Forum |  HardWare.fr | News | Articles | PC | S'identifier | S'inscrire | Shop Recherche
1716 connectés 

  FORUM HardWare.fr
  Windows & Software
  Sécurité

  [Veille Sécurité] : Actualité Virus et Failles [INFOS 15/08/07 14h58]

 

 

 Mot :   Pseudo :  
  Aller à la page :
 
 Page :   1  2  3  4  5  ..  65  66  67  68  69  70
Page Précédente
Auteur Sujet :

[Veille Sécurité] : Actualité Virus et Failles [INFOS 15/08/07 14h58]

n°1474265
minipouss
un mini mini
Posté le 02-03-2004 à 11:54:04  profilanswer
 

Dernières Mises en première page :

  • Failles MS : 9 Bulletins MS pour le mois d'Aout (15/11), Media Player, Word, Win 2000 et 6 Bulletins MS pour le mois de Novembre (10/12), 10 Bulletins MS pour le mois d'Octobre (11/10), Powerpoint et Internet Explorer (2 fois) (28/09), Internet Explorer (14/09), 3 bulletins pour le mois de Septembre et Word 2000 (13/09), 12 bulletins MS pour le mois d'Août et Windows (09/08), Powerpoint O day, 7 bulletins MS pour le mois de Juillet, 8 failles IE et 12 bulletins MS pour le mois de Juin (14/07), Office 2003, Internet Explorer et 3 bulletins MS pour le mois de Mai (10/05), 5 bulletins MS pour le mois d'Avril (12/04), IE, Microsoft.net Framework et IE (07/04), 2 Bulletins MS pour le mois de Mars (17/03), Visual Studio et Internet Explorer (06/03), 7 Bulletins MS pour le mois de Février, Windows XP et 2003 et 3 Bulletins MS pour le mois de Janvier (25/02), 9 Bulletins MS pour le mois d'Octobre (17/10), Windows (08/10), Roll-up post SP4 (14/09), Exchange 2003 (13/09), Windows, Firewall, IE, éditeur de registre et IIS (08/09), Microsoft Antispyware (14/08), 6 Bulletins MS pour le mois d'Août (10/08), ActiveSync et Office 2000 (06/08), USB sous Windows (28/07), Internet Explorer, Windows, 3 Bulletins MS pour le mois de Juillet et ASP.NET (18/07), regression patch MS05-025 (07/07), correctif temporaire pour IE (06/07), Internet Explorer et Rollup Win2k (01/07), Internet Explorer (21/06), 10 Bulletins MS pour le mois de Juin (15/06), Windows (07/06), Internet Explorer (30/05), Windows XP/2003, Windows Media Player et patch MS05-019 (20/05), 1 Bulletin MS pour le mois de Mai (11/05), patch pour XP SP2 (03/05), régressions patch MS05-019/ SP1 Win2003 (24/04), Windows Explorer sous win2000 (23/04), Windows et Outlook (18/04), 8 Bulletins MS pour le mois d'avril (13/04), MS Jet Database (05/04), Pb correctif MS05-002 (98/Me), SP1 pour Windows 2003 et hotfix pour XP SP1 (31/03), Windows 2000 et InfoPath (Office 2003) 18/03, Windows XP et 2003 (07/03), Windows SP1 pour Isa Server dispo (04/03), Encore un patch pour xp sp2 (28/02), Patch pour XP SP2 (23/02), Bulletins MS janvier et février (11/02), (IE (2 fois) (04/01), Windows et Windows Media Player (24/12), IE et DHTML (18/12), Patch hors cycle pour SP2 (16/12), 5 bulletins Microsoft de patch pour le mois de Décembre (15/12), Popup blocker du SP2 (12/12), IE6 encore (9/12), IE 6 deux fois (8/12), Microsoft Browser Client Context Tool (7/12), Patch MS04-040 (5/12), WINS et IE (30/11), Encore IE (SP1 et SP2) (26/11), Trois problèmes dans IE (SP1 et SP2) et problème avec certains patchs MS04-039 (17/11), Bulletin MS04-039,"IE et fichier local", "IE et Iframe", Outlook et "XP et les Wav" (9/11)
  • Failles : Trend Micro OfficeScan, F-Secure, Adobe Reader et Acrobat, AVG et WinZip (10/12), ClamAv, produits MacAfee, produits Mozilla, Opera, PowerArchiver et WinRAR (09/08), Acrobat/Reader, Flash player, produits F-Secure et Opera (14/07), ClamAV (10/05), ClamWin, Opera, NOD32, HP LaserJet, McAfee, RealNetworks et PC-cillin (07/04), OpenOffice, ZoneAlarm, Flash Player et Antivir (17/03), IPB, Symantec Ghost et AVG (13/03), WinAmp, java Sun, produits Mozilla, Sophos Antivirus, Kerio WinRoute Firewall, F-Secure Antivirus, Norton SystemWorks, QuickTime et Clam Antivirus (25/02), Symantec Antivirus (08/10), Bitdefender, Kaspersky et Zone Alarm (04/10), Powerarchiver, 7-zip et Mozilla/Firefox (25/09), Opera (20/09), ClamAv (18/09), Mozilla/Firefox/Netscape (13/09), NOD32, Symantec BrightMail AntiSpam, Symantec Liveupdate et Symantec Antivirus (08/09), Adobe Acrobat et Reader (17/08), TrendMicro OfficeScan et Trillian (06/08), Filezilla Serveur, Opera et Sophos Antivirus (28/07), Netscape, ClamAv et Apache (27/07), Avast! (21/07), Sophos Antivirus, Winamp et Mozilla/Firefox/Netscape/Thunderbird (18/07), ClamAv (01/07), Real Player (24/06), Navigateurs Web (21/06), SpamAssassin (17/06), Opera (16/06), Acrobat Reader (15/06), Java Sun, Symantec Pc Anywhere, produits Macromedia et Adobe et Gaim (14/06), Mozilla/Firefox, Kaspersky et Protocole BlueTooth (07/06), Avast, DNS sur Cisco et autres et Produits Computer Associates et Zone Labs (27/05), Netscape, Yahoo! Messenger, Gaim et iTunes(20/05), gros problème sous Firefox et Adobe SVG Viewer (11/05), produits Symantec (OS et Soft) et produits Kerio (03/05), plusieurs produits Symantec antivirus, dBpowerAMP, BitDefender, Acrobat Reader 6.0 et Netscape (29/04), MPlayer, Real Players, Netscape et MacAfee Security Suite (23/04), Mozilla/Firefox, MusicMatch et Maxthon (18/04), Gaim et Miranda (08/04), Mozilla/Firefox/Netscape et Adobe Reader (05/04), Kerio Personal Firewall, Norton (Antivirus, Internet Security et SystemWorks), Maxthon et Trillian (31/03), Produits Mac Afee et Firefox/Thunderbird/Mozilla (18/03), Real Player (02/03), Opera (28/02), Multiples produits trend Micro et Firefox (25/02), WinAce et Produits symantec (07/01), Firefox et Mozilla (2 fois) (4/01), SpySweeper Enterprise et WinRAR (24/12), eTrust EZ Antivirus (18/12), Adobe 6, Kerio MailServer/ServerFirewall, Symantec LiveUpdate et WinAMP (15/12), Kerio (kpf et winroute) et Opera (12/12), Mozilla/Firefox Netscape et Opera (8/12), GetRight (7/12), WinAMP (5/12), CuteFTP et Netscape (1/12), WS_FTP Serveur (30/11), WinFTP (24/11), WinAmp, Java SUN, Gmail, eTrust EZ antivirus et Opera (23/11), Zone Alarm Pro (19/11), Spy Sweeper, Skype et Samba (16/11), Firefox, Samba, Java Sun, Zinf, Kerio et LiveUpdate Symantec (10/11), Realplayer et Realone, Quicktime et winrar (7/11)
  • Virus/Phishing : Trojan pour faille Word et Phishings Credit Mutuel et Paypal (10/12), Zippo le racketteur (16/03), Phishing clients Le Crédit Lyonnais (13/03), Phishing clients VISA (25/02), Phishing contre AGF (13/09), nouveau virus Zotob (14/08), un trojan rançonneur (07/06), phishing banques françaises (30/05), Sober et la FIFA (03/05), Chod, Selotima/Esalone et Zori (18/03), Sober.L (08/03), 2 virus MSN (07/03), script PhP (04/01), Santy (24/12), un Zafi Noël (15/12), Inzae/Anzae et Yanz/Favsin (24/11), Iframe /ncore (23/11), Sob virus MSN (er (19/11), Golten (faille MS04-032), Bagle/Beagle et Mydoom/Bofra (16/11), Nouveau Mydoom etfaille Iframe (10/11), les derniers bagz et bagle ! (7/11)
  • Top10 Virus : Plus besoin de mise à jour de cette section car les liens donnés sont maintenus au moins de manière hebdomadaire voire journalière sur les différents sites


http://membres.lycos.fr/cybear/Forum/topicR+.gif
 
Ce topic vous met au courant des dernières failles de sécurité sur les logiciels connus et sur l'activité des virus. Vous trouverez ici des petits conseils ainsi que des infos les plus à jour possibles. Le topic est découpé en quatre parties principales (et 3 archives) :  
 


 
==================
1.  Informations  Générales
==================
 
1.a Petits conseils :
~~~~~~~~~~~~
 
En premier lieu, un site simple d'accès avec des conseils : http://www.protegetonordi.com/
 
Tout d'abord, de manière générale pour éviter les ennuis il faut tenir à jour son système d'exploitation et tout ses logiciels (particulièrement son antivirus) Pour la mise à jour Microsoft, il suffit de configurer votre pc pour qu'il fasse cela de manière automatique (sous 2000 et XP) ou alors il faut aller sur http://windowsupdate.microsoft.com/ (mini IE 5.0) ou bien il est possible de télécharger les mises à jour une à une sur http://www.microsoft.com/technet/security/Current.aspx
 
Ensuite, et très important, se servir de son cerveau. C'est à dire ne pas ouvrir une pièce jointe sans être sûr(e) et certain(e) de sa provenance (si vous ne connaissez personne qui parle anglais c'est pas la peine de regarder le fichier, même si Britney Spears ou Brad Pitt à poil ça vous intéresse :o) ). Et toujours la passer par l'antivirus (soit c'est automatique car votre Antivirus protège votre logiciel de messagerie, soit à la main) avantde l'exécuter. Et peut-être aussi penser à activer l'affichage complet des extensions des fichiers sous windows ;) (dans les options des fichiers)
 
L'ensemble des éditeurs d'antivirus n'ayant pas tout à fait la même base de données (sauf bien sûr pour les virus les plus connus et les plus répandus) il faut peut-être de temps en temps scanner votre pc sur un site en ligne.  
 
Pensez aussi, si possible, à utiliser votre ordinateur en tant qu'utilisateur et pas administrateur car les virus s'exécutent avec les droits de la session en cours ;)
 
De même ce n'est pas inutile de vérifier de temps en temps la liste des processus qui tournent sur votre pc [ctrl+alt+suppr]  
 
Il faut aussi surveiller ceux qui se lancent au démarrage [msconfig (pour win2000 il faut d'abord télécharger un msconfig.exe) en faisant Démarrer-->Exécuter]. Et si vous trouvez un fichier suspect il est possible de l'uploader sur certains sites pour le tester sans faire un scan complet de votre pc ;)
 
Ces deux dernières vérifications peuvent aussi se faire en utilisant l'excellent logiciel HijackThis. Deux bons tutoriaux peuvent être trouvés sur ce forum (cf en haut à gauche) ou sur le site d'Assiste.fr
 
Dernière chose, pensez aussi qu'il n'y a pas que les virus et les trojans mais aussi des spyware et autres petites bébêtes qui s'installent sur votre pc sans vous le dire (regardez les liens juste au dessus de ce topic à gauche).
 
Si malgré tout ça vous chopez des virus connus et que votre antivirus ne peut pas les éradiquer, vous pouvez essayer d'utiliser les "removal tools" des grands éditeurs d'antivirus :)
 
Afin de tester votre (ou vos) navigateur(s) préféré(s) voila l'adresse d'un excellent site http://bcheck.scanit.be/bcheck/index.php tenu à jour sur les dernières failles connues patchées ou non.
 
/!\/!\/!\ En plus des sites listés ici, vous pouvez également aller sur cette page Aide Technique (page perso de Neho) qui regroupe un très grand nombre de liens utiles pour s'informer sur les virus et spywares et sur les logiciels utiles pour les virer bien sûr :) /!\/!\/!\
 
 
1.b Sites de Scan En Ligne :
~~~~~~~~~~~~~~~~~
 
TrendMicro : seul scan en ligne utilisable sous l'ensemble des navigateurs du moment qu'ils supportent le java2 !!! [IE, Netscape, Mozilla, Firefox et Opera. Tous en version pas trop ancienne]
Symantec
Mac Afee Free Scan
Bitdefender
Computer Associates eTrust Antivirus Web scanner (anglais et pour IE)
 
et un scan un peu spécial permettant des tester si un  mail reçu est un hoax : Hoaxkiller.fr
 
On peut aussi uploader un fichier suspect :
 
Virus Total qui teste les fichiers chez 32 éditeurs : AhnLab (V3), Aladdin (eSafe), Alwil (Avast!), Authentium (Command Antivirus), AVIRA (Antivir), Bit 9 FileAdvisor), Cat Computer Services (Quick Heal), ClamAV (ClamWin), Computer Associates (Vet), Doctor Web, Ltd. (DrWeb), Eset Software (NOD32), Ewido Networks (ewido anti-malware), Fortinet (Fortinet), FRISK Software (F-Prot), F-Secure (F-Secure), Grisoft (AVG), Hacksoft (The Hacker), Ikarus Software (Ikarus), Kaspersky Lab (AVP), McAfee (VirusScan), Microsoft (Malware Protection), Norman (Norman Antivirus), Panda Software (Panda Platinum), Prevx (Prevx1), Secure Computing (Webwasher), Softwin (Bitdefender), Sophos (SAV), Sunbelt Software (Antivirus), Symantec (Norton Antivirus), UNA Corp (UNA), VirusBlokAda (VBA32) et VirusBuster (VirusBuster)
 
Online Malware Scan qui permet de tester le fichier chez 19 éditeurs (A², AntiVir, Arcabit, Avast, AVG Antivirus, BitDefender, ClamAV , Dr.Web, F-Prot, F-Secure, Fortinet, Kaspersky, NOD32, Norman, Panda, Rising, VirusBuster, VBA32 et Bit 9)
 
Kaspersky mais il est inclus dans le site précédent
 
 
"Removal Tools" pour éliminer les virus les plus courants :
 
Mac Afee et son fameux Stinger
Nettoyeurs Karpersky
Symantec et ses outils spécifiques
Trend Micro System Cleaner
Computer Associates eTrust Standalone Cleaning Utilities
Outils de désinfection
 
 
1.c Liens pour les dernières failles (F), derniers virus (V) et Faux Virus (Hoax) :
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
 
( F )
 
Security Tracker Alerts Summary
 
( F + V )
 
SecurityFocus et son fameux Bugtraq
FrSirt pour ses Bulletins et Avis et Alertes Virales
Secunia - Security and Virus Information
Secuser
Citadelle pour ses news car sinon pour le reste il renvoie sur FrSirt
 
( V )
 
Treiber qui regroupe les derniers virus sortis en temps réel chez plusieurs éditeurs connus
SecurityResponse (Symantec)
McAfee
l'Encyclopédie virale de Trend Micro
Sophos (français)
F-Secure Alertes par zones
VirusList de chez Kaspersky
 
(Hoax)
 
Trend Micro Hoax
HoaxBuster
Sophos Hoax
McAfee
HoaxKiller moteur de recherche pour tester si un  de vos mail est un hoax ou non
 
/!!\ Je rajoute une liste de newsletter, mailinglist et virus alert /!!\  
 


L'ensemble de ces listes sont non exhaustives et par conséquent ne demandent qu'à s'agrandir ;)
 
 
Voila à vous aussi de surveiller ce qui se passe :D
 
Merci à Antp d'avoir mis un lien vers ce topic dans le cadre rouge en haut à droite de la liste des topics WS&R :jap:
 
Et un grand merci à Marc, Antp, Com21 pour avoir fait les modifs nécessaires me permettant d'avoir accès aux 8 premiers posts pour plus de clarté et de lisibilité du topic :jap: :jap: http://forum-images.hardware.fr/icones/smilies/jap.gif


Message édité par minipouss le 15-08-2007 à 15:00:27
mood
Publicité
Posté le 02-03-2004 à 11:54:04  profilanswer
 

n°1496086
minipouss
un mini mini
Posté le 18-03-2004 à 22:08:36  profilanswer
 

====================
2. Failles de Sécurité Microsoft
====================
 
Pour se tenir à jour voila une liste des patchs sortis depuis Win2000 SP4, XP SP1 et XP SP2 (merci Daboom :jap: ) : Topic Installation Automatisée de Win2000-XP-2003 ou l'adresse d'origine HOTFIXES: Win2000 SP4 / WinXP SP1 / WinXP SP2 sur Microsoft Software Forum Network
 
Dans l'ordre de la plus récente à la plus ancienne (sur 2-3 mois)
 
 
## Vulnérabilité dans Windows Media Player ## [url=http://www.frsirt.com/bulletins/8241][/url] Bulletins FrSIRT 07/12/2006
Versions concernées : WMP 9 et 10
 
Description :

Citation :

Une vulnérabilité a été identifiée dans Microsoft Windows Media Player, elle pourrait être exploitée par des attaquants distants afin de compromettre un système vulnérable. Ce problème résulte d'une erreur de type buffer overflow présente au niveau de la librairie WMVCORE.DLL (Windows Media Playback/Authoring) qui ne gere pas correctement une liste ASX contenant un tag "REF HREF" excessivement long, ce qui pourrait être exploité par des attaquants afin d'exécuter des commandes arbitraires en incitant un utilisateur à visiter une page web spécialement conçue.

Solution : utiliser la version 11 http://www.frsirt.com/solution-2006-4882-1.php ou lire les alternatives sur le lien FrSIRT
 
 
## Faille 0-Day dans Word ## Microsoft Word Document Handling Memory Corruption and Code Execution Vulnerability Bulletins FrSIRT 05/12/2006
Versions concernées :

  • Word 2000, 2002, 2003 et Viewer 2003
  • Works 2004, 2005 et 2006  


Description :

Citation :

Une vulnérabilité a été identifiée dans Microsoft Word, elle pourrait être exploitée par des attaquants afin de compromettre un système vulnérable. Ce problème résulte d'une erreur présente au niveau du traitement d'un document malformé, ce qui pourrait être exploité par des attaquants afin d'exécuter des commandes arbitraires en incitant un utilisateur à ouvrir un fichier Word spécialement conçu.
Note : Cette vulnérabilité est actuellement exploitée dans des attaques ciblées.

Solution : pas de solution comme d'hab mais ça va venir sûrement (urgent car cf nouveau trojan dans la partie virus :/ )
 
 
## Problème de spoiler dans Windows 2000 ## Microsoft Windows Print Spooler Service "GetPrinterData" Denial of Service Vulnerability Bulletins FrSIRT 02/12/2006
Versions concernées : Win 2000 SP4
 
Description :

Citation :

Une vulnérabilité a été identifiée dans Microsoft Windows, elle pourrait être exploitée par des attaquants afin de causer un déni de service. Ce problème résulte d'une erreur présente au niveau du service d'impression "Spoolsv.exe" qui ne gère pas correctement des requêtes "GetPrinterData()" malformées, ce qui pourrait être exploité par des attaquants afin d'altérer le fonctionnement d'un système vulnérable.

Solution : pas de correctif officiel, mais possibilité de désactiver le service d'impression (s'il n'est pas nécessaire) en exécutant la commande : sc stop Spooler & sc config Spooler start=disabled (lu sur FrSIRT)
 
 
## Vulnérabilité XML dans Windows (MS06-071) ## Microsoft XML Core Services XMLHTTP Code Execution Vulnerability Bulletin FrSIRT 14/11/2006
Descriptif :

Citation :

Une vulnérabilité a été identifiée dans Microsoft XML Core Services, elle pourrait être exploitée par des attaquants distants afin de compromettre un système vulnérable. Ce problème résulte d'une erreur présente au niveau du contrôleur ActiveX XMLHTTP qui ne gère pas correctement une méthode "setRequestHeader()" spécialement conçue, ce qui pourrait être exploité par des attaquants afin d'altérer le fonctionnement d'un navigateur vulnérable ou afin d'exécuter des commandes arbitraires en incitant un utilisateur à visiter une page web malicieuse.

Versions vulnérables : Microsoft XML Core Services 4.0 et 6.0
 
Solution : appliquer le patch Vulnerability in Microsoft XML Core Services Could Allow Remote Code Execution (928088)
 
 
## Une autre faille dans Windows (MS06-070) ## Microsoft Windows Workstation Service Remote Code Execution Vulnerability Bulletin FrSIRT 14/11/2006
Descriptif :

Citation :

Une vulnérabilité a été identifiée dans Microsoft Windows, elle pourrait être exploitée par des attaquants distants afin de compromettre un système vulnérable. Ce problème résulte d'une erreur de type buffer overflow présente au niveau de la fonction "NetpManageIPCConnect()" appelée par "NetrJoinDomain2()" au sein du service Workstation, ce qui pourrait être exploité par des attaquants afin d'altérer le fonctionnement d'un système vulnérable ou afin d'exécuter des commandes arbitraires distantes.
Note : Les systèmes Windows 2000 sont les plus menacés par cette faille. Sous Windows XP, seul un attaquant authentifié peut exploiter cette vulnérabilité.

