentaire) qui n'est pas présente sous la forme d'une archive JAR (fichier à l'extension .jar), ce qui est le cas pour nombre d'entre elles.
 
faille firefox securite vulnerabilite  Une page Web pourrait ainsi accéder à une URL chrome://, chrome étant le moteur de Firefox dédié à l'interface utilisateur, pour par exemple exécuter une commande afin de charger des images, scripts ou feuilles de style. Si cette URL est encodée avec des caractères du type %2e%2e%2f (cas de la démonstration), Firefox ne parvient pas à les convertir en ../ et à les éliminer, avec pour conséquence qu'ils peuvent être utilisés pour lire des fichiers arbitraires situés dans un répertoire tiers (vis-à-vis de celui qui héberge l'extension).
 
Avec cette méthode, des attaquants peuvent également vérifier si des programmes spécifiques ou des extensions sont installés et le cas échéant, détecter la présence de vulnérabilités additionnelles.
 
Parmi les extensions qui permettent l'exploitation de cette vulnérabilité, Mozilla mentionne Donwload Statusbar et sans doute plus connue, Greasemonkey. Suite à sa divulgation, un patch pour Download Statusbar a d'ailleurs été mis en ligne afin d'installer l'extension sous la forme d'une archive JAR.
 
Le problème de sécurité a été identifié dans le moteur de rendu version 1.8.1.11, utilisé par la dernière version en date de Firefox.

Source : vulnerabilité.com

Posté par Al_K_Traaz à 10:12 - Sur internet - Commentaires [0] - Rétroliens [0] - Permalien [#]

13 février 2008

Sécurité : les menaces qui nous guettent en 2008


Plusieurs éditeurs de sécurité dressent le bilan du « cybercrime » en 2007 et font part de leurs prévisions pour 2008. Le piratage des réseaux sociaux devrait particulièrement augmenter.
 



Les hackers et cybercriminels de tout poil n'ont pas chômé en 2007. C'est ce que confirment plusieurs grands éditeurs d'outils de sécurité, dans leurs traditionnels bilans de fin d'année. F-Secure, McAfee, Symantec, Websense, tous ont constaté une forte augmentation du nombre de nouveaux malwares (codes malveillants en tout genre) détectés sur le réseau mondial, mais surtout une évolution logique de leurs cibles et de leurs modes d'infection. Fini le piratage destructif de « grand-papa », les cybercriminels en veulent avant tout à nos données personnelles, que nous leur livrons presque sur un plateau grâce au développement des blogs et du « Web 2.0 ».

Selon Symantec, l'éditeur des célèbres Norton, les informations personnelles sont devenues une vraie monnaie d'échange pour les cybercriminels : « deux tiers des malwares détectés cette   année avaient pour but de voler ce genre d'informations. Ces données [nom, e-mail, âge, mots de passe, profil, NDLR] sont ensuite directement revendues ou réutilisées à des fins malveillantes, pour mieux piéger les internautes. Les spams sont par exemple de plus en plus personnalisés, traduits dans la langue des victimes et souvent en rapport avec leurs centres d'intérêt », détaille Laurent Heslault, directeur des technologies de sécurité de   Symantec en Europe du Sud.

Blogs et téléphones mobiles pollués par le spam

Cette année plus que jamais, le spam classique par e-mail a été une des armes les plus utilisées. Mais de nouvelles formes se sont confirmées en 2007 et s'amplifieront en 2008 : le spam sous forme de commentaires postés automatiquement dans les blogs ( splog), dans les messageries instantanées, par SMS sur les téléphones mobiles et dans les index des moteurs de recherche.

Nombre de ces spams permettent de récupérer des données personnelles, en intégrant des codes malicieux ou des liens vers de faux sites. « Jusqu'ici, le phishing frappait surtout les grands sites, en particulier les banques en ligne. Mais celles-ci se protègent de mieux en mieux. On s'attend donc pour 2008 à un élargissement du phishing à des sites plus petits, pour récupérer des informations personnelles tout aussi exploitables », estime François Paget, chercheur antivirus chez McAfee. Websense alerte d'ailleurs les internautes sur le fort risque de spam en 2008 autour du thème des Jeux olympiques de Pékin.

Des pages infectées dans les sites de partage

Plus insidieux que le phishing, qui renvoie vers des sites contrefaits, la nouvelle tendance est aux leurres placés sur des sites légitimes. Les réseaux sociaux et autres sites de partage d'informations entre internautes constituent une cible de choix, puisque que les internautes y dévoilent eux-mêmes leurs informations personnelles et que n'importe qui peut y publier du contenu : « les pirates n'ont plus besoin d'aller   chercher leurs victimes en leur envoyant des codes infectés. Avec le Web 2.0, elles viennent directement à eux », explique Laurent Heslault de Symantec.

Le site MySpace, notamment, a subi de nombreuses attaques cette année, des petits malins ayant intégré dans des pages perso des liens menant vers des sites malveillants : les fans de la chanteuse Alicia Keys en ont récemment fait les frais. De lourdes menaces planeront donc sur le Web 2.0 en 2008, s'accordent à dire les experts en sécurité.

Mais comment s'en prémunir ? En mettant régulièrement à jour son système d'exploitation, son navigateur, son pare-feu et son antivirus, sachant que ces derniers ne suffisent plus pour lutter contre les nouveaux types d'attaques. Il est préférable d'y ajouter des fonctions antiphishing voire antibot, censées détecter les fonctions de robots permettant à des pirates de se servir de votre PC à votre insu. Largement utilisés en 2007, notamment par le ver Storm, les bots devraient aussi se développer en 2008. Mais selon Symantec, il faut avant tout   faire attention à ce que l'on publie sur les forums ou les sites de partage : « c'est comme si vous affichiez vos informations personnelles sur un arrêt de bus... Il faut penser aux   conséquences », prévient Laurent Heslault.