Versions vulnérables :

  • XP SP2
  • Win 2000 SP4


Solution : appliquer le patch Vulnerability in Workstation Service Could Allow Remote Code Execution (924270)
 
 
## Soucis dans le Flash Player livré avec XP (MS06-069) ## Microsoft Windows Flash Player Remote Code Execution Vulnerabilities Bulletin FrSIRT 14/11/2006
Descriptif :

Citation :

Plusieurs vulnérabilités ont été identifiées dans Microsoft Windows, elles pourraient être exploitées par des attaquants distants afin de compromettre un système vulnérable. Ces failles résultent d'erreurs présentes au niveau du lecteur Macromedia Flash distribué avec certaines versions du système d'exploitation, ce qui pourrait être exploité par des attaquants afin d'exécuter des commandes arbitraires en incitant un utilisateur à visiter une page Web spécialement conçue. Pour plus d'informations, se référer au bulletin : FrSIRT/AVIS-2006-3573

Versions vulnérables : XP SP2 et Pro x64 Edition
 
Solution : appliquer le patch Vulnerabilities in Macromedia Flash Player from Adobe Could Allow Remote Code Execution (923789)
 
 
## Vulnérabilité dans Windows (MS06-068) ## Microsoft Windows Agent "ACF" File Handling Code Execution Vulnerability Bulletin FrSIRT 14/11/2006
Descriptif :

Citation :

Une vulnérabilité a été identifiée dans Microsoft Windows, elle pourrait être exploitée par des attaquants distants afin de compromettre un système vulnérable. Ce problème résulte d'une erreur présente au niveau de l'Agent Microsoft qui ne gère pas correctement certains fichiers ".ACF" malformés, ce qui pourrait être exploité par des attaquants afin d'altérer le fonctionnement d'un système vulnérable ou afin d'exécuter des commandes arbitraires en incitant un utilisateur à visiter une page web spécialement conçue.

Versions vulnérables :

  • XP SP2 et Pro x64 Edition
  • Win 2000 SP4
  • Windows Server 2003, Server 2003 SP1,Server 2003 (Itanium), Server 2003 SP1 (Itanium) et Server 2003 x64 Edition


 
Solution : appliquer le patch Vulnerability in Microsoft Agent Could Allow Remote Code Execution (920213)
 
 
## Patch cumulatif pour IE (MS06-067) ## Microsoft Internet Explorer HTML Rendering Memory Corruption Vulnerability Bulletin FrSIRT 14/11/2006
Descriptif :

Citation :

Une vulnérabilité a été identifiée dans Microsoft Internet Explorer, elle pourrait être exploitée par des attaquants distants afin de causer un déni de service ou afin de compromettre un système vulnérable. Ce problème résulte d'une erreur présente au niveau du traitement de certains tags HTML malformés, ce qui pourrait être exploité par des attaquants afin d'altérer le fonctionnement d'un navigateur vulnérable ou afin d'exécuter des commandes arbitraires en incitant un utilisateur à visiter une page web spécialement conçue.

Versions vulnérables :

  • IE 5.01 SP4 sous Win 2000 SP4
  • IE 6 SP1 sous Win 2000 SP4 et XP SP1
  • IE 6 sous XP SP2, Windows Server 2003, Server 2003 SP1, Server 2003 (Itanium), Server 2003 SP1 (Itanium), Server 2003 x64 Edition et XP Pro x64 Edition


Solution : appliquer le patch Cumulative Security Update for Internet Explorer (922760)
 
 
## Failles dans le Client pour Netware (MS06-066) ## Microsoft Windows Client for NetWare and NetWare Driver Vulnerabilities Bulletin FrSIRT 14/11/2006
Descriptif :

Citation :

Deux vulnérabilités ont été identifiées dans Microsoft Windows, elles pourraient être exploitées par des attaquants afin de compromettre un système vulnérable ou afin de causer un déni de service. Ces failles résultent d'erreurs de type buffer overflow présentes au niveau du service pour NetWare (CSNW) qui ne gère pas correctement certains messages malformés, ce qui pourrait être exploité par des attaquants distants ou locaux afin d'exécuter des commandes arbitraires ou afin d'altérer le fonctionnement d'un système vulnérable.
Note : Le service vulnérable n'est pas installé par défaut.

Versions vulnérables :

  • XP SP2
  • Win 2000 SP4
  • Windows Server 2003 et 2003 SP1


Solution : appliquer le patch Vulnerabilities in Client Service for NetWare Could Allow Remote Code Execution (923980)
 
 
## Souci dans l'Object pakcager de Windows (MS06-065) ## Microsoft Windows Object Packager Dialogue Spoofing Vulnerability Bulletin FrSIRT 10/10/2006
Descriptif :

Citation :

Une vulnérabilité a été identifiée dans Microsoft Windows, elle pourrait être exploitée par des attaquants afin de contourner les mesures de sécurité et potentiellement compromettre un système vulnérable. Ce problème résulte d'une erreur présente au niveau de l'application "packager.exe" (Object Packager) qui ne valide pas correctement la propriété "Command Line", ce qui pourrait être exploité par des attaquants afin d'exécuter des commandes arbitraires en incitant un utilisateur à ouvrir un document spécialement conçu puis à cliquer sur un objet spécifique et accepter une fenêtre affichée par l'application.

Versions vulnérables :

  • XP SP1, SP2 et Professional x64 Edition
  • Windows Server 2003, 2003 SP1, 2003 (Itanium), 2003 SP1 (Itanium) et 2003 x64 Edition


Solution : appliquer le patch Vulnerability in Windows Object Packager Could Allow Remote Execution (924496)
 
 
## Faille implémentation IPv6 dans Windows (MS06-064) ## Microsoft Windows TCP/IP IPv6 Remote Denial of Service Vulnerabilities Bulletin FrSIRT 10/10/2006
Descriptif :

Citation :

Plusieurs vulnérabilités ont été identifiées dans Microsoft Windows, elles pourraient être exploitées par des attaquants distants afin de causer un déni de service. Ces failles résultent d'erreurs présentes aux niveaux des implémentations IPv6 des protocoles ICMP, TCP et TCP/IP, ce qui pourrait être exploité par des attaquants afin d'altérer le fonctionnement d'un système vulnérable via un requête spécialement conçu.

Versions vulnérables :

  • XP SP1, SP2 et Professional x64 Edition
  • Windows Server 2003, 2003 SP1, 2003 (Itanium), 2003 SP1 (Itanium) et 2003 x64 Edition


Solution : appliquer le patch Vulnerabilities in TCP/IP IPv6 Could Allow Denial of Service (922819)
 
 
## Vulnérabilité dans le service Serveur de Windows (MS06-063) ## Microsoft Windows Server Service Remote Code Execution Vulnerability Bulletin FrSIRT 10/10/2006
Descriptif :

Citation :

Une vulnérabilité a été identifiée dans Microsoft Windows, elle pourrait être exploitée par des utilisateurs malveillants afin de compromettre un système vulnérable. Ce problème résulte d'une erreur présente au niveau du service Serveur qui ne gère pas correctement des messages malformés, ce qui pourrait être exploité par des attaquants authentifiés afin d'exécuter des commandes arbitraires via un message spécialement conçu.

Versions vulnérables :

  • XP SP1, SP2 et Professional x64 Edition
  • Win 2000 SP4
  • Windows Server 2003, 2003 SP1, 2003 (Itanium), 2003 SP1 (Itanium) et 2003 x64 Edition


Solution : appliquer le patch Vulnerability in Server Service Could Allow Denial of Service (923414)
 
 
## Nombreuses failles Office (MS06-062) ## Microsoft Office Multiple File Handling Code Execution Vulnerabilities Bulletin FrSIRT 10/10/2006
Descriptif :

Citation :

Plusieurs vulnérabilités ont été identifiées dans Microsoft Office, elles pourraient être exploitées par des attaquants afin de compromettre un système vulnérable. Ces failles résultent d'erreurs présentes au niveau du traitement de certains fichiers malformés, ce qui pourrait être exploité par des attaquants afin d'exécuter des commandes arbitraires en incitant un utilisateur à ouvrir un fichier spécialement conçu.

Versions vulnérables : Quasiment tous les composants de

  • Office 2000 SP3, XP SP3 et 2003 SP1 et SP2
  • Projct 200 SR1 et 2002 SP1
  • Visio 2002 SP2


Solution : appliquer le patch Vulnerabilities in Microsoft Office Could Allow Remote Code Execution (922581)
 
 
## Gros soucis XML (MS06-061) ## Microsoft XML Parser and XML Core Services Multiple Vulnerabilities Bulletin FrSIRT 10/10/2006
Descriptif :

Citation :

Plusieurs vulnérabilités ont été identifiées dans Microsoft Windows, elles pourraient être exploitées par des attaquants afin de compromettre un système vulnérable ou afin de contourner les mesures de sécurité.
 
Le premier problème résulte d'une erreur présente au niveau du contrôleur ActiveX XMLHTTP qui n'interprète pas correctement certaines redirections HTTP, ce qui pourrait être exploité par des attaquants afin d'accéder aux cookies associés à un autre domaine.
 
La seconde faille est due à une erreur de type buffer overflow présente au niveau du contrôleur XSLT (Extensible Stylesheet Language Transformations) qui ne gère pas correctement des données malformées, ce qui pourrait être exploité par des sites web malveillants afin d'exécuter des commandes arbitraires.

Versions vulnérables : XML Parser 2.6 et XML Core Services 3.0 sous

  • XP SP1, SP2 et Professional x64 Edition
  • Win 2000 SP4
  • Windows Server 2003, 2003 SP1, 2003 (Itanium), 2003 SP1 (Itanium) et 2003 x64 Edition


  • Office 2003 SP1 et SP2 avec Microsoft XML Core Services 5.0 SP1


Solution : appliquer le patch Vulnerabilities in Microsoft XML Core Services Could Allow Remote Code Execution (924191)
 
 
## Multiples vulnérabilités dans Word et Works (MS06-060) ## Microsoft Word Document Handling Command Execution Vulnerabilities Bulletin FrSIRT 10/10/2006
Descriptif :

Citation :

Plusieurs vulnérabilités ont été identifiées dans Microsoft Word, elles pourraient être exploitées par des attaquants afin de compromettre un système vulnérable. Ces failles résultent d'erreurs présentes au niveau du traitement d'un document malformé, ce qui pourrait être exploité par des attaquants afin d'exécuter des commandes arbitraires en incitant un utilisateur à ouvrir un fichier spécialement conçu.

Versions vulnérables :

  • Word 2000,2002 et 2003
  • Office 2000 SP3, XP SP3 et 2003 SP1 et SP2
  • Works Suite 2004, 2005 et 2006


Solution : appliquer le patch Vulnerabilities in Microsoft Word Could Allow Remote Code Execution (924554)
 
 
## Failles Excel et Works (MS06-059) ## Microsoft Excel Document Handling Command Execution Vulnerabilities Bulletin FrSIRT 10/10/2006
Descriptif :

Citation :

Plusieurs vulnérabilités ont été identifiées dans Microsoft Excel, elles pourraient être exploitées par des attaquants afin de compromettre un système vulnérable.
 
Le premier problème résulte d'une erreur présente au niveau du traitement d'un document contenant un enregistrement DATETIME malformé, ce qui pourrait être exploité par des attaquants afin d'exécuter des commandes arbitraires en incitant un utilisateur à ouvrir un fichier spécialement conçu.
 
La seconde faille est due à une erreur présente au niveau du traitement d'un fichier Lotus 1-2-3 malformé, ce qui pourrait être exploité par des attaquants afin d'exécuter des commandes arbitraires en incitant un utilisateur à ouvrir un fichier spécialement conçu.
 
La troisième vulnérabilité est due à une erreur présente au niveau du traitement d'un document contenant un enregistrement COLINFO malformé, ce qui pourrait être exploité par des attaquants afin d'exécuter des commandes arbitraires en incitant un utilisateur à ouvrir un fichier spécialement conçu.

Versions vulnérables :

  • Excel 2000,2002 et 2003
  • Office 2000 SP3, XP SP3 et 2003 SP1 et SP2
  • Works Suite 2004, 2005 et 2006


Solution : appliquer le patch Vulnerabilities in Microsoft Excel Could Allow Remote Code Execution (924164)
 
 
## Plusieurs vulnérabilités dans Powerpoint (dont la célèbre 0-Day de fin Septembre (MS06-058) ## Microsoft PowerPoint File Handling Command Execution Vulnerabilities Bulletin FrSIRT 10/10/2006 (Rappel Microsoft PowerPoint Malformed Record Code Execution Vulnerability Bulletin FrSIRT 27/09/2006)
Descriptif :

Citation :

Plusieurs vulnérabilités ont été identifiées dans Microsoft PowerPoint, elles pourraient être exploitées par des attaquants afin de compromettre un système vulnérable. Ces failles résultent d'erreurs présentes au niveau du traitement d'une présentation malformé, ce qui pourrait être exploité par des attaquants afin d'exécuter des commandes arbitraires en incitant un utilisateur à ouvrir un document spécialement conçu.

Versions vulnérables :

  • Powerpoint 2000,2002 et 2003
  • Office 2000 SP3, XP SP3 et 2003 SP1 et SP2


Solution : appliquer le patch Vulnerabilities in Microsoft PowerPoint Could Allow Remote Code Execution (924163)
 
 
## Ancienne (juillet) faille Windows corrigée (MS06-057) ## Microsoft Windows Shell "WebView" ActiveX Buffer Overflow Vulnerability Bulletin FrSIRT 19/07-10/10/2006
Descriptif :

Citation :

Une vulnérabilité a été identifiée dans Microsoft Windows, elle pourrait être exploitée par des attaquants distants afin de causer un déni de service ou potentiellement compromettre un système vulnérable. Ce problème résulte d'une erreur de type buffer overflow présente au niveau du traitement d'un objet "WebViewFolderIcon" associé à une méthode "setSlice" spécialement conçue, ce qui pourrait être exploité par des attaquants afin d'altérer le fonctionnement d'un navigateur vulnérable ou afin d'exécuter des commandes arbitraires en incitant un utilisateur à visiter une page web spécialement conçue.
Note : Un code d'exploitation a été publié.

Versions vulnérables :

  • XP SP1, SP2 et Professional x64 Edition
  • Win 2000 SP4
  • Windows Server 2003, 2003 SP1, 2003 (Itanium), 2003 SP1 (Itanium) et 2003 x64 Edition


Solution : appliquer le patch Vulnerability in Windows Explorer Could Allow Remote Execution (923191)
 
 
## Vulnérabilité .NET Framework (MS06-056) ## Microsoft .NET Framework Client-Side Cross Site Scripting Vulnerability Bulletin FrSIRT 10/10/2006
Descriptif :

Citation :

Une vulnérabilité a été identifiée dans Microsoft .NET Framework, elle pourrait être exploitée par un utilisateur distant afin de conduire des attaques par cross site scripting. Ce problème résulte d'erreurs présentes aux niveaux des controleurs ASP.NET qui affectent la valeur "true" à la propriété "AutoPostBack", ce qui pourrait être exploité par des attaquants afin d'injecter un code HTML/Javascript malicieux coté client.

Versions vulnérables : .NET Framework 2.0
 
Solution : appliquer le patch Vulnerability in ASP.NET 2.0 Could Allow Information Disclosure (922770)
 
 
## Nouvelle faille Active X ## Public Exploit Code for Microsoft WebViewFolderIcon ActiveX Control Vulnerability Bulletins US-CERT 27/09/2006 et Vulnérabilité critique non corrigée dans Windows Communiqué Secuser 27/09/2006
Versions concernées : tous les Windows et tous les Internet Explorer
 
Description :

Citation :

Un nouveau défaut de sécurité a été découvert dans Windows. L'exploitation d'une erreur dans le code du composant ActiveX WebViewFolderIcon (webvw.dll) peut permettre à un individu malveillant de prendre le contrôle à distance de l'ordinateur de sa victime ou à un virus de s'exécuter à l'ouverture d'une page web ou d'un courriel piégé.

Solution : désactiver ActiveX :D
 
 
## Vulnérabilité exploitée sous Powerpoint ## Microsoft PowerPoint Document Handling Client-Side Code Execution Vulnerability Bulletins FrSIRT 27/09/2006
Versions concernées : Powerpoint 2000,2002 et 2003
 
Description :

Citation :

Une vulnérabilité a été identifiée dans Microsoft PowerPoint, elle pourrait être exploitée par des attaquants afin de compromettre un système vulnérable. Ce problème résulte d'une erreur de type buffer overflow présente au niveau du traitement d'une présentation malformée, ce qui pourrait être exploité par des attaquants afin d'exécuter des commandes arbitraires en incitant un utilisateur à ouvrir un document spécialement conçu.
 
Note : Cette vulnérabilité est actuellement exploitée par les chevaux de Troie Controlppt.W et Trojan.Controlppt.X (aussi connus sous les alias PPDropper.F et Exploit-PPT.d).

Solution : pas de patch pour le moment mais il est possible d'utiliser la visionneuse Powerpoint 2003 qui n'ets pas affectée http://www.microsoft.com/downloads [...] 4784af71a4
 
 
## Grosse faille dans Internet Explorer (MS06-055) ## Microsoft Internet Explorer Vector Markup Language Code Execution Vulnerability Bulletin FrSIRT 19-26/09/2006
Descriptif :

Citation :

Une vulnérabilité a été identifiée dans Microsoft Internet Explorer, elle pourrait être exploitée par des attaquants distants afin de causer un déni de service ou afin de compromettre un système vulnérable. Ce problème résulte d'une erreur de type buffer overflow présente au niveau du traitement d'un document Vector Markup Language (VML) contenant un tag "rect" avec un attribut "fill" excessivement long, ce qui pourrait être exploité par des attaquants afin d'altérer le fonctionnement d'un navigateur vulnérable ou afin d'exécuter des commandes arbitraires en incitant un utilisateur à visiter une page web spécialement conçue.

Versions vulnérables :

  • IE 5.01 SP4 sous Win 2000 SP4
  • IE 6 SP1 sous Win 2000 SP4 et XP SP1
  • IE 6 sous XP SP2, Windows Server 2003, Server 2003 SP1, Server 2003 (Itanium), Server 2003 SP1 (Itanium), Server 2003 x64 Edition et XP Pro x64 Edition


Solution : appliquer le patch Vulnerability in Vector Markup Language Could Allow Remote Code Execution (925486)
 
 
## 3 vulnérabilité dans IE ## Microsoft Internet Explorer Long URL Parsing Remote Buffer Overflow Vulnerabilities et Microsoft Internet Explorer "daxctle.ocx" KeyFrame Buffer Overflow Vulnerability Bulletins FrSIRT 23/08-12/09-13/09/2006
Versions concernées : IE 6 SP1 Win2000 et XP SP1 pour les deux premières failles. Et pour les autres :

  • IE 5.01 SP4 sous Win 2000 SP4
  • IE 6 SP1 sous Win 2000 SP4 et XP SP1
  • IE 6 sous XP SP2, Windows Server 2003, Server 2003 SP1, Server 2003 (Itanium), Server 2003 SP1 (Itanium), Server 2003 x64 Edition et XP Pro x64 Edition


Description :

Citation :

Deux vulnérabilités ont été identifiées dans Microsoft Internet Explorer, elles pourraient être exploitées par des attaquants distants afin de causer un déni de service ou afin compromettre un système vulnérable. Ces failles résultent d'erreurs de type buffer overflow présentes au niveau du traitement d'une URL excessivement longue, ce qui pourrait être exploité par des attaquants afin d'altérer le fonctionnement d'un navigateur vulnérable ou afin d'exécuter des commandes arbitraires en incitant un utilisateur à visiter une page web spécialement conçue.

Citation :

Une vulnérabilité a été identifiée dans Microsoft Internet Explorer, elle pourrait être exploitée par des attaquants distants afin de causer un déni de service ou afin de compromettre un système vulnérable. Ce problème résulte d'une erreur de type buffer overflow présente au niveau du traitement d'une méthode "KeyFrame()" malformée associée à un objet "DirectAnimation.PathControl" (daxctle.ocx), ce qui pourrait être exploité par des attaquants afin d'altérer le fonctionnement d'un navigateur vulnérable ou afin d'exécuter des commandes arbitraires en incitant un utilisateur à visiter une page web spécialement conçue.

Solution : pour les deux premières failles il faut retélécharger le patch http://www.microsoft.com/technet/s [...] 6-042.mspx qui a été mis à jour. Pas de correctif officiel pour la deuxième, à part le conseil de désactiver (comme d'hab) Active Scripting.
 
 
## Faille dans Publisher (MS06-054) ## Microsoft Publisher "pub" File Handling Code Execution Vulnerability Bulletin FrSIRT 12/09/2006
Descriptif :

Citation :

Une vulnérabilité a été identifiée dans Microsoft Publisher, elle pourrait être exploitée par des attaquants afin de compromettre un système vulnérable. Ce problème résulte d'une erreur de type buffer overflow présente au niveau du traitement d'un fichier ".pub" malformé, ce qui pourrait être exploité par des attaquants afin d'exécuter des commandes arbitraires en incitant un utilisateur à ouvrir un fichier spécialement conçu.

Versions vulnérables :

  • Publisher 2000, 2002 et 2003
  • Office 2000 SP3, XP SP3 et 2003 SP1 et SP2


Solution : appliquer le patch Vulnerability in Microsoft Publisher Could Allow Remote Code Execution (910729)
 
 
## Problèmes dans le service d'indexation de Windows (MS06-053) ## Microsoft Windows Indexing Service Cross Site Scripting Vulnerability Bulletin FrSIRT 12/09/2006
Descriptif :

Citation :

Une vulnérabilité a été identifiée dans Microsoft Windows, elle pourrait être exploitée par un utilisateur distant afin de conduire des attaques par cross site scripting. Ce problème résulte d'une erreur présente au niveau du service d'indexation qui ne filtre pas correctement certaines données, ce qui pourrait être exploité par des attaquants afin d'injecter un code HTML/Javascript malicieux coté client.

Versions vulnérables :

  • XP SP1, SP2 et Professional x64 Edition
  • Win 2000 SP4
  • Windows Server 2003, 2003 SP1, 2003 (Itanium), 2003 SP1 (Itanium) et 2003 x64 Edition


Solution : appliquer le patch Vulnerability in Indexing Service Could Allow Cross-Site Scripting (920685)
 
 
## Souci sous XP (MS06-052) ## Microsoft Windows Pragmatic General Multicast Remote Code Execution Bulletin FrSIRT 12/09/2006
Descriptif :

Citation :

Une vulnérabilité a été identifiée dans Microsoft Windows, elle pourrait être exploitée par des attaquants distants afin de compromettre un système vulnérable. Ce problème résulte d'une erreur présente au niveau du service Microsoft Message Queuing (MSMQ) qui ne gère pas correctement des messages PGM (Pragmatic General Multicast) malformés, ce qui pourrait être exploité par des attaquants distants afin d'exécuter des commandes arbitraires.
 
Note : Le service Microsoft Message Queuing (MSMQ) n'est pas installé par défaut.

Versions vulnérables : XP SP1 et SP2
 
Solution : appliquer le patch Vulnerability in Pragmatic General Multicast (PGM) Could Allow Remote Code Execution (919007)
 
 
## Faille 0 day dans Word 2000 ## Microsoft Word 2000 Document Handling Client-Side Command Execution Vulnerability Bulletin FrSIRT 05/09/2006
Versions concernées : Office 2000 SP3 et Word 2000
 
Description :

Citation :

Une vulnérabilité a été identifiée dans Microsoft Word 2000, elle pourrait être exploitée par des attaquants afin de compromettre un système vulnérable. Ce problème résulte d'une erreur présente au niveau du traitement d'un document malformé, ce qui pourrait être exploité par des attaquants afin d'exécuter des commandes arbitraires en incitant un utilisateur à ouvrir un fichier Word spécialement conçu.
 
Note : Cette vulnérabilité est actuellement exploitée par le trojan Mdropper.Q.

Solution : pas de solution officielle pour le moment. Il faut utiliser un autre logiciel pour ouvrir les .doc éventuellement malicieux, donc soit Word Viewer 2003 ( http://www.microsoft.com/downloads [...] 826E7B8FDF ) soit OpenOffice ( http://fr.openoffice.org/ )
 
 
## Problèmes dans le noyau Windows (MS06-051) ## Microsoft Windows Kernel Code Execution and Privilege Escalation Vulnerabilities Bulletin FrSIRT 08/08/2006
Descriptif :

Citation :

Deux vulnérabilités ont été identifiées dans Microsoft Windows, elles pourraient être exploitées par des attaquants distants afin de compromettre un système vulnérable ou par des utilisateurs malveillants afin d'obtenir des privilèges élevés.
 
Le premier problème résulte d'une erreur présente au niveau de WinLogon, ce qui pourrait être exploité par des utilisateurs malveillants afin d'initialiser des DLLs malicieuses avec des privilèges élevés.
 
La seconde faille est due à une erreur présente au niveau du traitement des exceptions, ce qui pourrait être exploité par des attaquants distants afin d'exécuter des commandes arbitraires.

Versions vulnérables :

  • XP SP1, SP2 et Professional x64 Edition
  • Win 2000 SP4
  • Windows Server 2003, 2003 SP1, 2003 (Itanium), 2003 SP1 (Itanium) et 2003 x64 Edition


Solution : appliquer le patch Vulnerability in Windows Kernel Could Result in Remote Code Execution (917422)
 
 
## Vieilles failles Windows enfin corrigées (MS06-050) ## Microsoft Windows Hyperlink Library Multiple Buffer Overflow Vulnerabilities Bulletin FrSIRT 08/08/2006 (en date du 20/06/2006)
Descriptif :

Citation :

Deux vulnérabilités ont été identifiées dans Microsoft Windows, elles pourraient être exploitées par des attaquants afin de compromettre un système vulnérable. Ces failles résultent d'erreurs de type buffer overflow présentes au niveau de la Bibliothèque Hypertexte "hlink.dll" qui ne gère pas correctement un lien excessivement long, ce qui pourrait être exploité par des attaquants afin d'exécuter des commandes arbitraires en incitant un utilisateur à ouvrir un document (e.g. Excel ou Word) malicieux puis à cliquer sur un lien spécialement conçu.

Versions vulnérables :

  • XP SP1, SP2 et Professional x64 Edition
  • Win 2000 SP4
  • Windows Server 2003, 2003 SP1, 2003 (Itanium), 2003 SP1 (Itanium) et 2003 x64 Edition


Solution : appliquer le patch Vulnerabilities in Microsoft Windows Hyperlink Object Library Could Allow Remote Code Execution (920670)
 
 
## Vulnérabilité du noyau de Windows 2000 (MS06-049) ## Microsoft Windows Kernel Buffer Overflow Privilege Escalation Vulnerability Bulletin FrSIRT 08/08/2006
Descriptif :

Citation :

Une vulnérabilité a été identifiée dans Microsoft Windows, elle pourrait être exploitée par des attaquants locaux afin d'obtenir des privilèges élevés. Ce problème résulte d'une erreur de type buffer overflow présente au niveau du Kernel, ce qui pourrait être exploité par des utilisateurs malveillants afin d'exécuter des commandes arbitraires avec des privilèges SYSTEM.

Versions vulnérables : Win 2000 SP4
 
Solution : appliquer le patch Vulnerability in Windows Kernel Could Result in Elevation of Privilege (920958)
 
 
## La faille Powerpoint corrigée !!! (MS06-048) ## Microsoft PowerPoint Presentation Handling Memory Corruption Vulnerability Bulletin FrSIRT 08/08/2006 (en date du 13/07/2006)
Descriptif : Rappel :

Citation :

Une vulnérabilité a été identifiée dans Microsoft PowerPoint, elle pourrait être exploitée par des attaquants afin de compromettre un système vulnérable. Ce problème résulte d'une erreur de type buffer overflow présente au niveau de la librairie "mso.dll" qui ne gère pas correctement une présentation malformée, ce qui pourrait être exploité par des attaquants afin d'exécuter des commandes arbitraires en incitant un utilisateur à ouvrir un fichier spécialement conçu.
 
Note : Cette vulnérabilité est actuellement exploitée par le trojan PPDropper.B.

Versions vulnérables :

  • PowerPoint 2000, 2002 et 2003
  • Office 2000, 2002 et 2003


Solution : appliquer le patch Vulnerabilities in Microsoft Office Could Allow Remote Code Execution (922968)
 
 
## Souci Visual Basic (MS06-047) ## Microsoft Visual Basic for Applications Remote Code Execution Vulnerability Bulletin FrSIRT 08/08/2006
Descriptif :

Citation :

Une vulnérabilité a été identifiée dans Visual Basic for Applications (VBA), elle pourrait être exploitée par des attaquants afin de compromettre un système vulnérable. Ce problème résulte d'une erreur de type buffer overflow présente au niveau du traitement de certaines propriétés malformées, ce qui pourrait être exploité par des attaquants afin d'exécuter des commandes arbitraires en incitant un utilisateur à ouvrir un document spécialement conçu (e.g. Word ou Excel).

Versions vulnérables :

  • Office 2000 SP3 et XP SP3
  • Project 2000 SR1 et 2002 SP1
  • Access 2000 Runtime SP3
  • Visio 2002 SP2
  • Works Suite 2004, 2005 et 2006
  • Visual Basic for Applications SDK 6.0, 6.2, 6.3 et 6.4  


Solution : appliquer le patch Vulnerability in Microsoft Visual Basic for Applications Could Allow Remote Code Execution (921645)
 
 
## Vulnérabilité aide HTML (MS06-046) ## Microsoft Internet Explorer HTML Help Control "HHCtrl" Memory Corruption Vulnerability Bulletin FrSIRT 08/08/2006 (en date du 03/07/2006)
Descriptif :

Citation :

Une vulnérabilité a été identifiée dans Microsoft Internet Explorer, elle pourrait être exploitée par des attaquants distants afin de causer un déni de service ou potentiellement compromettre un système vulnérable. Ce problème résulte d'une erreur présente au niveau du module "HHCtrl" (HTML Help Control) qui ne gère pas correctement certaines propriétés malformées, ce qui pourrait être exploité par des attaquants afin d'altérer le fonctionnement d'un navigateur vulnérable ou afin d'exécuter des commandes arbitraires en incitant un utilisateur à visiter une page web spécialement conçue.

Versions vulnérables :

  • XP SP1, SP2 et Professional x64 Edition
  • Win 2000 SP4
  • Windows Server 2003, 2003 SP1, 2003 (Itanium), 2003 SP1 (Itanium) et 2003 x64 Edition


Solution : appliquer le patch Vulnerability in HTML Help Could Allow Remote Code Execution (922616)
 
 
## Faille Windows Explorer (MS06-045) ## Microsoft Internet Explorer Information Disclosure and HTA File Execution Vulnerabilities Bulletin FrSIRT 08/08/2006
Descriptif :

Citation :

La (seconde) faille est due à une erreur présente au niveau du traitement des extensions de fichiers présents au sein d'un partage, ce qui pourrait être exploité par des attaquants afin d'inciter un utilisateur à exécuter un fichier HTA malicieux via une page web spécialement conçue.

Versions vulnérables :

  • XP SP1, SP2 et Professional x64 Edition
  • Win 2000 SP4
  • Windows Server 2003, 2003 SP1, 2003 (Itanium), 2003 SP1 (Itanium) et 2003 x64 Edition


Solution : appliquer le patch Vulnerability in Windows Explorer Could Allow Remote Code Execution (921398)
 
 
## Vulnérabilité librairie MMC (MS06-044) ## Microsoft Management Console Library Cross Site Scripting Vulnerability Bulletin FrSIRT 08/08/2006
Descriptif :

Citation :

Une vulnérabilité a été identifiée dans Microsoft Windows, elle pourrait être exploitée par des attaquants distants afin de compromettre un système vulnérable. Ce problème résulte d'une erreur présente au niveau de la librairie MMC (Microsoft Management Console), ce qui pourrait être exploité par des attaquants afin d'exécuter un code arbitraire dans la zone Internet ou Intranet en incitant un utilisateur à visiter une page web malicieuse.

Version vulnérable : Win 2000 SP4
 
Solution : appliquer le patch Vulnerability in Microsoft Management Console Could Allow Remote Code Execution (917008)
 
 
## Ancienne faille MHTML corrigée (MS06-043) ## Microsoft Windows "mhtml" Protocol Remote Buffer Overflow Vulnerability Bulletin FrSIRT 08/08/2006 (en date du 01/06/2006)
Descriptif :

Citation :

Une vulnérabilité a été identifiée dans Microsoft Windows, elle pourrait être exploitée par des attaquants afin de causer un déni de service ou afin de compromettre un système vulnérable. Ce problème résulte d'une erreur de type buffer overflow présente au niveau de la librairie "inetcomm.dll" (Microsoft Internet Messaging API) qui ne gere pas correctement une URL "mhtml:" excessivement longue, ce qui pourrait être exploité par des attaquants afin d'altérer le fonctionnement d'une application vulnérable (e.g. Internet Explorer ou Windows Explorer) ou afin d'exécuter des commandes arbitraires en incitant un utilisateur à visiter une page web malicieuse ou à ouvrir un favoris Internet spécialement conçu.

Versions vulnérables :

  • XP SP2 et Professional x64 Edition
  • Windows Server 2003 SP1, 2003 SP1 (Itanium) et 2003 x64 Edition
  • Outlook Express 6 sous XP SP2 et Professional x64 Edition, Windows Server 2003 SP1, 2003 SP1 (Itanium) et 2003 x64 Edition


Solution : appliquer le patch Vulnerability in Microsoft Windows Could Allow Remote Code Execution (920214)
 
 
## Multiples vulnérabilités dans IE (MS06-042) ## Microsoft Internet Explorer Multiple Client-Side Code Execution Vulnerabilities Bulletin FrSIRT 08/08/2006
Descriptif :

Citation :

Plusieurs vulnérabilités ont été identifiées dans Microsoft Internet Explorer, elles pourraient être exploitées par des attaquants distants afin de compromettre un système vulnérable, obtenir des informations sensibles, ou conduire des attaques par cross domain scripting. Ces failles résultent d'erreurs présentes au niveau du traitement de certains codes HTML ou JavaScript spécialement conçus, ce qui pourrait être exploité par des attaquants afin d'exécuter des commandes arbitraires ou afin d'obtenir et manipuler des données sensibles en incitant un utilisateur à visiter une page web malicieuse.

Versions vulnérables :

  • IE 5.01 SP4 sous Win 2000 SP4
  • IE 6 SP1 sous Win 2000 SP4 et XP SP1
  • IE 6 sous XP SP2, Windows Server 2003, Server 2003 SP1, Server 2003 (Itanium), Server 2003 SP1 (Itanium), Server 2003 x64 Edition et XP Pro x64 Edition


Solution : appliquer le patch Cumulative Security Update for Internet Explorer (918899)
 
 
## Failles Winsock Hostname et DNS Client (MS06-041) ## Microsoft Windows Winsock Hostname and DNS Client Vulnerabilities Bulletin FrSIRT 08/08/2006
Descriptif :

Citation :

Deux vulnérabilités ont été identifiées dans Microsoft Windows, elles pourraient être exploitées par des attaquants distants afin de compromettre un système vulnérable.
 
Le premier problème résulte d'une erreur de type buffer overflow présente au niveau de l'API Winsock qui ne gère pas correctement des messages malformés, ce qui pourrait être exploité par des attaquants afin d'exécuter des commandes arbitraires en incitant un utilisateur à ouvrir un fichier spécialement conçu ou à visiter une page malicieuse.
 
La seconde faille est due à une erreur de type buffer overflow présente au niveau du client DNS qui ne gère pas correctement des requêtes malformées, ce qui pourrait être exploité par des attaquants afin d'exécuter des commandes arbitraires via des paquets spécialement conçus.

Versions vulnérables :

  • XP SP1, SP2 et Professional x64 Edition
  • Win 2000 SP4
  • Windows Server 2003, 2003 SP1, 2003 (Itanium), 2003 SP1 (Itanium) et 2003 x64 Edition


Solution : appliquer le patch Vulnerabilities in DNS Resolution Could Allow Remote Code Execution (920683)
 
 
## Vulnérabilité Windows Server Service (MS06-040) ## Microsoft Windows Server Service Remote Code Execution Vulnerability Bulletin FrSIRT 08/08/2006
Descriptif :

Citation :

Une vulnérabilité a été identifiée dans Microsoft Windows, elle pourrait être exploitée par des attaquants distants afin de compromettre un système vulnérable. Ce problème résulte d'une erreur de type buffer overflow présente au niveau du service Server qui ne gère pas correctement certaines requêtes malformées, ce qui pourrait être exploité par des attaquants afin d'exécuter des commandes arbitraires en envoyant des paquets spécialement conçus vers un système affecté.

Versions vulnérables :

  • XP SP1, SP2 et Professional x64 Edition
  • Win 2000 SP4
  • Windows Server 2003, 2003 SP1, 2003 (Itanium), 2003 SP1 (Itanium) et 2003 x64 Edition


Solution : appliquer le patch Vulnerability in Server Service Could Allow Remote Code Execution (921883)
 
 
## 2 soucis gdi sous Windows ## Microsoft Windows GDI Plus Library Image Handling Remote Denial of Service Vulnerability et Microsoft Windows GDI Library WMF Image Handling Remote Denial of Service Vulnerability Bulletins FrSIRT 02 et 07/08/2006
Versions concernées :  

  • XP SP1, SP2 et Professional x64 Edition
  • Win 2000 SP4
  • Windows Server 2003, 2003 SP1, 2003 (Itanium), 2003 SP1 (Itanium) et 2003 x64 Edition


Description :

Citation :

Une vulnérabilité a été identifiée Microsoft Windows, elle pourrait être exploité par des attaquants distants afin de causer un déni de service. Ce problème résulte d'une erreur présente au niveau de la librairie GDI Plus (Gdiplus.dll) qui ne gère pas correctement certaines images malformées, ce qui pourrait être exploité par des attaquants afin d'altérer le fonctionnement d'une application vulnérable (e.g. Internet Explorer) en incitant un utilisateur à visiter une page web malicieuse ou à ouvrir une image spécialement conçue.

Citation :

Une vulnérabilité a été identifiée Microsoft Windows, elle pourrait être exploité par des attaquants distants afin de causer un déni de service. Ce problème résulte d'une erreur présente au niveau de la librairie GDI (Gdi32.dll) qui ne gère pas correctement certaines images WMF malformées, ce qui pourrait être exploité par des attaquants afin d'altérer le fonctionnement d'une application vulnérable (e.g. Internet Explorer) en incitant un utilisateur à visiter une page web malicieuse ou à ouvrir une image spécialement conçue.

Solution : pas de solution officielle
 
 
## Faille Windows ## Microsoft Windows Routing and Remote Access Service (RRAS) Denial of Service Vulnerability Bulletin FrSIRT 02/08/2006
Versions concernées :  

  • XP SP1, SP2 et Professional x64 Edition
  • Win 2000 SP4
  • Windows Server 2003, 2003 SP1, 2003 (Itanium), 2003 SP1 (Itanium) et 2003 x64 Edition


Description :

Citation :

Une vulnérabilité a été identifiée Microsoft Windows, elle pourrait être exploité par des attaquants distants afin de causer un déni de service. Ce problème résulte d'une erreur de pointeur présente au niveau du service RRAS (Routing et Remote Access Service) qui ne gère pas correctement certaines requêtes malformées, ce qui pourrait être exploité par des attaquants afin d'altérer le fonctionnement d'un système vulnérable.
 
Note : Seuls des attaquants authentifiés peuvent exploiter cette vulnérabilité sous Windows XP Service Pack 2 et Windows Server 2003.

Solution : pas de solution officielle  mais il est possible de bloquer cela en contrôlant les ports 135, 137, 138 et 445 en UDP et 135, 139, 445 et 593 en TCP
 
 
## Faille 0 day dans Powerpoint ## Microsoft PowerPoint Presentation Handling Client-Side Memory Corruption Vulnerability Bulletin FrSIRT 13/07/2006
Versions concernées :  

  • Office 2000 SP3 et Powerpoint 2000
  • Office XP SP3 et Powerpoint 2002
  • Office 2003 SP1, SP2 et Powerpoint 2003


Description :

Citation :

Une vulnérabilité a été identifiée dans Microsoft PowerPoint, elle pourrait être exploitée par des attaquants afin de compromettre un système vulnérable. Ce problème résulte d'une erreur de type buffer overflow présente au niveau de la librairie "mso.dll" qui ne gère pas correctement une présentation malformée, ce qui pourrait être exploité par des attaquants afin d'exécuter des commandes arbitraires en incitant un utilisateur à ouvrir un fichier ".ppt" spécialement conçu.
 
Note : Cette vulnérabilité est actuellement exploitée par le trojan PPDropper.B.

Solution : pas de solution officielle
 
 
## Encore des vulnérabilités sous Office (MS06-039) ## Microsoft Office Filters Image Handling Multiple Code Execution Vulnerabilities Bulletin FrSIRT 11/07/2006
Descriptif :

Citation :

Plusieurs vulnérabilités ont été identifiées dans Microsoft Office, elles pourraient être exploitées par des attaquants afin de compromettre un système vulnérable. Ces failles résultent d'erreurs présentes au niveau du traitement de certaines documents contenant des images PNG ou GIF malformées, ce qui pourrait être exploité par des attaquants afin d'exécuter des commandes arbitraires en incitant un utilisateur à ouvrir un document spécialement conçu.