01net.,

Posté par Al_K_Traaz à 10:00 - Sur internet - Commentaires [0] - Rétroliens [0] - Permalien [#]

08 janvier 2008

Un blog pour mieux s'informer sur les failles des logiciels Microsoft

Microsoft a ouvert fin décembre un blog intitulé « Security Vulnerability Research & Defense » avec l'objectif de fournir à ses utilisateurs des explications techniques plus approfondies sur les mises à jour de sécurité livrées par son centre de ressources MSRC (Microsoft Security Resource Center).
Ces informations viendront notamment compléter les indications données avec les « Patch Tuesday », les correctifs périodiquement publiés par l'éditeur de Windows pour combler les failles découvertes dans ses logiciels et systèmes d'exploitation.

Trois blogueurs, ingénieurs et responsables des équipes chargées des questions de sécurité logiciel chez Microsoft, doivent intervenir régulièrement sur ce site : Damian Hasse, Jonathan Ness et Greg Wroblewski.
Jonathan Ness dirige l'équipe SWI (Secure Windows Initiative) Defense.

Accéder au blog

Posté par Al_K_Traaz à 16:05 - Sur internet - Commentaires [0] - Rétroliens [0] - Permalien [#]

18 décembre 2007

News Spam

Le spam Zero-Day dans le collimateur de Microsoft

Vinny Gullotto, ex-Symantec, ex-McAfee et responsable de la lutte anti-malware chez Microsoft, utilise le terme "Zero-Day Spam" pour décrire ce qu'il estime être l'approche antispam nécessaire à Microsoft.

C'est en tentant de répondre à une question au sujet du manque de bon antispam au catalogue de Microsoft que Vinny Gullotto a lâché le terme de "Zero-Day spam", déjà rapidement utilisé par Trend Micro auparavant et auquel nous prédisons un bel avenir marketing.

Gullotto estime que l'approche payante en terme de R&D antispam serait de considérer l'email comme la toute première étape d'une chaîne d'événements ayant pour finalité de dérober des informations ou d'exploiter une vulnérabilité. De fait, chaque email pourrait servir de point de départ à une investigation qui pourrait mettre à jour, à l'une ou l'autre de ses étapes, un lien vers une activité malicieuse connue.

Partant des informations contenues dans l'email, il est alors possible de remonter vers, par exemple, des serveurs distribuant des codes malicieux, ou vendant des médicaments sans ordonnance ou de fausses Rolex. Peu importe que le courrier soit un spam connu ou non, la présence de ces "traces malicieuses" dans le chemin dont il est l'initiateur suffit à l'identifier.

Bien entendu, ce n'est pas très différent de ce que pratique déjà Websense / Surfcontrol, et cela ne prend pas en compte le spam boursier de type Pump & Dump par exemple. Mais le terme est accrocheur !

Posté par Al_K_Traaz à 10:55 - Sur internet - Commentaires [0] - Rétroliens [0] - Permalien [#]

Les spams

95% des courriels sont des spams


En 2007, entre 90 et 95 % des courriels étaient des spams. C'est que vient de révéler le baromètre annuel de Barracuda Networks, qui a analysé les messages électroniques quotidiens (environ 1 milliard par jour) de quelque 50 000 entreprises clientes. Un pourcentage d'autant plus alarmant qu'il marque un phénomène en croissance continue. Les pourriels représentaient entre 85 et 90% des courriels en 2006, 70% en 2005 et seulement 20% en 2001.

Autant dire que Barracuda, dont le métier est de fournir des solutions de sécurité adaptées aux messageries, se frotte les mains. Et son PDG d'ajouter que « la guerre contre le spam est une bataille continue entre spammers et éditeurs de sécurité », ces derniers devant continuellement mettre au point des solutions de surveillance de réseau afin de recenser les nouvelles tendances en matière de spams et de proposer une solution pour les contrer immédiatement.


Contenu du pollupostage  

  • Le pourriel contient généralement de la publicité. Les produits les plus vantés sont les services pornographiques, les médicaments (le plus fréquemment les produits de « dopage sexuel » ou, des hormones utilisées dans la lutte contre le vieillissement), le crédit financier, les casinos en ligne, les montres de contrefaçon, les diplômes falsifiés et les logiciels craqués.
  • Des escrocs envoient également des propositions prétendant pouvoir vous enrichir rapidement : travail à domicile, conseil d'achat de petites actions (penny stock).
  • Les lettres en chaînes peuvent aussi être qualifiées de pourriel.
  • Parfois aussi, mais de plus en plus rarement, il s'agit de messages d'entreprises ignorantes de la Netiquette qui y voient un moyen peu coûteux d'assurer leur promotion.
  • Enfin la dernière forme de pourriel, l'hameçonnage (phishing en anglais, terme dérivé de fishing, la pêche à la ligne), consiste à tromper le destinataire en faisant passer un courriel pour un message de sa banque ou d'un quelconque service protégé par mot de passe. Le but est de récupérer les données personnelles des destinataires (notamment des mots de passe, un numéro de carte bancaire) en les attirant sur un site factice enregistrant toutes leurs actions.

 

Posté par Al_K_Traaz à 10:54 - Sur internet - Commentaires [0] - Rétroliens [0] - Permalien [#]



« Accueil  1 
« août 2008 
dimlunmarmerjeuvensam
     1 2
3 4 5 6 7 8 9
10 11 12 13 14 15 16
17 18 19 20 21 22 23
24 25 26 27 28 29 30
31       
Liens
Version XML