Versions vulnérables :

  • Office 2000 SP3 et Project 2000
  • Office XP SP3 et Project 2002
  • Office 2003 SP1, SP2, Project 2003 et OneNote 2003
  • Works Suite 2004,2005 et 2006


Solution : appliquer le patch Vulnerabilities in Microsoft Office Filters Could Allow Remote Code Execution (915384)
 
 
## Plusieurs failles dans Office (MS06-038) ## Microsoft Office Document Handling Multiple Code Execution Vulnerabilities Bulletin FrSIRT 11/07/2006
Descriptif :

Citation :

Plusieurs vulnérabilités ont été identifiées dans Microsoft Office, elles pourraient être exploitées par des attaquants afin de compromettre un système vulnérable. Ces failles résultent d'erreurs présentes au niveau du traitement de certaines documents contenant des chaînes ou des propriétés malformées, ce qui pourrait être exploité par des attaquants afin d'exécuter des commandes arbitraires en incitant un utilisateur à ouvrir un document spécialement conçu.

Versions vulnérables :

  • Office 2000 SP3 ,Access 2000, Excel 2000, FrontPage 2000, Outlook 2000, PowerPoint 2000, Project 2000 Service Release 1, Publisher 2000 et Word 2000
  • Office XP SP3, Access 2002, Excel 2002, FrontPage 2002, Outlook 2002, PowerPoint 2002, Project 2002 SP2, Publisher 2002, Visio 2002 (SP1) et Word 2002
  • Office 2003 SP1, SP2, Access 2003, Excel 2003, Excel Viewer 2003, FrontPage 2003, InfoPath 2003, OneNote 2003, Outlook 2003, PowerPoint 2003, Project 2003, Publisher 2003, Visio 2003, Word 2003 et Word 2003 Viewer


Solution : appliquer le patch Vulnerabilities in Microsoft Office Could Allow Remote Code Execution (917284)
 
 
## Multiples vulnérabilités dans Excel (MS06-037) ## Microsoft Excel Document Handling Multiple Code Execution Vulnerabilities Bulletin FrSIRT 11/07/2006
Descriptif :

Citation :

Plusieurs vulnérabilités ont été identifiées dans Microsoft Excel, elles pourraient être exploitées par des attaquants afin de compromettre un système vulnérable. Ces failles résultent d'erreurs présentes au niveau du traitement de certaines documents contenant des champs "SELECTION", "COLINFO", "OBJECT", "FNGROUPCOUNT" ou "LABEL" malformés, ce qui pourrait être exploité par des attaquants afin d'exécuter des commandes arbitraires en incitant un utilisateur à ouvrir un document spécialement conçu.

Versions vulnérables :

  • Office 2000 SP3 et Powerpoint 2000
  • Office XP SP3 et Excel 2002
  • Office 2003 SP1, SP2, Excel 2003 et Excel Viewer 2003


Solution : appliquer le patch Vulnerabilities in Microsoft Excel Could Allow Remote Code Execution (917285)
 
 
## Faille DHCP (MS06-036) ## Microsoft Windows DHCP Client Service Command Execution Vulnerability Bulletin FrSIRT 11/07/2006
Descriptif :

Citation :

Une vulnérabilité a été identifiée dans Microsoft Windows, elle pourrait être exploitée par des attaquants distants afin de compromettre un système vulnérable. Ce problème résulte d'une erreur de type buffer overflow présente au niveau du service Client DHCP qui ne gère pas correctement des réponses malformées, ce qui pourrait être exploité par des attaquants présents au sein du même sous réseau local afin d'exécuter des commandes arbitraires.
 
Note : Les attaques sont limitées au sous-réseau local si DHCP et BOOTP sont désactivés.

Versions vulnérables :

  • XP SP1, SP2 et Professional x64 Edition
  • Win 2000 SP4
  • Windows Server 2003, 2003 SP1, 2003 (Itanium), 2003 SP1 (Itanium) et 2003 x64 Edition


Solution : appliquer le patch Vulnerability in DHCP Client Service Could Allow Remote Code Execution (914388)
 
 
## 2 vulnérabilités Windows (MS06-035) ## Microsoft Windows Heap Overflow and Information Disclosure Vulnerabilities Bulletin FrSIRT 11/07/2006
Descriptif :

Citation :

Deux vulnérabilités ont été identifiées dans Microsoft Windows, elles pourraient être exploitées par des attaquants distants afin de compromettre un système vulnérable ou afin d'obtenir des informations sensibles.
 
Le premier problème résulte d'une erreur de type heap overflow présente au niveau du service Server qui ne n'utilise pas correctement le mécanisme "mailslot", ce qui pourrait être exploité par des attaquants afin d'exécuter des commandes arbitraires via un paquet spécialement conçu.
 
La seconde faille est due à une erreur présente au niveau du pilote SMB qui n'initialise pas correctement certains tampons, ce qui pourrait être exploité par des attaquants afin d'accéder à des fragments de la mémoire utilisée pour le transport Server Message Block (SMB).

Versions vulnérables :

  • XP SP1, SP2 et Professional x64 Edition
  • Win 2000 SP4
  • Windows Server 2003, 2003 SP1, 2003 (Itanium), 2003 SP1 (Itanium) et 2003 x64 Edition


Solution : appliquer le patch Vulnerability in Server Service Could Allow Remote Code Execution (917159)
 
 
## Faille IIS (MS06-034) ## Microsoft Internet Information Services Code Execution Vulnerability Bulletin FrSIRT 11/07/2006
Descriptif :

Citation :

Une vulnérabilité a été identifiée dans Microsoft Internet Information Services (IIS), elle pourrait être exploitée par des attaquants afin de compromettre un système vulnérable. Ce problème résulte d'une erreur de type buffer overflow présente au niveau du traitement de certaines documents ASP (Active Server Pages) malformées, ce qui pourrait être exploité par un attaquant pouvant uploader une page ASP spécialement conçue afin d'exécuter des commandes arbitraires avec les privilèges du serveur web.

Versions vulnérables : IIS 5.0, 5.1 et 6.0
 
Solution : appliquer le patch Vulnerability in Microsoft Internet Information Services using Active Server Pages Could Allow Remote Code Execution (917537)
 
 
## Vulnérabilité .NET Framework (MS06-033) ## Microsoft .NET Application Folder Information Disclosure Vulnerability Bulletin FrSIRT 11/07/2006
Descriptif :

Citation :

Une vulnérabilité a été identifiée dans Microsoft .NET Framework, elle pourrait être exploitée par des attaquants afin de contourner les mesures de sécurité. Ce problème résulte d'une erreur présente au niveau du traitement de certaines URLs malformées, ce qui pourrait être exploité par des attaquants afin de passer outre les restrictions sécuritaires et accéder à des données protégées.

Versions vulnérables :.NET Framework 2.0 sous  

  • XP SP1, SP2 et Professional x64 Edition
  • Win 2000 SP4
  • Windows Server 2003, 2003 SP1, 2003 (Itanium), 2003 SP1 (Itanium) et 2003 x64 Edition


Solution : appliquer le patch Vulnerability in ASP.NET Could Allow Information Disclosure (917283)
 
 
## 8 failles (de plus?) dans IE ## Microsoft Internet Explorer Structured Graphics Control Denial of Service Vulnerability , Microsoft Internet Explorer "appendChild()" Client-Side Denial of Service Vulnerability , [url=http://www.frsirt.com/bulletins/6075]Microsof


Message édité par minipouss le 10-12-2006 à 22:08:53
n°1496382
minipouss
un mini mini
Posté le 19-03-2004 à 09:41:47  profilanswer
 

============================
3. Failles de Sécurité des logiciels connus
============================
 
Dans l'ordre de la plus récente à la plus ancienne (sur quelques mois)
Je ne mets pas à jour ces infos ensuite dans le temps (trop de boulot pour faire cela) donc beaucoup de failles sans solution dans cette page sont sans doute (ou peut-être) corrigées.
 
 
## Vulnérabilités dans Trend Micro OfficeScan ## Trend Micro OfficeScan "Wizard" and "CgiRemoteInstall" Buffer Overflow Vulnerabilities Bulletin FrSIRT 05/12/2006
Versions concernées :  

  • OfficeScan <= 6.5
  • OfficeScan <= 7.3


Description :

Citation :

Plusieurs vulnérabilités ont été identifiées dans Trend Micro OfficeScan, elles pourraient être exploitées par des attaquants afin de compromettre un système vulnérable ou causer un déni de service. Ces failles résultent d'erreurs de type buffer overflow présentes aux niveaux des modules "PCCSRV\Web_console\RemoteInstallCGI\Wizard.exe" et "PCCSRV\Web_console\RemoteInstallCGI\CgiRemoteInstall.exe" qui ne gèrent pas correctement des arguments malformés, ce qui pourrait être exploité par des attaquants authentifiés afin d'exécuter des commandes arbitraires distantes

Solution : pour la version 6.5 prendre le correctif
http://www.trendmicro.com/ftp/prod [...] patch8.exe et pour la 7.3 prendre http://www.trendmicro.com/ftp/prod [...] tch1.1.exe
 
 
## Mise à Jour des antivirus F-Secure ## F-Secure Products Update Fixes OpenSSL ASN.1 Denial Of Service Vulnerability Bulletin FrSIRT 29/11/2006
Versions concernées :  

  • F-Secure Anti-Virus pour Microsoft Exchange 6.40 et 6.60
  • F-Secure Internet Gatekeeper 6.40, 6.41, 6.42, 6.50 et 6.60  


Description :

Citation :

F-Secure a publié une mise à jour de sécurité pour F-Secure Anti-Virus et F-Secure Internet Gatekeeper afin de corriger une vulnérabilité identifiée dans OpenSSL. Pour plus d'informations, se référer au bulletin : FrSIRT/AVIS-2006-3820

Solution : installer les mises à jour ftp://ftp.f-secure.com/support/hotfix/ (si vous vous y retrouvez  :D)
 
 
## Plusieurs failles dans Acrobat Reader ## Adobe Reader and Acrobat ActiveX Control Remote Code Execution Vulnerabilities Bulletin FrSIRT 28/11/2006
Versions concernées :  

  • Reader 7.0.0 à 7.0.8
  • Acrobat Standard 7.0.0 à 7.0.8
  • Acrobat Professional 7.0.0 à 7.0.8


Description :

Citation :

Plusieurs vulnérabilités ont été identifiées dans Adobe Reader et Acrobat, elles pourraient être exploitées par des attaquants distants afin de compromettre un système vulnérable. Ces failles résultent d'erreurs présentes au niveau du contrôleur ActiveX "AcroPDF.dll" qui ne gère pas correctement des méthodes "setPageMode()", "setLayoutMode()", "setNamedDest()" ou "LoadFile()" spécialement conçues, ce qui pourrait être exploité par des attaquants afin d'exécuter des commandes arbitraires en incitant un utilisateur à visiter une page web malicieuse.

Solution : passer à la 8.0 http://www.adobe.com/products/acrobat/readstep2.html
 
 
## Vulnérabilité dans AVG ## AVG Anti-Virus File Parsing Code Execution and Denial of Service Vulnerabilities Bulletin FrSIRT 14/11/2006
Versions concernées : version <= 7.1.406
 
Description :

Citation :

Plusieurs vulnérabilités ont été identifiées dans AVG Anti-Virus, elles pourraient être exploitées par des attaquants distants ou des vers afin de compromettre un système vulnérable ou afin de causer un déni de service. Ces failles résultent d'erreurs présentes au niveau du traitement de certains fichiers CAB, DOC, RAR et EXE malformés, ce qui pourrait être exploité par des attaquants afin d'altérer le fonctionnement d'une application vulnérable ou afin d'exécuter des commandes arbitraires via un fichier spécialement conçu.

Solution : passer à la version 7.1.406 http://www.grisoft.com/doc/10/lng/us/tpl/tpl01
 
 
## Failles dans WinZip ## WinZip FileView ActiveX Control Multiple Remote Code Execution Vulnerabilities Bulletin FrSIRT 14/11/2006
Versions concernées : version <= 10.0 Build 7244 http://www.winzip.com/prod_down.htm
 
Description :

Citation :

Plusieurs vulnérabilités ont été identifiées dans WinZip, elles pourraient être exploitées par des attaquants distants afin de compromettre un système vulnérable.
 
Le premier problème résulte d'erreurs présentes au niveau du contrôleur ActiveX "WZFILEVIEW.FileViewCtrl.61" qui ne valide pas correctement les données envoyées via certaines méthodes, ce qui pourrait être exploité par des attaquants afin d'exécuter des commandes arbitraires en incitant un utilisateur à visiter une page web malicieuse.
 
La seconde faille est due à une erreur de type buffer overflow présente au niveau du contrôleur ActiveX FileView qui ne gère pas correctement une méthode "filepattern" malformée, ce qui pourrait être exploité par des attaquants distants afin de compromettre un système vulnérable.

Solution : Utiliser la version 10.0 build 7245
 
 
## Vulnérabilité dans ClamAv ## Clam AntiVirus "pefromupx()" Function UPX File Handling Remote Buffer Overflow Vulnerability Bulletin FrSIRT 07/08/2006
Versions concernées : =< 0.88.3
 
Description :

Citation :

Une vulnérabilité a été identifiée dans Clam AntiVirus (ClamAV), elle pourrait être exploitée par un attaquant distant ou un ver/virus afin de compromettre un système vulnérable ou afin de causer un déni de service. Ce problème résulte d'une erreur de type heap overflow présente au niveau de la fonction "pefromupx()" [libclamav/upx.c] qui ne gère pas correctement certains fichiers UPX malformés, ce qui pourrait être exploité par des attaquants ou des vers/virus afin d'exécuter des commandes arbitraires distantes en envoyant, vers un antivirus vulnérable, un fichier PE/UPX spécialement conçu.

Solution : passer à la version 0.88.4 http://www.clamav.net/stable.php#pagestart
 
 
## Souci dans les produits McAfee ## McAfee Products Subscription Manager Memory Corruption and Code Execution Vulnerability Bulletin FrSIRT 01/08/2006
Produits concernés : McAfee SecurityCenter 4.3 à 6.0.22

  • McAfee AntiSpyware 1.x et 2.x
  • McAfee Internet Security Suite 6.x, 7.x et 8.x
  • McAfee Personal Firewall Plus 5.x, 6.x et 7.x
  • McAfee Privacy Service 6.x, 7.x et 8.x
  • McAfee QuickClean 4.x, 5.x et 6.x
  • McAfee SpamKiller 5.x, 6.x et 7.x
  • McAfee VirusScan 8.x, 9.x et 10.x
  • McAfee Wireless Home Network Security 1.x  


Description :

Citation :

Une vulnérabilité a été identifiée dans plusieurs produits McAfee, elle pourrait être exploitée par des attaquants distants afin de causer un déni de service ou compromettre un système vulnérable. Ce problème résulte d'une erreur de type buffer overflow présente au niveau du contrôleur ActiveX "McSubMgr.dll" (Subscription Manager) qui ne gère pas correctement des arguments excessivement longs, ce qui pourrait être exploité par des attaquants afin d'altérer le fonctionnement d'une application vulnérable ou afin d'exécuter des commandes arbitraires en incitant un utilisateur à visiter un site web spécialement conçu.

Solution : passer à McAfee SecurityCenter 6.0.23 http://us.mcafee.com/root/login.asp
 
 
## Multiples failles dans les produits Mozilla ## Mozilla Products Multiple Remote Command Execution and Cross Site Scripting Vulnerabilities Bulletin FrSIRT 26/07/2006
Produits concernés :  

  • Firefox =< 1.5.0.4
  • Seamonkey =< 1.0.2
  • Thunderbird =< 1.5.0.4


Description :

Citation :

Plusieurs vulnérabilités ont été identifiées dans Mozilla Firefox, SeaMonkey et Thunderbird, elles pourraient être exploitées par des attaquants distants afin de compromettre un système vulnérable, contourner les mesures de sécurité, ou obtenir des informations sensibles. Ces failles résultent d'erreurs présentes au niveau du traitement de certaines fonctions JavaScript et méthodes DOM malformées, ce qui pourrait être exploité par des attaquants afin d'exécuter des commandes arbitraires distantes ou afin d'accéder à des données sensibles en incitant un utilisateur à visiter une page web malicieuse ou à ouvrir un email spécialement conçu.

Solution : passer aux versions suivantes Fx 1.5.0.6, SM 1.0.3 et TB 1.5.0.5 http://www.mozilla.org/products/
 
 
## Vulnérabilité dans Opera ## Opera Web Browser Background Style URI Handling Remote Memory Corruption Vulnerability Bulletin FrSIRT 26/07/2006
Versions concernées : 9.0
 
Description :

Citation :

Une vulnérabilité a été identifiée dans Opera, elle pourrait être exploitée par des attaquants distants afin de causer un déni de service. Ce problème résulte d'une erreur présente au niveau du traitement d'une propriété CSS "background" contenant une URL (e.g. HTTPS) excessivement longue, ce qui pourrait être exploité par des attaquants afin d'altérer le fonctionnement d'un navigateur vulnérable en incitant un utilisateur à visiter une page web spécialement conçue.

Solution : passer à la version 9.01 http://www.opera.com/download/
 
 
## Faille dans PowerArchiver ## PowerArchiver "DZIPS32.DLL" Library ZIP Archive Handling Buffer Overflow Vulnerability Bulletin FrSIRT 25/07/2006
Versions concernées : =< 9.62
 
Description :

Citation :

Une vulnérabilité a été identifiée dans PowerArchiver, elle pourrait être exploité par des attaquants afin de compromettre un système vulnérable. Le problème résulte d'une erreur de type buffer overflow présente au niveau de la librairie "DZIPS32.DLL" qui ne gère pas correctement une archive ZIP spécialement conçue, ce qui pourrait être exploité par des attaquants afin d'exécuter des commandes arbitraires en incitant un utilisateur à ouvrir un fichier forgé.

Solution : passer à la version 9.63 http://www.powerarchiver.com/download/
 
 
## Vulnérabilité dans WinRAR ## WinRAR "lzh.fmt" LHA Archive Processing Client-Side Buffer Overflow Vulnerability Bulletin FrSIRT 19/07/2006
Versions concernées : 3.00 à 3.60 beta 6
 
Description :

Citation :

Une vulnérabilité a été identifiée dans WinRAR, elle pourrait être exploité par des attaquants afin de compromettre un système vulnérable. Le problème résulte d'une erreur de type buffer overflow présente au niveau de "lzh.fmt" qui ne gère pas correctement une archive LHA spécialement conçue, ce qui pourrait être exploité par des attaquants afin d'exécuter des commandes arbitraires en incitant un utilisateur à ouvrir une archive forgée.

Solution : passer à la version 3.60 beta 7 http://www.rarlabs.com/download.htm
 
## Faille dans Adobe Acrobat ## Adobe Acrobat Document Handling and Distillation Client-Side Buffer Overflow Vulnerability Bulletin FrSIRT 12/07/2006
Versions concernées : de 6.0 à 6.0.4
 
Description :

Citation :

Une vulnérabilité a été identifiée dans Adobe Acrobat, elle pourrait être exploitée par des attaquants afin de compromettre un système vulnérable. Ce problème résulte d'une erreur de type buffer overflow présente au niveau du traitement d'un document malformé, ce qui pourrait être exploité par des attaquants afin d'altérer le fonctionnement d'une application vulnérable ou afin d'exécuter des commandes arbitraires via un document spécialement conçu.

Solution : passer à la version 6.0.5 si vous ne pouvez pas prendre les 7.x sinon la 7.0.8 dernière en date http://www.adobe.com/support/downloads/
 
 
## Vulnérabilité dans Flash player ## Adobe Macromedia Flash Player Code Execution and Denial of Service Vulnerabilities Bulletin FrSIRT 07/07/2006
Versions concernées : =< 8.0.24.0
 
Description :

Citation :

Plusieurs vulnérabilités ont été identifiées dans Adobe Macromedia Flash Player, elles pourraient être exploitées par des attaquants afin de compromettre un système vulnérable ou afin de causer un déni de service.
 
Le premier problème résulte d'erreurs présentes au niveau du traitement d'un fichier SWF malformé, ce qui pourrait être exploité par des attaquants afin d'exécuter des commandes arbitraires en incitant un utilisateur à visiter une page spécialement conçue.
 
La seconde faille est due à une erreur inconnue présente au niveau de la gestion d'un fichier SWF malformé, ce qui pourrait être exploité par des sites web malveillants afin d'altérer le fonctionnement d'un navigateur vulnérable.

Solution : passer à la version 9.0.16.0 http://www.adobe.com/go/getflash
 
 
## Faille dans les produits F-Secure ## F-Secure Products Executable File Handling Real-time Scanning Bypass Vulnerabilities Bulletin FrSIRT 28/06/2006
Versions concernées :  

  • F-Secure Anti-Virus 2003 et 2006
  • F-Secure Internet Security 2003 et 2006
  • F-Secure Service Platform for Service Providers =< 6.x
  • F-Secure Anti-Virus for Workstations =< 5.44, Client Security =< 6.01, for Windows Servers =< 5.52, for Citrix Servers 5.50/5.52 et MIMEsweeper =< 5.61


Description :

Citation :

Deux vulnérabilités ont été identifiées dans plusieurs produits F-Secure, elles pourraient être exploitées par des virus/vers afin de contourner les mesures de sécurité.
 
Le premier problème résulte d'une erreur présente au niveau du traitement d'un fichier exécutable ayant un nom spécialement conçu, ce qui pourrait être exploité par des vers/virus afin de passer outre la procédure de détection de fichiers malveillants.
 
La seconde faille est due à une erreur présente au niveau de la détection d'un fichier malveillant présent au sein d'un media amovible, ce qui pourrait être exploité afin de contourner les mesures de sécurité.

Solution : mettre à jour les applications http://www.f-secure.com/security/fsc-2006-4.shtml
 
 
## Nouvelle version d'Opera ## Opera Browser JPEG Image Handling Remote Integer Overflow Vulnerability et Opera Browser SSL Security Bar Remote Certificate Spoofing Security Weakness Bulletins FrSIRT 23 et 28/06/2006
Versions concernées : =< 8.54
 
Description :

Citation :

Une vulnérabilité a été identifiée dans Opera, elle pourrait être exploitée par des attaquants distants afin de compromettre un système vulnérable. Ce problème résulte d'une erreur de type integer overflow présente au niveau du traitement d'images JPEG malformées, ce qui pourrait être exploité par des attaquants afin d'exécuter des commandes arbitraires distantes en incitant un utilisateur à visiter une page web malicieuse.

Citation :

Une faiblesse a été identifiée dans Opera, elle pourrait être exploitée par des sites web malveillants afin d'afficher le certificat appartenant à un autre site. Ce problème résulte d'une erreur présente au niveau de la barre de sécurité SSL qui n'est pas correctement réinitialisée après l'affichage d'une boîte de dialogue de téléchargement, ce qui pourrait être exploité par un site malveillant afin d'afficher une barre de sécurité jaune en utilisant un certificat appartenant à un site de confiance.

Solution : passer à la version 9.0 http://www.opera.com/download/
 
 
## Nouvelle faille corrigée dans Clam Antivirus ## ClamAV Freshclam HTTP Header Size Client-Side Buffer Overflow Vulnerability Bulletin FrSIRT 01/05/2006 et (url=http://secunia.com/advisories/19880/]ClamAV Freshclam HTTP Header Buffer Overflow Vulnerability[/url] Secunia Advisories 01/05/2006
Versions concernées : =< 0.88.1
 
Description :

Citation :

Une vulnérabilité a été identifiée dans Clam AntiVirus (ClamAV), elle pourrait être exploitée par des attaquants afin de compromettre un système vulnérable. Ce problème résulte d'une erreur présente au niveau du client HTTP inclus avec l'utilitaire Freshclam qui ne gère pas correctement des entêtes HTTP excessivement longues, ce qui pourrait être exploité par des attaquants afin d'exécuter des commandes arbitraires en incitant un utilisateur à se connecter à un serveur de signatures spécialement conçu.

Solution : passer à la version 0.88.2
 
 
## Vulnérabilités dans Clam Antivirus ## Clam AntiVirus (ClamAV) Multiple Buffer Overflow and Format String Vulnerabilities Bulletin FrSIRT 06/04/2006
Versions concernées : =< 0.88
 
Description :

Citation :

Plusieurs vulnérabilités ont été identifiées dans Clam AntiVirus (ClamAV), elles pourraient être exploitées par des attaquants distants afin de compromettre un système vulnérable ou afin de causer un déni de service.
 
Le premier problème résulte d'une erreur de type integer overflow présente au niveau du fichier "libclamav/pe.c" qui ne gère pas correctement certaines entêtes PE malformées, ce qui pourrait être exploité par des attaquants distants afin de compromettre un système vulnérable où l'option "ArchiveMaxFileSize" a été désactivée.
 
La seconde faille est due à des erreurs de type format string présentes au niveau du fichier "shared/output.c", ce qui pourrait être exploité par des attaquants afin de compromettre un système vulnérable.
 
La troisième vulnérabilité se situe au niveau de la fonction "cli_bitset_set()" [ibclamav/others.c] qui n'accède pas correctement à l'a mémoire, ce qui pourrait être exploité par des attaquants afin d'altérer le fonctionnement d'un système vulnérable.

Solution : passer à la version 0.88.1 (sous peu sur clamwin.com)
 
 
## Correction de faille sur Opera ## Opera Security Update Fixes Flash Plugin Command Execution Vulnerability Bulletin FrSIRT 06/04/2006
Versions concernées : =< 8.53
 
Description :

Citation :

Une vulnérabilité critique a été identifiée dans Opera, elle pourrait être exploitée par des attaquants distants afin de compromettre un système vulnérable. Le problème résulte d'erreurs présentes au niveau de Macromedia Flash Player (distribué par défaut avec le navigateur), ce qui pourrait être exploité par des attaquants afin d'exécuter des commandes arbitraires en incitant un utilisateur à visiter une page Web malicieuse ou à ouvrir un fichier flash "SWF" spécialement conçu. Pour plus d'informations, se référer au bulletin : FrSIRT/AVIS-2006-0952

Solution : passer à la version 8.54 http://www.opera.com/download/
 
 
## Failles dans NOD32 ## NOD32 Scheduler and File Restoration Local Privilege Escalation Vulnerabilities Bulletin FrSIRT 05/04/2006
Versions concernées : =< 2.51.26  
 
Description :

Citation :

Deux vulnérabilités ont été identifiées dans NOD32, elles pourraient être exploitées par des attaquants locaux afin d'obtenir des privilèges élevés.
 
Le premier problème résulte d'une erreur présente au niveau de l'interface graphique ("nod32.exe" ) qui est exécute avec des privilèges SYSTEM pendant le lancement d'un scan programmé, ce qui pourrait être exploité par des utilisateurs malveillants afin de lancer des binaires arbitraires (e.g. cmd.exe) avec des privilèges SYSTEM.
 
La seconde faille est due à une erreur présente au niveau du module de restauration de fichiers qui ne réinitialise pas correctement les privilèges avant de restaurer un fichier en quarantaine, ce qui pourrait être exploité par des utilisateurs malveillants afin de placer des fichiers malicieux au sein d'un répertoire arbitraire avec des privilèges SYSTEM.

Solution : passer à la version 2.51.26 sur http://www.nod32.com/download/download.htm
 
 
## Vulnérabilité dans boîte d'outils HP pour imprimantes laser ## HP Color LaserJet Printers Toolbox Remote Directory Traversal Vulnerability Bulletin FrSIRT 04/04/2006
Versions concernées : HP Color LaserJet 2500, 2500L, 2500Lse, 2500n, 2500tn, 4600, 4600dn, 4600dtn et 4600hdn  
 
Description :

Citation :

Une vulnérabilité a été identifiée dans plusieurs imprimantes HP Color LaserJet, elle pourrait être exploitée par des attaquants distants afin d'accéder à des fichiers arbitraires du système. Le problème résulte d'une erreur de type directory traversal présente au niveau du logiciel Toolbox et son interface web (port 5225/TCP) qui ne filtre pas correctement certaines requêtes HTTP spécialement conçues contenant la séquence "../", ce qui pourrait être exploité afin d'accéder à des fichiers arbitraires du système.

Solution : selon votre modèle les mises à jour sur http://www.hp.com/go/clj2500_software ou http://www.hp.com/go/clj4600_software
 
 
## Faille dans McAfee VirusScan ## McAfee VirusScan DUNZIP32.dll Definition File Buffer Overflow Vulnerability Bulletin FrSIRT 30/03/2006
Versions concernées :  

  • VirusScan =< 10.0.21
  • SecurityCenter Agent =< 6.0.0.16


Description :

Citation :

Une vulnérabilité a été identifiée dans McAfee VirusScan, elle pourrait être exploitée par des attaquants distants afin de compromettre un système vulnérable. Ce problème résulte d'une erreur de type buffer overflow présente au niveau de la librairie "DUNZIP32.dll" qui ne gère pas correctement certains fichiers de signatures malformés, ce qui pourrait être exploité par des attaquants afin d'exécuter des commandes arbitraires en incitant un utilisateur à télécharger un fichier de signatures spécialement conçu.

Solution : correctif dispo par le SecurityCenter
 
 
## Vulnérabilités dans les produits RealNetworks ## RealNetworks Products File Handling Multiple Buffer Overflow Vulnerabilities Bulletin FrSIRT 16/03/2006
Versions concernées :

  • RealPlayer 10.5 (6.0.12.1040 à 6.0.12.1348)
  • RealPlayer 10
  • RealOne Player v2
  • RealOne Player v1
  • RealPlayer 8
  • RealPlayer Enterprise
  • Rhapsody 3 (build 0.815 à 1.0.269)


Description :

Citation :

Plusieurs vulnérabilités ont été identifiées dans différentiels produits RealNetworks, elles pourraient être exploitées par des attaquants afin de compromettre un système vulnérable.
 
Le premier problème résulte d'une erreur présente au niveau de l'utilisation des fonctions "CreateProcess()" et "CreateProcessAsUser()", ce qui pourrait être exploité par un utilisateur malveillant afin d'exécuter un programme malicieux avec les privilèges de l'utilisateur connecté.
 
La seconde faille est due à une erreur de type buffer overflow présente au niveau du traitement de certains fichiers SWF malformés, ce qui pourrait être exploité par des attaquants distants afin d'exécuter des commandes arbitraires.
 
La troisième vulnérabilité résulte d'une erreur de type heap overflow présente au niveau du traitement de certaines pages web malformées, ce qui pourrait être exploité par des attaquants afin de compromettre un système vulnérable.
 
Le dernier problème résulte d'une erreur de type buffer overflow présente au niveau de la gestion d'un fichier MBC (mimio boardcast) malformé, ce qui pourrait être exploité par des attaquants afin d'exécuter des commandes arbitraires.

Solution : prendre les mises à jour sur http://service.real.com/realplayer [...] player/fr/
 
 
## Faille dans PC-cillin ## Trend Micro PC-cillin Internet Security Directories Insecure Default Permissions Bulletin FrSIRT 22/03/2006
Versions concernées :  

  • PC-cillin Internet Security 2006 =< 14.10.0.1023
  • PC-cillin Internet Security =< 14.00.1485


Description :

Citation :

Une vulnérabilité a été identifiée dans Trend Micro PC-cillin Internet Security, elle pourrait être exploitée par des attaquants locaux afin d'obtenir des privilèges élevés ou exécuter des fichiers malicieux. Ce problème résulte d'une erreur de permissions présente aux niveaux des répertoires "Internet Security 14" et "Internet Security 2006", ce qui pourrait être exploité par un attaquant local non-privilégié afin de supprimer ou modifier des fichiers arbitraires.

Solution : pas de correctif pour le moment
 
 
## Vulnérabilité dans OpenOffice ## OpenOffice Security Update Fixes cUR/LlibcURL Buffer Overflow Vulnerability Bulletin FrSIRT 16/03/2006
Versions concernées : OpenOffice jusqu'à la 2.0.1
 
Description :

Citation :

Une vulnérabilité a été identifiée dans OpenOffice, elle pourrait être exploitée par des attaquants distants afin d'exécuter des commandes arbitraires. Ce problème résulte d'une erreur présente au niveau de cURL/libcURL. Pour plus d'informations, se référer au bulletin : FrSIRT/AVIS-2005-2791

Solution : passer à la version 2.0.2 http://download.openoffice.org/2.0.2/index.html
 
 
## Faille dans Zone Alarm ## ZoneAlarm TrueVector Service Local Privilege Escalation Vulnerability Bulletin FrSIRT 13/03/2006
Versions concernées : Zone Alarm 6.x
 
Description :

Citation :

Une vulnérabilité a été identifiée dans ZoneAlarm, elle pourrait être exploitée par des attaquants locaux afin d'obtenir des privilèges élevés. Ce problème résulte d'une erreur présente au niveau du service TrueVector ("VSMON.exe" ) qui charge certaines DLLs (Dynamically Linked Libraries) de manière insécurisée, ce qui pourrait être exploité par des utilisateurs malveillants afin d'exécuter des commandes arbitraires avec des privilèges SYSTEM en plaçant une librairie malicieuse au sein d'un répertoire spécifique.

Solution : pas de solution pour le moment
 
 
## Vulnérabilités dans Flash Player ## Macromedia Products Unspecified Remote Command Execution Vulnerabilities Bulletin FrSIRT 15/03/2006 et Flash Player Unspecified Code Execution Vulnerabilities Secunia Advisories 14/03/2006
Versions concernées :

  • Flash Player =< 8.0.22.0
  • Breeze Meeting Add-In =< 5.1
  • Shockwave Player =< 10.1.0.11
  • Flash Debug Player =< 7.0.14.0


Description :

Citation :

Plusieurs vulnérabilités ont été identifiées dans différentiels produits Macromedia, elles pourraient être exploitées par des attaquants distants afin de compromettre un système vulnérable. Ces problèmes résultent d'erreurs inconnues présentes au niveau de la gestion de certains fichiers SWF malformés.

Solution : télécharger les patchs adéquats sur http://www.macromedia.com (cf les articles FrSirt et Secunia pour les liens directs selon les logiciels concernés
 
 
## Faille dans Antivir ## AntiVir PersonalEdition Update Report Privilege Escalation Vulnerability Bulletin FrSIRT 13/03/2006
Versions concernées : => 7.0 build 138
 
Description :

Citation :

Une vulnérabilité a été identifiée dans AntiVir PersonalEdition, elle pourrait être exploitée par des attaquants locaux afin d'obtenir des privilèges élevés. Ce problème résulte d'une erreur présente au niveau du processus de mise à jour qui lance "notepad.exe" avec des privilèges SYSTEM, ce qui pourrait être exploité par des utilisateurs malveillants afin d'exécuter des commandes arbitraires avec des privilèges élevés.

Solution : pas de solution pour le moment
 
 
## Multiples failles dans Invision Power Board ## Invision Power Board SQL Injection and Cross Site Scripting Vulnerabilities Bulletin FrSIRT 07/03/2006
Versions concernées : IPB de 2.0.0 à 2.1.4  
 
Description :

Citation :

Plusieurs vulnérabilités ont été identifiées dans Invision Power Board, elles pourraient être exploitées par des attaquants afin d'exécuter des commandes arbitraires SQL ou un code JavaScript malicieux. Ces failles résultent d'erreurs présentes aux niveaux des scripts "ipsclass.php", "action_public/topics.php", "action_public/usercp.php", "action_public/search.php" et "action_public/forums.php" qui ne filtrent pas correctement certaines variables, ce qui pourrait être exploité afin de conduire des attaquants par injection SQL ou par cross site scripting.

Solution : passer à IPB 2.1.4 (30-01-06) ou 2.0.4 (30-01-06) https://www.invisionpower.com/customer/index.php
 
 
## Vulnérabilités dans Symantec Ghost ## Symantec Ghost Privilege Escalation and Information Disclosure Vulnerabilities Bulletin FrSIRT 07/03/2006
Versions concernées : Ghost 8.0 et 8.2 et Ghost Solutions Suite 1.0  
 
Description :

Citation :

Plusieurs vulnérabilités ont été identifiées dans Symantec Ghost, elles pourraient être exploitées par des attaquants locaux afin de contourner les mesures de sécurité, accéder à des informations sensibles, ou obtenir des privilèges élevés.
 
Le premier problème résulte d'une erreur de conception où un compte administratif (avec un mot de passe par défaut) est installé par l'application, ce qui pourrait être exploité par utilisateurs malveillants afin de modifier/supprimer des données ou afin d'exécuter des commandes arbitraires.
 
La seconde faille est due à une erreur présente au niveau de la base Sybase SQLAnywhere, ce qui pourrait être exploité par des attaquants non-privilégiés afin d'accéder aux informations présentes au sein de la base de données.
 
La troisième vulnérabilité résulte d'une erreur de type buffer overflow présente au niveau du module "dbisqlc.exe" (installé avec SQLAnywhere), ce qui pourrait être exploité par des attaquants locaux afin d'accéder à des informations sensibles.

Solution : Passer à Ghost 8.3 ou Ghost Solutions Suite 1.1
 
 
## Faille dans AVG Free ## AVG Anti-Virus File Update Functionality Insecure File Permissions Issue Bulletin FrSIRT 06/03/2006 et AVG Anti-Virus Updated Files Insecure File Permissions Secunia Advisories 06/03/2006
Versions concernées : AVG Anti-Virus Free Edition =< 7.1.375 et AVG Pro
 
Description :

Citation :

Une vulnérabilité a été identifiée dans AVG Anti-Virus, elle pourrait être exploitée par des attaquants locaux afin d'obtenir des privilèges élevés. Cette faille est due à des erreurs de permissions présentes aux niveaux de plusieurs fichiers modifiés par la fonctionnalité de mise à jour, ce qui pourrait être exploité par un attaquant local non-privilégié afin de supprimer ou modifier des fichiers arbitraires.

Solution : corrigé dans la version Pro (7.1.384 via mise à jour en ligne) pas de correctif disponible pour le moment pour la version Free (attention à qui utilise le pc)
 
 
## Vulnérabilité dans The Bat! ## The Bat! Email Subject Header Handling Buffer Overflow Vulnerability Bulletin FrSIRT 24/02/2006
Versions concernées : <3.71.03
 
Description :

Citation :

Une vulnérabilité a été identifiée dans The Bat!, elle pourrait être exploitée par des attaquants distants afin de compromettre un système vulnérable. Ce problème résulte d'une erreur de type buffer overflow présente au niveau du traitement de certains emails contenant un sujet excessivement long, ce qui pourrait être exploité par des attaquants afin d'exécuter des commandes arbitraires en envoyant, vers un serveur vulnérable, un email spécialement conçu.

Solution : passer à la 3.71.03 http://www.ritlabs.com/en/products/thebat/download.php
 
 
## Deux failles dans WinACE ## WinACE RAR and TAR Archives Handling Directory Traversal Vulnerability Bulletin FrSIRT 24/02/2006 et WinACE ARJ Archive Handling Client-Side Buffer Overflow Vulnerability Bulletin FrSIRT 23/02/2006
Versions concernées : 2.60 et inférieures
 
Description :

Citation :

Une vulnérabilité a été identifiée dans WinACE, elle pourrait être exploité par des attaquants afin de compromettre un système vulnérable. Ce problème résulte d'une erreur de type directory traversal présente au niveau de la gestion de certaines archives RAR et TAR malformées, ce qui pourrait être exploité par des attaquants afin de placer des fichiers malicieux au sein d'un système vulnérable.

Citation :

Une vulnérabilité a été identifiée dans WinACE, elle pourrait être exploité par des attaquants afin de compromettre un système vulnérable. Le problème résulte d'une erreur de type buffer overflow présente au niveau de la gestion d'une archive ARJ ayant une entête spécialement conçue, ce qui pourrait être exploité par des attaquants afin d'exécuter des commandes arbitraires en incitant un utilisateur à ouvrir un fichier ".arj" forgé.

Solution :  la deuxième faille sera corrigée dans la version 2.61 mais pas de nouvelles concernant la première http://www.winace.com/down.html
 
 
## Multiples vulnérabilités dans WinAmp ## Nullsoft Winamp Playlist Handling Multiple Buffer Overflow Vulnerabilities Bulletin FrSIRT 15/02/2006
Versions concernées : =< 5.13
 
Description :

Citation :

Plusieurs vulnérabilités ont été identifiées dans Winamp, elles pourraient être exploitées par des attaquants distants afin de compromettre un système vulnérable.
Le premier problème résulte d'une erreur de type buffer overflow présente au niveau de la gestion d'une playliste pointant vers fichier media ayant un nom excessivement long, ce qui pourrait être exploité par des attaquants distants afin d'exécuter des commandes arbitraires via une playliste malformée.
 
La seconde faille est due à une erreur de type buffer overflow présente au niveau du traitement d'une playliste ayant un nom excessivement long, ce qui pourrait être exploité par des attaquants distants afin d'exécuter des commandes arbitraires via une page web malicieuse.
 
La troisième vulnérabilité est due à une erreur de type buffer overflow présente au niveau du traitement d'une playliste "m3u" malformée, ce qui pourrait être exploité par des attaquants afin de compromettre un système vulnérable.

Solution : Passer à la 5.2 http://www.winamp.com/player/
 
 
## 7 failles dans Java de Sun ## Sun Java Runtime Environment Sandbox Security Bypass Vulnerabilities Bulletin FrSIRT 08/02/2006
Versions concernées :  

  • JDK et JRE 5.0 Update 4 et inférieures
  • SDK et JRE 1.4.2_09 et inférieures
  • SDK et JRE 1.3.1_16 et inférieures


Description :

Citation :

Sept vulnérabilités ont été identifiées dans Sun Java JRE (Java Runtime Environment), elles pourraient être exploitées par des attaquants distants afin de compromettre un système vulnérable. Ces failles résultent d'erreurs présentes aux niveaux des APIs "reflection" qui ne gèrent pas correctement certaines applets spécialement conçues, ce qui pourrait être exploité par des attaquants distants afin de lire, placer, ou exécuter des fichiers arbitraires au sein d'un système vulnérable en incitant un utilisateur à visiter une page web malicieuse.

Solution : Passer aux nouvelles version JDK ou JRE 5.0 Update 6 http://java.sun.com/j2se/1.5.0/download.jsp , SDK ou JRE 1.4.2_10 http://java.sun.com/j2se/1.4.2/download.html ou
SDK ou JRE 1.3.1_17 http://java.sun.com/j2se/1.3/download.html
 
 
## Multiples failles dans les produits Mozilla ## Mozilla Products Multiple Memory Corruption and Security Bypass Issues Bulletin FrSIRT 02/02/2006 et Mozilla Browsers CSS "moz-binding" Cross Domain Scripting Vulnerability Bulletin FrSIRT 01/02/2006
Versions concernées :  

  • Firefox =< 1.5
  • Mozilla Suite =< 1.7.12
  • Thunderbird =< 1.5
  • Mozilla SeaMonkey =< 1.0  


Description :

Citation :

Plusieurs vulnérabilités ont été identifiées dans Mozilla Suite, Mozilla Firefox et Thunderbird, elles pourraient être exploitées par des attaquants distants afin de compromettre un système vulnérable ou afin de contourner les mesures de sécurité.
 
Le premier problème résulte d'une erreur présente au niveau du moteur JavaScript qui ne protége pas correctement certaines variables temporaires, ce qui pourrait être exploité par des sites web malveillants afin d'exécuter des commandes arbitraires.
 
La seconde faille est due à une erreur présente au niveau de la transformation dynamique d'un élément "position:relative" en "position:static", ce qui pourrait être exploité par des attaquants distants afin de compromettre un système vulnérable.
 
La troisième vulnérabilité résulte d'une erreur présente au niveau du fichier "history.dat" qui ne gère pas correctement des données excessivement longues, ce qui pourrait être exploité par des attaquants afin de provoquer, à chaque démarrage de l'application, un déni de service ou une consommation abusive du CPU. Pour plus d'informations, se référer au bulletin : FrSIRT/AVIS-2005-2805
 
Le quatrième problème résulte d'une erreur de type buffer overflow présente au niveau de la méthode "QueryInterface", ce qui pourrait être exploité par des sites web malveillants afin d'exécuter des commandes arbitraires.
 
La cinquième faille se situe au niveau de la fonction "XULDocument.persist()" qui ne valide pas correctement certains attributs, ce qui pourrait être exploité par des attaquants afin d'exécuter des commandes JavaScript avec les privilèges du navigateur.
 
La sixième vulnérabilité est due à des erreurs de type integer overflow présentes aux niveaux des fonctionnalités E4X, SVG et Canvas, ce qui pourrait être exploité par des attaquants distants afin de compromettre un système vulnérable.
 
La septième faille se situe au niveau du gestionnaire XML qui ne lit pas correctement certaines portions de la mémoire, ce qui pourrait être exploité par des attaquants afin d'altérer le fonctionnement d'une application vulnérable ou afin d'accéder à des informations sensibles.
 
La huitième vulnérabilité résulte d'une erreur présente au niveau de l'implémentation E4X qui ne protége pas correctement l'objet interne "AnyName", ce qui pourrait être exploité par des sites malveillants afin de contourner les mesures de sécurité.

Citation :

Une vulnérabilité a été identifiée dans les navigateurs Mozilla, elle pourrait être exploitée par des attaquants distants afin de contourner les mesures de sécurité et obtenir des informations sensibles. Le problème résulte d'une erreur présente au niveau de la gestion de certains documents CSS (Cascading Style Sheets) et HTML contenant une propriété "-moz-binding" spécialement conçue, ce qui pourrait être exploité par des sites web malveillants afin d'exécuter un code javascript arbitraire (coté client) dans le contexte sécuritaire d'un domaine tiers, et accéder à des informations sensibles (e.g. cookies).

Solution : pas de solution pour la dernière vulnérabilité citée (moz-binding). Pour le reste il faut passer à la version 1.5.0.1 de Firefox et la 1.0 de Seamonkey http://www.mozilla.org/products/ mais pour Mozilla Suite et Thunderbird il faut désactiver le Javascript
 
 
## Faille dans Sophos Antivirus avec les archives ARJ ## Sophos AntiVirus Products ARJ Archives Security Bypass Vulnerability Bulletin FrSIRT 26/01/2006
Versions concernées :  

  • Sophos Anti-Virus versions 5.x, 4.x et 3.x
  • PureMessage Small Business Edition, for Windows/Exchange et for UNIX
  • MailMonitor for SMTP, for Notes/Domino et for Exchange  


Description :

Citation :

Une vulnérabilité a été identifiée dans plusieurs produits Sophos Anti-Virus, elle pourrait être exploitée par des attaquants ou des vers/virus afin de contourner les mesures de sécurité. Le problème résulte d'une erreur présente au niveau du moteur de scan qui ne gère pas correctement certaines archives ARJ spécialement conçues, ce qui pourrait être exploité par des vers/virus afin de passer outre la procédure de détection des fichiers malicieux.
 
Note : Les fichiers malicieux présents au sein d'une archive malformée seront cependant détectés et bloqués au moment de l'extraction.

Solution : Faille corrigée dans les versions 5.1.4, 4.5.9, 4.6.9 et 4.02 de Sophos Antivirus.
 
 
## Vulnérabilités dans Kerio WinRoute Firewall ## Kerio WinRoute Firewall Web Browsing Denial of Service Vulnerability Bulletin FrSIRT 25/01/2006 et Kerio WinRoute Firewall HTML Data and Active Directory DoS Vulnerabilities Bulletin FrSIRT 19/01/2006
Versions concernées : version =< 6.1.4
 
Description :

Citation :

Une vulnérabilité a été identifiée dans Kerio WinRoute Firewall, elle pourrait être exploitée par des attaquants afin de causer un déni de service. Le problème résulte d'une erreur inconnue présente au niveau du traitement de certaines pages web, ce qui pourrait être exploité par des sites web malveillants afin d'altérer le fonctionnement d'une application vulnérable.

Citation :

Deux vulnérabilités ont été identifiées dans Kerio WinRoute Firewall, elles pourraient être exploitées par des attaquants distants afin de causer un déni de service.
 
Le premier problème résulte d'une erreur présente au niveau du filtre HTML qui ne gère pas correctement certaines données, ce qui pourrait être exploité par des attaquants afin d'altérer le fonctionnement d'une application vulnérable.
 
La seconde faille est due à une erreur présente au niveau du traitement de certaines données provenant d'Active Directory, ce qui pourrait être exploité afin de causer un déni de service.

Solution : Passer à la version 6.1.4 patch2 http://www.kerio.com/kwf_download.html
 
 
## Failles dans F-Secure Antivirus ## F-Secure Anti-Virus Buffer Overflow and Security Bypass Vulnerabilities Bulletin FrSIRT 19/01/2006
Versions concernées : quasiment toutes (cf lien FR-Sirt)
 
Description :

Citation :

Deux vulnérabilités ont été identifiées dans plusieurs produits F-Secure Anti-Virus, elles pourraient être exploitées par des attaquants ou des vers/virus afin de compromettre un système vulnérable ou afin de contourner les mesures de sécurité.
 
Le premier problème résulte d'une erreur de type buffer overflow présente au niveau de la gestion de certaines archives ZIP malformées, ce qui pourrait être exploité par des attaquants distants ou des vers/virus afin d'exécuter des commandes arbitraires en envoyant, vers un système protégé par un antivirus vulnérable, un fichier ZIP spécialement conçu.
 
La seconde faille est due à une erreur présente au niveau de la fonction de scan qui ne gère pas correctement certaines archives RAR ou ZIP malformées, ce qui pourrait être exploité par des vers/virus afin de passer outre la procédure de détection de fichiers malveillants.

Solution : appliquer les correctifs http://www.f-secure.com/security/fsc-2006-1.shtml
 
 
## Problème au niveau de la corbeille protégée par Norton ## Symantec Norton Protected Recycle Bin Security Bypass Vulnerability Bulletin FrSIRT 11/01/2006
Versions concernées : Norton SystemWorks et SystemWorks Premier 2005 et 2006
 
Description :

Citation :

Une vulnérabilité a été identifiée dans Norton SystemWorks, elle pourrait être exploitée par des attaquants locaux ou des vers/virus afin de contourner les mesures de sécurité. Le problème résulte d'une erreur présente au niveau du répertoire "NProtect" (Norton Protected Recycle Bin) qui n'est pas accessible via les APIs Windows FindFirst/FindNext, ce qui pourrait être exploité par des fichiers malicieux afin de passer outre la procédure de scan.

Solution : correctifs disponibles via LiveUpdate
 
 
## Vulnérabilités dans QuickTime Player ## Apple QuickTime Player Multiple Remote Code Execution Vulnerabilities Bulletin FrSIRT 10/01/2006
Versions concernées : versions =< 7.0.3
 
Description :

Citation :

Plusieurs vulnérabilités ont été identifiées dans Apple QuickTime, elles pourraient être exploitées par des attaquants distants afin de compromettre un système vulnérable ou afin de causer un déni de service.
 
Le premier problème résulte d'une erreur de type heap overflow présente au niveau du traitement de certaines images QTIF malformées, ce qui pourrait être exploité par des attaquants distants afin d'exécuter des commandes arbitraires via un fichier QTIF spécialement conçu.
 
La seconde faille est due à des erreurs de type buffer overflow, integer overflow et integer underflow présentes au niveau de la gestion de certaines images TGA malformées, ce qui pourrait être exploité par des attaquants distants afin d'exécuter des commandes arbitraires via un fichier TGA spécialement conçu.
 
La troisième vulnérabilité est due à une erreur de type integer overflow présente au niveau du traitement de certaines images TIFF malformées, ce qui pourrait être exploité par des attaquants distants afin d'exécuter des commandes arbitraires via un fichier TIFF spécialement conçu.
 
Le quatrième problème résulte d'une erreur de type heap overflow présente au niveau de la gestion de certaines images GIF malformées, ce qui pourrait être exploité par des attaquants distants afin d'exécuter des commandes arbitraires via un fichier GIF spécialement conçu.
 
La dernière faille est due à une erreur de type heap overflow présente au niveau du traitement de certains fichiers media malformés, ce qui pourrait être exploité par des attaquants distants afin de compromettre un système vulnérable en incitant un utilisateur à visiter une page spécialement conçue. Pour plus d'informations, se référer au bulletin : FrSIRT/AVIS-2005-3012

Solution : passer à la version 7.0.4 http://www.apple.com/quicktime/
 
 
## Faille dans Clam Antivirus ## Clam AntiVirus (ClamAV) UPX File Handling Buffer Overflow Vulnerability Bulletin FrSIRT 10/01/2006
Versions concernées : Clam AV < 0.88
 
Description :

Citation :

Une vulnérabilité critique a été identifiée dans Clam AntiVirus (ClamAV), elle pourrait être exploitée par un attaquant distant ou un ver/virus afin de compromettre un système vulnérable ou afin de causer un déni de service. Le problème résulte d'une erreur de type heap overflow présente au niveau du script "libclamav/upx.c" qui ne gère pas correctement certains fichiers UPX malformés, ce qui pourrait être exploité par des attaquants ou des vers/virus afin d'exécuter des commandes arbitraires distantes en envoyant, vers un antivirus vulnérable, un fichier UPX spécialement conçu.

Solution : mettre à jour vers la version 0.88, par exemple pour ClamWin c'est là http://www.clamwin.com/content/view/18/46/  
 
 
## Vulnérabilité Sous Symantec Antivirus Scan Engine ## Symantec AntiVirus Scan Engine Web Service Remote Buffer Overflow Bulletin FrSIRT 05/10/2005, Symantec AntiVirus Scan Engine Administrative Interface Buffer Overflow Secunia Advisories 05/10/2005 et Symantec AntiVirus Scan Engine Web Service Buffer Overflow Vulnerability iDEFENSE Security Advisory 04/10/05
Versions concernées : Symantec AntiVirus Scan Engine 4.0 et 4.3 (toutes versions)
 
Description :

Citation :

Une vulnérabilité a été identifiée dans Symantec AntiVirus Scan Engine, elle pourrait être exploitée par des attaquants distants afin de compromettre un système vulnérable ou causer un déni de service. Le problème résulte d'une erreur de type heap overflow présente au niveau de l'interface d'administration qui ne gère pas correctement certaines requêtes HTTP malformées (port 8004/tcp), ce qui pourrait être exploité par des attaquants afin d'altérer le fonctionnement d'une système vulnérable ou afin d'exécuter des commandes arbitraires avec les privilèges SYSTEM.

Solution : utiliser Symantec antivirus Scan Engine 4.3.12 ( explications ici http://securityresponse.symantec.c [...] avse4-3-12 )
 
 
## Faille dans Bitdefender ## BitDefender Antivirus Filename Handling Format String Vulnerability Bulletin FrSIRT 04/10/2005 et BitDefender Anti-Virus Filename Format String Vulnerability Secunia Advisories 04/10/2005
Versions concernées :  

  • BitDefender Internet Security 9, Professional Plus 9 et Standard 9
  • BitDefender Antivirus Professional Plus 8.x et Standard 8.x
  • BitDefender Professional Edition 7.x et Standard Edition 7.x  


Description :

Citation :

Une vulnérabilité a été identifiée dans plusieurs antivirus BitDefender, elle pourrait être exploitée par des attaquants distants ou des vers/virus afin de compromettre un système vulnérable. Le problème résulte d'une erreur de type format string présente au niveau de la fonction chargée de la création des rapports d'analyses qui ne gère pas correctement des fichiers et/ou des répertoires ayant un nom spécialement conçu, ce qui pourrait être exploité par des attaquants afin d'exécuter des commandes arbitraires via un fichier malicieux.

Solution : les correctifs sont disponibles par la fonction de mise à jour
 
 
## Vulnérabilité sous Kaspersky AntiVirus ## Kaspersky Anti-Virus Products Remote Heap Overflow Vulnerability Bulletin FrSIRT 03/10/2005, Kaspersky Anti-Virus CAB Archive Handling Buffer Overflow Secunia Advisories 04/10/2005 et Kaspersky Antivirus Remote Heap Overflow Bugtraq SecurityFocus 03/10/2005
Versions concernées : Kaspersky Antivirus 5.x, Personal security suite 1.1 et SMTP Gateway 5.x
 
Description :

Citation :

Une vulnérabilité critique a été identifiée dans plusieurs produits Kaspersky Anti-Virus, elle pourrait être exploitée par un attaquant distant ou un ver/virus afin de compromettre un système vulnérable. Le problème résulte d'une erreur de type heap overflow présente au niveau de la librairie "cab.ppl" qui ne gère pas correctement certains fichiers CAB contenant des entêtes malformées, ce qui pourrait être exploité afin d'exécuter des commandes arbitraires distantes en envoyant, vers un antivirus vulnérable, un fichier CAB spécialement conçu.

Solution : les dernières signatures de virus permettent de détecter les tentatives d'exploitations de la faille. Un correctif sera donné le 5 octobre 2005
 
 
## Faille dans Zone Alarm version gratuite ## Zone Labs ZoneAlarm Personal Firewalls Security Bypass Weakness Bulletin FrSIRT 01/10/2005 et Bypassing Personal Firewall Using "DDE-IPC" ZoneLabs Security 29/09/2005
Versions concernées : Zone Alarm free version
 
Description :

Citation :

Une faiblesse a été identifiée dans Zone Labs ZoneAlarm, elle pourrait être exploitée afin de contourner les mesures de sécurité. Le problème résulte d'une erreur de conception présente au niveau de la gestion de certaines communications DDE-IPC (Direct Data Exchange - Interprocess Communications), ce qui pourrait être exploité par un programme malveillant afin d'accéder au réseau via un autre programme en contournant le système d'alertes.

Solution : Utiliser l'option "Activer le contrôle des programmes avancés" dans la fenêtre "Paramètres personnalisés du contrôle des programmes" ou bien passer à la version 6.0 de ZoneAlarm
 
 
## Vulnérabilité dans PowerArchiver ## PowerArchiver ACE/ARJ File Handling Buffer Overflow Vulnerability Bulletin FrSIRT 23/09/2005 et PowerArchiver ACE/ARJ Archive Handling Buffer Overflow Secunia advisories 23/09/2005
Versions concernées : PowerArchiver 2002 et 2003 8.x, 2004 et 2006 9.x
 
Description :

Citation :

Une vulnérabilité a été identifiée dans PowerArchiver, elle pourrait être exploité par des attaquants afin de compromettre un système vulnérable. Le problème résulte d'une erreur de type stack overflow présente au niveau de la gestion de certaines archives ACE/ARJ spécialement conçues, ce qui pourrait être exploité par des attaquants afin d'exécuter des commandes arbitraires en incitant un utilisateur à ouvrir un fichier ACE/ARJ forgé.

Solution : prendre la version 2004 9.26 ou 2006 Beta 6 http://www.powerarchiver.com/download/
 
 
## Faille dans 7-zip ## 7-Zip ARJ Archive Handling Client-Side Buffer Overflow Vulnerability Bulletin FrSIRT 23/09/2005 et 7-Zip ARJ Archive Handling Buffer Overflow Secunia advisories 23/09/2005
Versions concernées : vérifiée sous 7-zip 3.13, 4.23 et 4.26 beta
 
Description :

Citation :

Une vulnérabilité a été identifiée dans 7-Zip, elle pourrait être exploité par des attaquants afin de compromettre un système vulnérable. Le problème résulte d'une erreur de type stack overflow présente au niveau de la gestion de certaines archives ARJ spécialement conçues, ce qui pourrait être exploité par des attaquants afin d'exécuter des commandes arbitraires en incitant un utilisateur à ouvrir un fichier ARJ forgé.

Solution : passez à la version 4.27 beta http://www.7-zip.org/download.html
 
 
## Vulnérabilités dans Mozilla et Firefox ## Mozilla Suite and Firefox Multiple Code Execution Vulnerabilities Bulletin FrSIRT 22/09/2005, Firefox Multiple Vulnerabilities et Mozilla Multiple Vulnerabilities Secunia advisories 23/09/2005 et Known Vulnerabilities in Mozilla Products Mozilla Security 22/09/2005
Versions concernées : Mozilla =< 1.7.11 et Firefox =<1.0.6
 
Description : [quote]Plusieurs vulnérabilités ont été identifiées dans Mozilla Suite et Mozilla Firefox, elles pourraient être exploitées par des attaquants distants afin de compromettre un système vulnérable ou conduire des attaques par spoofing ou par cross site scripting.
 
Le premier problème résulte d'une erreur de type buffer overflow présente au niveau de la fonction "NormalizeIDN" qui ne gère pas correctement certains tags HTML contenant des URLs malformées, ce qui pourrait être exploité afin d'exécuter des commandes arbitraires via une page HTML spécialement conçue. Pour plus d'informations, se référer au bulletin : FrSIRT/AVIS-2005-1690
 
La seconde faille est due à une erreur de type heap overflow présente au niveau de la gestion de certaines images XBM, ce qui pourrait être exploité par des sites web malicieux afin d'exécuter des commandes arbitraires.
 
La troisième vulnérabilité est due à une erreur de type stack overflow présente au niveau de la gestion de certaines séquences contenant des caractères ZWNJ (zero-width non-joiner), ce qui pourrait être exploité par des sites web malicieux afin d'exécuter des commandes arbitraires.
 
Le quatrième problème résulte d'une erreur présente au niveau de la gestion de certaines entêtes malformées envoyées avec "XMLHttpRequest", ce qui pourrait être exploité afin de contourner les mesures de sécurité (e.g. imposées par un proxy).
 
La cinquième faille est due à une erreur où des contrôleurs non-privilégiés peuvent créer des interfaces XPCOM, ce qui pourrait être exploité afin d'exécuter des scripts ar


Message édité par minipouss le 10-12-2006 à 22:04:24
n°1502726
minipouss
un mini mini
Posté le 24-03-2004 à 09:41:40  profilanswer
 

=====
4. Virus/Phishing
=====
 
Cette partie contient les virus les plus récents assez répandus (ou 'spéciaux' i.e. nouvelle technique ou nouvelle cible)
 
Petit avertissement : d'un éditeur à un autre les noms des virus changent :/ C'est chiant je sais mais bon je ne me vois pas mettre (dans le top 10 en tout cas) l'ensemble des alias. Je ferai mon possible pour que ce soit clair quand même :jap:
 
 
/!\ Trojan exploitant la faille 0-Day de Word /!\ Exploit-MSWord.b Informations McAfee 09/12/2006
Comme d'hab ne pas ouvrir n'importe quoi !!!  
 
 
/!\ Phishing Paypal /!\ Escroquerie par phishing ciblant les utilisateurs français du service Paypal (25/11/06) Alerte Secuser 25/11/2006

Citation :

Ce courriel est une tentative d'escroquerie dite par phishing, le même message ayant été envoyé à un très grand nombre d'internautes dont les adresses ont été collectées illégalement. Le lien hypertexte présent dans le message n'est pas celui du service en ligne (www.paypal.com/fr/cgi-bin/webscr?cmd=_login-run) mais un lien similaire (www.yuriwedding.com/www.paypal.fr/cgi-bin/webscr_cmd=_login-done[...], toujours en activité au moment de la rédaction de cette alerte). Le nom d'expéditeur utilisé dans le message est par ailleurs PaypaI et non Paypal (lettre L minuscule remplacée par un i majuscule) afin de tenter de tromper les filtres antispam et antiphishing. Il ne faut pas fournir les renseignements demandés : si vous avez été abusé et avez déjà communiqué ces renseignements, connectez-vous immédiatement au véritable site de Paypal et changez votre mot de passe.

 
 
 
/!\ Phishing Crédit Mutuel /!\ Escroquerie par phishing ciblant les clients de la banque Crédit Mutuel Alerte Secuser 18/11/2006

Citation :

Ce courriel est une tentative d'escroquerie dite par phishing, le même message ayant été envoyé à un très grand nombre d'internautes dont les adresses ont été collectées illégalement. Le lien hypertexte visible par l'utilisateur n'est pas celui présent dans le code source du message (www.webhost119.com/bbs/mutuel.html redirigé vers 65.98.14.10/~infinite/cr.mutuel/credit.htm et toujours en activité au moment de la rédaction de cette alerte). Il ne faut pas fournir les renseignements demandés : si vous avez été abusé et avez déjà communiqué ces renseignements, connectez-vous immédiatement au véritable site de votre banque et changez votre mot de passe.

 
 
 
/!\ Un virus Racketteur /!\ Libérer son disque dur d?une prise d?otage Presence PC 15/03/2006, Zippo Trojan horse demands $300 ransom for victims' encrypted data et Troj/Zippo-A Sophos 14-15/03/2006

Citation :

Sophos vient de repérer un cheval de Troie qui a la gentillesse de compresser tous les fichiers Word, Excel et d?autres encore, présent sur votre disque dur en un fichier zip crypté qui nécessite un mot de passe. Le programme nommé Zippo-A crée ensuite un fichier vous expliquant la marche à suivre pour récupérer vos données qui consiste, entre autre, à verser la somme de 300$ sur un compte eGold.
Nous ne vous ferons pas languir plus longtemps, les ingénieurs de chez Sophos ont analysé le code du virus et le mot de passe est « C:\Program Files\Microsoft Visual Studio\VC98 ».
Si la prise d?otage de données est courante dans le monde des entreprises, ce cheval de Troie touche aussi les particuliers, chose beaucoup plus rare.

 
 
 
/!\ Tentative de phishing sur Le Crédit Lyonnais /!\ Tentative de phishing visant le Crédit Lyonnais LCL 07/03/2006
Description :

Citation :

Envoyé en masse, le message FRAUDULEUX aux couleurs de la banque, prétexte la mise en place d?un nouveau système de sécurité pour demander aux internautes de fournir leurs codes d'accès et date de naissance.

voila le message (je l'ai reçu :D) et bonjour les fautes de traduction faite en ligne sûrement

Citation :

Le test du nouveau systeme de securite. Notre devise: Banking sans fraude.  
Compte tenu d'accidents tres frequents provoques par des activites frauduleuses sur Internet, notre banque a introduit le nouveau systeme de securite de nos clients. Conformement a celui-la chaque mois vous serez le destinataire d'une lettre confirmante vos donnee secretes. Nous esperons votre comprehension a l'egard de cet innovation. Les mesures entreprises nous permettront de reduire les risques d'acces non sanctionne de tierces personnes a votre compte personnel, ainsi que controler l'activite de votre compte en comparant l'adresse IP et version de votre navigateur de votre session presente et celle precedente. A l'avis de l'organisation mondiale bancaire ces mesures permettront de diminuer au maximum les voles d'argent des clients.
Log in: http://www.particulierssecure.com
Si vous n'etes pas d'accord ou mecontent de cet innovation veuillez nous ecrire a lecreditlyonnais@banksecurity.fr
votre opinion sera prise en compte.
Nous vous remercions de nous avoir accorde vote temps et prions d'accepter nos salutations distinguees.

Site : http://www.particulierssecure.com/
Whois :  

Citation :

Domain Name: PARTICULIERSSECURE.COM
Registrar: ONLINENIC, INC.
Whois Server: whois.OnlineNIC.com
Referral URL: http://www.OnlineNIC.com
Name Server: NS1.DNSSERVICESFORFREE.BIZ
Name Server: NS2.DNSSERVICESFORFREE.BIZ
Status: REGISTRAR-LOCK
Status: REGISTRAR-HOLD
Updated Date: 07-mar-2006
Creation Date: 05-mar-2006
Expiration Date: 05-mar-2007
 
Registrant:
Stacy McCullough johnbrown132@mail.com +1.9066358143
Stacy McCullough
1432 W. 14th St.
Sault Ste. Marie,MI,UNITED STATES 49783


/!\ Risque de phishing sur les utilisateurs de carte VISA /!\ Escroquerie par phishing ciblant les clients de la société Visa Alerte Secuser 24/02/2006

Citation :

Une tentative d'escroquerie par phishing a lieu depuis le 24/02/06. Elle vise les clients de la société de cartes bancaires Visa et se présente sous la forme d'un courrier électronique en anglais intitulé "Attention! Several VISA Credit Card bases have been LOST!", prétendument envoyé par VISA Card Support <VisaCard@visa.com> :
...........
Sous prétexte d'une récente tentative de piratage par des hackers, le message demande à l'internaute de cliquer sur un lien hypertexte et d'entrer les informations relatives à sa carte bancaire. Il ne faut pas cliquer sur le lien concerné ni fournir les renseignements demandés, car le destinataire réel n'est pas la société Visa mais un individu malveillant. Si vous avez été abusé et avez déjà communiqué ces renseignements, vous devriez faire opposition immédiatement à l'utilisation de la carte bancaire concernée.

cf. une image de ce mail http://www.secuser.com/images/aler [...] 240226.gif Mais encore une fois faut être naïf ou débile (au choix :D) pour se faire avoir :)
 
/!\ Tentative de phishing sur des utilisateurs français de banque en ligne /!\ Tentative d'escroquerie par phishing ciblant les clients de la banque AGF Alerte Secuser 13/09/2005

Citation :

Une nouvelle escroquerie par phishing est actuellement en cours, ciblant les clients de la banque française AGF. Elle se présente sous la forme d'un courrier électronique prétendument envoyé par la banque et rédigé dans un français soigné

cf. une image de ce mail http://www.secuser.com/images/aler [...] 0905_1.gif
 
/!\ Virus Zotob exploitant une faille Windows corrigée /!\ Le ver Zotob.A se propage en exploitant la vulnérabilité MS05-039 Bulletin FrSIRT 14/08/2005, Alerte contamination Zotob.A Alerte Secuser 14/08/2005 , W32.Zotob.A (Symantec), W32/Zotob-A (Sophos) et Zotob.A (F-Secure)
 
Propagation : il se propage en exploitant la faille MS05-029 par le port 445 mais vise uniquement Windows 2000 car sous XP il faut être utilisateur authentifié pour utiliser cette faille
 
Descriptif :

Citation :

Zotob.A infecte les systèmes Windows 2000 via le port 445/TCP, il s'installe dans le répertoire %SYSTEM% sous le nom de fichier  "botzor.exe", crée le mutex "B-O-T-Z-O-R", puis rajoute l'entrée suivante au registre :
 
 [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
 [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices]
 "WINDOWS SYSTEM" = "botzor.exe"
 
Une fois installé, le ver ouvre un shell et un serveur FTP, puis se connecte à un canal IRC contrôlé par son auteur qui a la possibilité d'exécuter plusieurs commandes (envoyer/télécharger/exécuter des fichiers, mettre à jour le ver...).
 
Zotob.A tente ensuite d'infecter d'autres machines en scannant le port 445/TCP (utilisé par le service Windows Plug and Play) et en se transférant via son serveur FTP, sous le nom "haha.exe", vers la machine cible.

/!\ Un virus qui demande une rançon!!! /!\ un virus rançonneur sévit sur le web info NouvelObs 02/06/2005 , TROJ_PGPCODER.A (info Secunia) et Trojan.Gpcoder (Symantec)
 
Propagation : il ne s'auto-réplique pas. C'est à l'utilisateur de le lancer si quelqu'un lui en parle (par IRC, newsgroup ou email) ou si il tombe sur le fichier par le réseau P2P.
 
Descriptif : ce trojan cherche les fichiers avec les extensions asc, db, db1, db2, dbf, doc, htm, html, jpg, pgp, rar, rtf, txt, xls, zip afin de les encoder, il efface ensuite les versions originales. Il crée un fichier ATTENTION!!!.txt dans chaque répertoire où il y a des fichiers encodés, ce fichier contient les infos expliquant comment payer les 200 dollars de rançon
 
/!\ Tentative de phishing sur des utilisateurs français de banque en ligne /!\ Tentative d'escroquerie par phishing à l'encontre des clients de plusieurs banques françaises Alerte Secuser 27/05/2005
J'ai reçu dernièrement ce mail sur mes boîtes Tele2 (rien sur les boîtes Free) voila un peu ce qu'en dit Secuser

Citation :

Une première tentative d'escroquerie par phishing a eu lieu le 27 mai 2005 à l'encontre de clients des banques Société Générale, BNP Paribas, CIC et CCF. Elle se présente sous la forme d'un courrier électronique en anglais prétendument envoyé par une des banques (adresse d'expéditeur usurpée telle que BrownlieBertie@bnpparibas.com ou BarstowCatherine@cic.fr) et distribué en masse aux utilisateurs de fournisseurs d'accès français dont wanadoo.fr, club-internet.fr, numericable.fr, 9online.fr, chello.fr, freesurf.fr
..........
Le lien hypertexte réel n'est pas celui qui apparaît dans le corps du message mais un lien de la forme http://www.google.ru/url?q= http://go.msn.com/ HML/1/5.asp?target= http://%09%79j%09%7317%09%70p %2E %44 %61 %%092E%%52%%%%75/. S'il clique sur le lien correspondant à sa banque, l'internaute est dirigé de manière très brève donc à peine perceptible vers une page vide d'un site russe qui déclenche l'ouverture d'une fenêtre pop-up, puis redirige l'internaute vers le site de la banque demandée
.............
De cette façon, le site web qui apparaît dans la fenêtre de navigation principale est bien celui de la banque demandée, mais la fenêtre réduite qui apparaît au premier plan pour inciter l'internaute à saisir son nom d'utilisateur et son mot de passe appartient au site web contrôlé par le pirate

Et voila les communiqués des 4 banques concernées :  


/!\ Nouvelle version de Sober /!\ Une nouvelle variante du ver Sober se propage actuellement Alerte FrSIRT 03/05/2005 et Sober.p Secunia Virus Info
W32.Sober.O@mm (Symantec), W32/Sober.p@MM (Mac Afee), W32/Sober-N (Sophos), WORM_SOBER.S (Trend) et Sober.P F-Secure

Citation :

- Une fois exécuté, Sober.P crée les fichiers suivants :
 
%Windir%\Connection Wizard\Status\csrss.exe (copie du ver)
%Windir%\Connection Wizard\Status\services.exe (copie du ver)
%Windir%\Connection Wizard\Status\smss.exe (copie du ver)
%Windir%\Connection Wizard\Status\packed1.sbr (copie du ver en base64)
%Windir%\Connection Wizard\Status\packed2.sbr (copie du ver en base64)
%Windir%\Connection Wizard\Status\packed3.sbr (copie du ver en base64)
%Windir%\Connection Wizard\Status\sacri1.ggg (fichier de sauvegarde des emails collectés localement)
%Windir%\Connection Wizard\Status\sacri2.ggg (fichier de sauvegarde des emails collectés localement)
%Windir%\Connection Wizard\Status\sacri3.ggg (fichier de sauvegarde des emails collectés localement)
%Windir%\Connection Wizard\Status\Voner1.ggg (fichier de sauvegarde des emails collectés localement)
%Windir%\Connection Wizard\Status\Voner2.ggg (fichier de sauvegarde des emails collectés localement)
%Windir%\Connection Wizard\Status\Voner3.ggg (fichier de sauvegarde des emails collectés localement)
%Windir%\Connection Wizard\Status\fastso.ber (fichier non malicieux)
%System%\nonrunso.ber (fichier non malicieux)
%System%\seppelmx.smx (fichier non malicieux)
%System%\xcvfpokd.tqa (fichier non malicieux)
%System%\adcmmmmq.hjg (fichier non malicieux)
%System%\langeinf.lin (fichier non malicieux)
 
- Il tente ensuite de supprimer les fichiers suivants :
 
%ProgramFiles%\Symantec\Liveupdate\a*.exe
%ProgramFiles%\Symantec\Liveupdate\luc*.exe
%ProgramFiles%\Symantec\Liveupdate\ls*.exe
%ProgramFiles%\Symantec\Liveupdate\luu*.exe
 
- Et remplace le fichier %Program Files%\Symantec\Liveupdate\luall.exe par un copie du ver
 
- Puis rajoute les clefs suivantes au registre :
 
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
WinStart = "%Windows%\Connection Wizard\Status\services.exe"
 
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
WinStart = "%Windows%\Connection Wizard\Status\services.exe
 
- Il collecte ensuite les adresses emails contenues dans les fichiers du type :
 
pmr, phtm, stm, slk, inbox, imb, csv, bak, imh, xhtml, imm, imh, cms, nws, vcf, ctl, dhtm, cgi, pp, ppt, msg, jsp, oft, vbs, uin, ldb, abc, pst, cfg, mdw, mbx, mdx, mda, adp, nab, fdb, vap, dsp, ade, sln, dsw, mde, frm, bas, adr, cls, ini, ldif, log, mdb, xml, wsh, tbb, abx, abd, adb, pl, rtf, mmf, doc, ods, nch, xls, nsf, txt, wab, eml, hlp, mht, nfo, php, asp, shtml et dbx.
 
- Il s'auto-propage vers les emails collectés en utilisant son propre moteur SMTP.
 
Caractéristiques
 
Alias : W32/Sober-P
          W32/Sober-N
          W32/Sober-O
          W32/Sober-S
 
Taille : 53,728 octets (zip)
              53,554 octets (exe)
 
Pièce jointe : PassWort-Info.zip
                    account_info-text.zip
                    account_info-text.zip
                    autoemail-text.zip
                    Fifa_Info-Text.zip
                    LOL.zip
                    mail_info.zip
                    okTicket-info.zip
                    our_secret.zip
 
Sujet : (en allemand ou en anglais)
 
En allemand : Mail-Fehler!
                     WM Ticket Verlosung
                     WM-Ticket-Auslosung
                     Glueckwunsch: Ihr WM Ticket
                     Ich bin's, was zum lachen ;)
                     Ihr Passwort
                     Ihre E-Mail wurde verweigert
 
En anglais :    Re:
                     mailing error
                     Registration Confirmation
                     Your email was blocked
                     Your Password
 
Expéditeur :   Admin
                     Hostmaster
                     Info
                     Postmaster
                     Register
                     Service
                     Webmaster


/!\ Nouveau virus Chod /!\ W32.Chod@mm (Symantec), W32/NoChod@MM (Mac Afee) et WORM_CHOD.A (Trend)
Propagation :  

  • par mail en anglais à toutes les adresses qu'il a pu collecter sur le pc. Le champ From: contient security@microsoft.com , security@trendmicro.com ou securityresponse@symantec.com. Le sujet sera Warning - you have been infected! ou Your computer may have been infected. Le corps sera une explication en anglais expliquant que votre message n'a pu être envoyé pour différentes raisons. Et le fichier attaché sera message.pif, message.scr, netsky_removal.exe ou removal_tool.exe
  • par MSN : envoi d'un texte en anglais avec un lien en .pif ou .scr (naked lesbian twister, paris hilton, rofl, us together, picture, gross, mypic, awesome)


Symptômes : %System% est par exemple C:\Windows\System32

  • à l'exécution il affiche un message d'erreur "Run-Time"
  • il crée les fichiers suivants %System%\cpu.dll, %System%\<nom aléatoire>\csrss.dat, %System%\<nom aléatoire>\csrss.exe et %System%\<nom aléatoire>\csrss.ini
  • afin de se lancer au démarrage de windows, il ajoute le raccourci %Start%\Menu\Programs\Startup\csrss.lnk  
  • pour la même raison, il ajoute l'entrée ""Csrss" = "%System%\[nom aléatoire]\csrss.exe" aux clés de registre HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run, HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run et HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Run
  • il ajoute la valeur "Installed" = "1" aux clés de registre HKEY_CLASSES_ROOT\Chode, HKEY_LOCAL_MACHINE\Software\Classes\Chode et HKEY_CURRENT_USER\Software\Chode pour marquer sa présence
  • il ajoute "Load" = "%System%\csrss.exe" et "Run" = "%System%\csrss.exe" au fichier win.ini, encore pour démarrer avec Windows
  • toujours pour la même raison, il ajoute les entrées "Run" = "%System%\[nom aléatoire]\csrss.exe" et "Load" = "%System%\[nom aléatoire]\csrss.exe" à la clé de registre HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows


Actions :

  • il ajoute les valeurs "DisableRegistryTools" = "1" et "NoAdminPage" = "1" dans la clé

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\
Policies
pour désactiver l'éditeur de la base de registre

  • il désactive aussi la restauration en mettant DisableSR= "1" dans HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\SystemRestore
  • il modifie les valeurs suivantes "Hidden" = "2", "SuperHidden" = "0" et "ShowSuperHidden" = "0" dans la clé

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced afin de masquer les fichiers qu'il a crées

  • il efface les valeurs suivantes (liées à des processus de sécurité) de la clé HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run : "MCAgentExe", "ISSVC", "navapsvc", "Symantec", "Run\LC", "ccEvtMgr", "SNDSrvc", "ccProxy", "ccPwdSvc", "ccSetMgr", "SPBBCSvc", "SAVScan", "SBService", "SmcService", "OutpostFirewal","l","vsmon","CAISafe","net stop", "scconfig", "CleanUp", "MCUpdateExe", "VirusScan", "Online", "VSOCheckTask", "ccApp", "mcvsrte.exe", "Symantec NetDriver Monitor", "Outpost", "Firewall", "gcasServ", "KAVPerson", "al50", "Zone Labs Client", "services", "microsoftantispyware", "hijackthis" pour les empêcher de démarrer avec windows
  • il modifie le fichier hosts pour bloquer l'accès à de nombreux sites web concernant la sécurité (antivirus, firewall et HijackThis)
  • il termine de nombreux processus liés à la sécurité
  • il essaye de désactiver les services suivants gcasServ, hijackthis*, KAVPersonal50, microsoft antispyware*, Outpost Firewall, services, Symantec NetDriver Monitor, Zone Labs Client
  • il ouvre une backdoor pour donner l'accès au pc infecté
  • il reste à l'écoute de commandes à exécuter sur le pc "éteindre et rebooter le pc", "télécharger et exécuter des fichiers", "faire des attaques Dos par http, ping, TCP ou UDP", "obtenir des infos sur le pc", "se propager par MSN" et "se propager par mail"
  • il essaye de voler les mots de passe des applications suivantes : AOL Instant Messenger (vieilles version et Netscape 7), GAIM, ICQ Lite 4.x/2003, Miranda, MSN Messenger, Trillian, Windows Messenger (sous XP) et Yahoo Messenger (Versions 5.x and 6.x) en utilisant un de ces trois outils : Intelligent TCPIP.SYS patcher, MessenPass, Protected Storage PassView


/!\ Virus se propageant par P2P et Archives Zip/Rar /!\ W32.Selotima.A (Symantec) et W32/Esalone-A (Sophos)
Propagation : par réseau P2P en se copiant dans tout un tas de répertoire partagés prédéfinis sous différents noms avec .exe à la fin : Pamela Anderson,Crack Nero Express,Torrent,Crack Norton,Crack Msn,Crackear Msn,Winamp8,Winrar360,Norton 2005,Pamela.jpg,Crack Msn 7.0,IRC,Crack Irc,Pornografia,XXX,Video,Age of Empires,Starcraft,Age Of Empires Crack,Starcraft Crack,Killer Instinct,crack norton 2005,norton 2006,msn8,Kazaa Media Desktop,ICQ Lite,WinZip,iMesh,AOL Instant Messenger (AIM),ICQ pro 2003a beta,Morpheus,Ad aware,Trillian,Download Accelerator plus,ZoneAlarm,Microsoft Office XP,Microsoft Windows 2003,Office 2003,Visual Studio Net,Delphi 6,msn hack,Matrix Movie,Virtual Girl,FireWorks 4,FIreWorks MX,Cracked,crack all versions,KeyGen,Full version,Reproductor de Windows Media,Grokster,WinRAR,DivX Video Bundle,RealOne Free Player,Netumer,JetAudio Basic,Registry Mechanic,Copernic Agent,Winamp,Diet Kazaa,SolSuite 2003: Solitaire Card Games Suite,QuickTime,XoloX Ultra,Microsoft Internet Exlorer,Network Cable e ADSL Speed,Kazaa Download Accelerator,Global DiVX layer,DirectDVD,Lolitas,Pedo,sexo (y en a pour tous les goût :/)
 
Symptômes : %Windir% peut être C:\Windows

  • il crée les fichiers suivants %Windir%\daemon.exe, %Windir%\Infect.drv, %Windir%\Infectate.reg et %Windir%\Muerte.drv
  • afin de se lancer au démarrage de windows, il ajoute l'entrée "Daemon" = "%Windir%\daemon.exe c daemon2.exe" à la clé HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
  • il modifie les valeurs suivantes "Hidden" = "0x00000000" et "HideFileExt" = "0x00000001" dans la clé

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced afin de masquer les fichiers système et "cachés" ainsi que les types d'extensions connues sous l'explorateur Windows
 
Actions :

  • il essaye de se copier sous le nom Readme.txt.exe à la racine de tous les disques/disquettes
  • il fait de même en s'insérant sous ce nom lors de la création d'archives ZIP et RAR (avec Winzip et Winrar)


/!\ Virus potentiellement très dangereux /!\ W32.Zori.A (Symantec) et PE_ZORI.A (Trend)
Propagation : pas de données pour le moment. faible activité, le risque étant qu'un jour quelqu'un l'utilise sur des virus à fort taux de propagation
 
Symptômes : %System% est par exemple C:\Windows\System32

  • il crée les fichiers suivants %System%\SVCHOSTV\svchost.exe, %System%\SVCHOSTV\SVCHOSTV\Vshell[2 nombres hexadécimaux]\[nom original du virus], %System%\SVCHOSTV, %System%\SVCHOSTV\SVCHOSTV, %System%\SVCHOSTV\SVCHOSTV\Vshell1A[i] ainsi que le fichier [i]%System%\NSASABDOx.drv contenant la date du premier lancement du virus sur le pc
  • afin de se lancer au démarrage de windows, il ajoute l'entrée "SVHOST" = "C:\WINDOWS\System32\SVCHOSTV\SVCHOST.EXE" à la clé HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
  • à la 1ère exécution il ouvre une fenêtre Bloc-note affichant un texte en russe contenant en première ligne (en anglais) "Hello, " [...]". This is Death."
  • 9 jours après la 1ère exécution il ouvre une fenêtre Bloc-note affichant un autre texte en russe contenant en première ligne (en anglais) "DeathDangerCompany"


Actions :

  • cherche les fichiers .exe sur les disques durs afin de les infecter. Leur taille est ainsi augmentée de 438272 octets
  • peut créer certains dysfonctionnements dans Windows : le bouton Démarrer, le panneau de configuration ou n'importe quelle fenêtre peuvent être cachés et le lecteur de CD-ROM peut s'ouvrir seul
  • crée et lance un fichier de commande diablo.bat avec dedans : shutdown -s -t 30 -c "Hi, I am Death. I Want to send the enormous hello: Oxy, Alke, Punk-y Dashe and others Goblinam. P.S.(  Bye "Hacker", you possible can not restart computer)" -f
  • Commence à effacer des fichiers de tous les disques


/!\ Nouvelle variante de Sober /!\ W32.Sober.L@mm (Symantec), W32/Sober-L (Sophos), WORM_SOBER.L (Trend), Win32.Sober.L (Computer Associates), et Sober.L (F-Secure)
Propagation : par mail en anglais ou en allemand au sujet d'un compte mail avec un fichier attaché MailTexte.zip ou acc_text.zip contenant le virus sous la forme d'un fichier mail_text_data[plein d'espaces].pif
 
Symptômes : %System% est par exemple C:\Windows\System32, %Windir% peut être C:\Windows

  • il crée les fichiers suivants %Windir%\msagent\system\smss.exe[i] (le virus lui-même), [i]%Windir%\msagent\system\zipzip.zab (copie encodée base 64 du virus), %Windir%\msagent\system\emdata.mmx (fichier dans leuelq le virus va stocker les adresse mails trouvées sur le pc), %System%\nonrunso.ber, %System%\xcvfpokd.tqa, %System%\stopruns.zhz (fichier log du virus) et %System%\read.me (fichier texte contenant "test test test    In diesem Sinne: Odin alias Anon"
  • afin de se lancer au démarrage de windows, il ajoute l'entrée "Services.dll" = "%Windir%\msagent\system\smss.exe" aux clés de registre HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run et HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
  • à l'exécution il ouvre une fenêtre Bloc-note disant "Mail-Text : Unzip failed" et plein de caractères


Actions :

  • il vérifie si une connexion tourne et essaye de la lancer si elle n'est pas active
  • arrête les processus contenant gcas, gcip, giantanti, stinger, hijackthis


/!\ Virus Serflog/Fatso/Crog/Sumom sous MSN /!\ W32.Serflog.A et W32.Serflog.B(Symantec), W32/Crog.worm (Mac Afee), W32/Sumom-A et W32/Sumom-B (Sophos) et WORM_FATSO.A et WORM_FATSO.B (Trend)
Propagation :  

  • s'auto-envoie sous MSN en incluant un lien vers une des copies qu'il a créées sur le pc  
  • par P2P sous différents noms  
  • par copie sous toute gravure effectuée par le système. Il se met sous le nom AUTORUN.EXE dans le répertoire suivant %USERFOLDER%\Local Settings\Application Data\Microsoft\CD Burning\autorun.exe et crée ou met à jour un AUTORUN.INF au même endroit et contenant OPEN=AUTORUN.EXE


Symptômes : %System% est par exemple C:\Windows\System32, %Windir% peut être C:\Windows, %SystemDrive% sera le disque où Windows est installé ("C:" par défaut) et %UserProfile% est une variable qui se réfère au profil utilisateur donc par défaut C:\Documents and Settings\<Utilisateur>

  • il se copie en fichier caché sous les noms %System%\formatsys.exe, %System%\serbw.exe, ]%Windir%\msmbw.exe, %SystemDrive%\Crazy frog gets killed by train!.pif, %SystemDrive%\Annoying crazy frog getting killed.pif, %SystemDrive%\See my lesbian friends.pif, %SystemDrive%\LOL that ur pic!.pif, %SystemDrive%\My new photo!.pif, %SystemDrive%\Me on holiday!.pif, %SystemDrive%\The Cat And The Fan piccy.pif, %SystemDrive%\How a Blonde Eats a Banana...pif, %SystemDrive%\Mona Lisa Wants Her Smile Back.pif, %SystemDrive%\Topless in Mini Skirt! lol.pif, %SystemDrive%\Fat Elvis! lol.pif, %SystemDrive%\Jennifer Lopez.scr, %SystemDrive%\lspt.exe
  • afin de se lancer au démarrage de windows, il ajoute les entrées "[Valeur]" = "[nom de fichier]" aux clés de registre HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run, HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices, HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run, HKEY_CURRENT_USER\Microsoft\Windows\CurrentVersion\Run et HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run avec valeur pouvant être serpe, ltwob ou avnort et [nom de fichier] choisi parmi %System%\formatsys.exe, %System%\serbw.exe ou %Windir%\msmbw.exe
  • pour se propager en P2P il se copie dans les répertoires %SystemDrive%\My Shared Folder, %UserProfile%\Shared et %ProgramFiles%\Program Files\eMule\Incoming sous les noms Messenger Plus! 3.50.exe, MSN all version polygamy.exe et MSN nudge bomb.exe


Actions :

  • efface le fichier %SystemDrive%\MESSAGE_TO_BROPIA.txt si il existe
  • arrête de très nombreux processus liés à la sécurité
  • ajoute pas mal de lignes au fichier hosts afin de bloquer l'accès aux sites web réputés pour la protection
  • diminue le niveau de sécurité du pc en mettant à "0" les clés suivantes HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows NT\SystemRestore "DisableConfig" et HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows NT\SystemRestore "DisableSR"


/!\ Virus Kelvir sous MSN /!\ W32.Kelvir.A et W32.Kelvir.B (Symantec), W32/Kelvir.worm.b et W32/Kelvir.worm.c (Mac Afee), W32/Kelvir-B et W32/Kelvir-C (Sophos), WORM_KELVIR.A et  WORM_KELVIR.B (Trend) et Win32.Bropia.T (Computer Associates)
Propagation : s'auto-envoie à tous les contacts sous MSN avec les textes suivants :  

  • omg this is funny! [Lien vers le domaine jose.rivera4.home.att.net et le fichier cute.pif]
  • [Lien vers le domaine home.earthlink.net et le fichier omg.pif] lol! seeit! u'll like it
  • de nouvelles versions peuvent se propager aussi par les failles (patchées depuis longtemps) de Windows MS03-026 et MS04-011

 
Action : si les fichiers .pif sont exécutés ils téléchargent les fichiers

  • patch.exe à partir d'une adresse du domaine home.comcast.net et un fichier file.exe du domaine www.yoursite.com qui sont des variantes des virus de la famille des Rbot/Sdbot/Spybot (selon les éditeurs antivirus)
  • me.jpg à partir d'une adresse du domaine home.earthlink.net et un fichier file.exe du domaine www.yoursite.com qui sont des variantes des virus de la famille des Rbot/Sdbot/Spybot (selon les éditeurs antivirus)
  • beaucoup d'autres versions suivent déja et elles peuvent se connecter sur des canaux irc et attendre les commandes de leur auteur et au lieu de juste s'installer dans la BDR pour se lancer au démarrage de Windows elles s'enregistrent en tant que service Windows


/!\ Un virus s'attaque aux erreurs php /!\ Le ver PhpInclude.Worm attaque les pages php insécurisées Bulletin K-Otik 26/12/2004
Perl.Lexac (Symantec) et  Perl/Spyski.worm (Mac Afee)

Citation :

Le nouveau ver PhpInclude.Worm se propage activement sur internet, il s'attaque à toute page dynamique non sécurisée. [Ce ver est détecté par certains antivirus comme étant la variante C ou E de Santy. Nous estimons que ce ver est totalement différent de la famille Santy (la seule similitude réside dans l'utilisation des moteurs de recherche), nous avons donc décidé de lui attribuer l'alias générique "PhpInclude.Worm"].
 
Contrairement à Santy, PhpInclude.Worm n'exploite pas les vulnérabilités phpBB, il exploite une palette plus large de failles dites "de programmation". Il recherche (via Google/Yahoo/AOL) des serveurs web dont les pages php utilisent les fonctions "include()" et "require()" de façon non-sécurisée. Comment ?
 
Ces fonctions sont normalement utilisées par les programmeurs afin d'inclure des pages web spécifiées en arguments. Malheureusement, la non vérification de ces arguments peut permettre l'inclusion et l'exécution de fichiers externes, et donc la compromission du serveur web :
 
-------- Exemple : vulnerable.php --------
if(isset($page))
{
  include($page);
}
-----------------------------------------------
La page ci-dessus ne filtre pas correctement la variable $page, elle permet donc l'inclusion puis l'exécution de scripts arbitraires distants : vulnerable.php?page=http://server_pirate/scriptmalicieux?cmd=commandes_malicieuses
 
PhpInclude.Worm recherche donc des pages du type "*.php?*=", puis tente d'y injecter différentes commandes permettant l'installation de robots IRC et la constitution d'une armée de machines zombies contrôlées par un groupe de pirates brésiliens.
 
Ces failles étant liées aux applications web et non pas à la plateforme ou à la version de PHP, PhpInclude.Worm et ses prochaines variantes continueront à se propager sur internet pendant de longs mois, d'où un risque qualifié d'Elevé par K-OTik Security.
.......
Solution pré-infection
 
Vérifier vos scripts php afin d'y détecter d'éventuelles vulnérabilités.
 
Solution post-infection
 
-> Si vous n'avez pas un accès "root", vous devez contacter votre hébergeur ou administrateur.
 
-> Si vous avez un accès "root" :
 
- Arrêter le serveur web afin d'éviter de nouvelles infections.
- Identifier les fichiers et les scripts malicieux (en cours d'exécution) puis tuer les processus perl ou sh anormaux.
- Faire une recherche exhaustive des fichiers modifiés ou installés.
- Effacer ces fichiers malicieux afin d'éviter les rebonds.
- Identifier et corriger les vulnérabilités ayant permis la compromission du serveur (voir logs web)


 
/!\ un ver bien Santy vise les forums phpBB /!\ Perl.Santy (Symantec), PERL/Santy.worm (Mac Afee) , Perl/Santy-A (Sophos) , WORM_SANTY.A (Trend) et Santy (F-Secure)
Grosse alerte : Un ver informatique attaque des sites web via une faille phpBB Bulletin K-Otik 21/12/2004 et Alerte Secuser

Citation :

Le nouveau ver informatique Santy.a se propage actuellement sur internet, il ne s'agit pas d'un virus de type mass-mailing, il est question d'un Web-Worm. Santy.a a pour but (visible) de défigurer automatiquement des sites web hébergeant un forum phpBB (versions <= 2.0.10) en exploitant la vulnérabilité "highlight SQL Injection" présente au niveau du fichier "viewtopic.php". Note : ce ver, dans sa version actuelle, ne représente aucune menace pour les utilisateurs se rendant sur un site compromis
 
Santy.a s'autocopie dans le serveur compromis sous le nom "m1ho2of", il identifie ensuite des nouvelles cibles potentielles via le moteur de recherche Google (en utilisant le terme "viewtopic.php" ). Plusieurs milliers de sites (40.000) ont d'ores et déjà été détournés, les pages ".htm", ".php", ".asp", ".shtm", ".jsp" et ".phtm" sont modifiées et remplacées par le code suivant : This site is defaced!!! NeverEverNoSanity WebWorm generation x. (où X représente la génération de l'infection).
 
Il existe actuellement plus de 6 Millions de forums potentiellement vulnérables à cette attaque (d'où un risque qualifié d'Elevé par K-OTik Security). La menace pourrait être atténuée si Google bloquait la recherche des mots "viewtopic.php" et "phpBB".
 
Update : L'équipe technique de Google vient de bloquer les requêtes générées par Santy.a, ce qui empêchera l'identification et la compromission de nouveaux serveurs.
 
Solution
 
- Migrer vers phpBB version 2.0.11 ou modifier le fichier vulnérable.
- Nous recommandons fortement la mise à jour de PHP (utiliser 4.3.10 ou 5.0.3) car une autre vulnérabilité critique, non exploitée par ce ver, pourrait être, dans l'avenir, utilisée comme vecteur de propagation/compromission de serveurs web (sous PHP <= 4.3.9 ou <= 5.0.2).


/!\ Nouveau Zafi/Erkez pour Noël /!\ W32.Erkez.D@mm (Symantec), W32/Zafi.d@MM (Mac Afee) , W32/Zafi-D (Sophos) , WORM_ZAFI.D (Trend) et Win32.Zafi.D (Computer Associates)
Grosse alerte partout : Zafi.D se propage en tentant de se faire passer pour une carte de Noël Bulletin K-Otik 14/12/2004 et Alerte Secuser
Propagation :

  • mail en différentes langues (anglais, allemand, français, italien, russe) selon l'adresse du destinataire avec, pour le français, le sujet en "Joyeux Noël!" (avec ou sans "Re:" ou "FW:" ), le corps de message en "Joyeux Noel!" (les deux mots sont séparés par un smiley) puis ":) [nom de l'expéditeur]" avec comme pièce jointe un fichier dont le nom aléatoire contient "postcard", "link", "christmas" ou "index" avec comme extension pif, cmd, bat, com ou zip.
  • P2P : il se copie dans les répertoires dont le nom comporte les mots share, upload et music sous les noms winamp 5.7 new!.exe et ICQ 2005a new!.exe


Symptômes :  

  • lors de son exécution il affiche le message Title: CRC: 04F7Bh Message: Error in packed file!
  • se copie sous le nom %System%\Norton Update.exe
  • s'installe dans la BDR sous la clé HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run afin de démarrer "Wxp4" = "%System%\Norton Update.exe" avec Windows
  • crée aussi la clé HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Wxp4 où les infos du virus sont stockées
  • il se copie aussi dans le répertoire %System%\ sous des noms de fichiers aléatoires comportant 8 caractères et une extension .dll. Ces fichiers sont soit des copies du virus, soit des logs de ce que le virus fait ou récupère (comme les adresse mails à qui il va s'auto-envoyer)


Action :

  • essaye d'arrêter les processus d'antivirus (contenant syman viru trend secur panda cafee sopho kasper et de firewall, ainsi que les processus reged msconfig task pour rendre sa recherche moins facile
  • essaye de se conencter au domaine microsoft.com
  • ouvre une backdoor sur le TCP 8181 pour attendre les commandes de son auteur


/!\ Virus Anzae/Inzae destructeur de fichiers /!\ W32.Inzae.A@mm (Symantec), W32/Anzae.worm.a (Mac Afee) , W32/Anzae-A (Sophos) et WORM_ANZAE.A (Trend)
Propagation : mail en espagnol avec sujet en "Re:" et pièce jointe en  .zip contenant le virus en .pif (il faut donc en vouloir pour le lancer :D)
 
Symptômes :  

  • lors de son exécution il affiche une série de popups en espagnol et un compteur de 0 à 50. Puis une dernière image blanche qui remplit l'écran avec écrit "Pulse CONTROL + 0 + 8 + N + 6 PARA PASAR VER LAS FOTOS SIGUIENTES..."
  • se copie sous le nom %System%\svchosl.pif
  • s'installe dans la BDR sous la clé HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run afin de démarrer "Svchost"="%System%\svchosl.pif" avec Windows
  • crée aussi les fichiers suivants dans le répertoire %system%: inzax.exe, sw.exe, sx.exe, sz.exe et m.zip
  • il se copie aussi dans tous les disques C D E et F sous les noms codm, extasis8.pif, inzae.pif, ph003.pif, rd2_roberto.pif, simbolic3.pif et sin_mas_menos.pif


Action : il efface tous les fichiers du disque sur lequel il est lancé comportant les extensions suivantes .asm .asp .bdsproj .bmp .c .cpp .cs .csproj .css .doc .dpr .frm .gif .h .htm .html .iso .jpeg .jpg .mdb .mp3 .nfm .nrg .pas .pcx .pdf .php .ppt .rar .rc .rc2 .reg .resx .rpt .sln .txt .vb .vbp .vbproj .wav et .xls (autant dire tous les fichiers de type courants pour des données perso ou de boulot)
 
/!\ Virus Yanz /!\ W32.Yanz.B@mm (Symantec), W32/Yanz.b@MM (Mac Afee) et W32/Favsin-A (Sophos)
Propagation : mail et P2P

  • adresse destinataire trouvée dans les fichiers sur le disque dur, le virus scanne les fichiers avec les extensions suivantes : [/i]adb asp dbx doc htm html jsp rtf txt xml[/i].  
  • l'expéditeur est construit à partir d'une liste de noms prédéfinis codée dans le virus et du domaine du destinataire (contient les Yanzi ou singer)
  • sujet (contient Yanzi, singer ou I hate spyware) et corps de message qui contient dans 90% des cas au moins Yanzi
  • pièce jointe avec un des noms suivants : Sun_YanZi, Huai_Tian_Qi, Sun_Yanzi_Mp3, Great_Asia_Singer, World_Tour_Sun_YanZi avec comme extension .pif, .zip, .scr.
  • par P2P il se copie dans les répertoires comportant le mot"shar" sous un nom de fichier qui contient Yanzi puis une extension en .avi .mp3 .mpeg .mpg puis .exe


Symptômes :  

  • lors de son exécution il affiche une popup titrée "Windows Panic" avec le texte "No Windows. Yes doors and holes."
  • se copie dans le répertoire %system% sous les noms Dong_Shi.exe et NvCpl.exe
  • s'installe dans la BDR sous la clé HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run afin de démarrer "NvCpl"=%System%\NvCpl.EXE avec Windows
  • crée aussi les fichiers suivants : C:\Yanzi.htm, %Windir%\Sun_YanZI.zip  (fichier zip qui contient Sun_Yan_Zi-Shen_Q1.mp3.pif - une copie du virus), %System%\Huai_Tian_Q1.sys (fichier zip MIME-Encodé qui contient Sun_Yan_Zi-Shen_Q1.mp3.pif - une copie du virus), %System%\I_am_Sun_Yanzi.sys (le virus MIME-Encodé)et YanZi.vbs créé dans le répertoire courant (là où les pièces jointes sont stockées)


Action :

  • YanZi.vbs est exécuté automatiquement. Il crée et lance sun.exe
  • sun.exe crée 3 fichiers jpg qui ont pour préfixe "SuN" dans le répertoire %Temp%
  • les fichiers jpg sont ouverts. 2 sont des images de visages de femmes asiatiques, mais le troisième est un jpg mal formé qui essaye en exploitant la faille patchée au mois de Septembre MS04-028 (JPEG/GDI+)de télécharger et exécuter un trojan (sauvegardé en tant que m00.exe)


/!\ Encore Iframe /!\ Alerte - Attaques multiples via la faille IFRAME d'Internet Explorer Article K-Otik 21/11/2004
Cette faille non patchée continue à être exploitée à fond. J'espère au moins que MS fournira le patch début Décembre (si c'est déja corrigé ils ne devraient même pas attendre le 2ème Mardi du mois)
 
/!\ Nouvelle version de Sober /!\ W32.Sober.I@mm (Symantec), W32/Sober.j@MM (Mac Afee) , W32/Sober-I (Sophos) , WORM_SOBER.I (Trend) , Win32.Sober.I (Computer Associates) et Sober.I (F-Secure)
Propagation : par mail

  • adresse destinataire trouvée dans les fichiers sur le disque dur, le virus scanne les fichiers avec les extensions suivantes : [/i]abc abd abx adb ade adp adr asp bak bas cfg cgi cls cms csv ctl dbx dhtm doc dsp dsw eml fdb frm hlp imb imh imm inbox ini jsp ldb ldif log mbx mda mdb mde mdw mdx mht mmf msg nab nch nfo nsf nws ods oft php pl pmr pp ppt pst rtf shtml slk sln stm tbb txt uin vap vbs vcf wab wsh xhtml xls xml[/i].  
  • l'expéditeur est choisi dans la liste des adresses trouvées sur le pc ou est construit à partir d'une liste de noms prédéfinis codée dans le virus et du domaine du destinataire
  • corps de message en anglais ou allemand (les domaines .de .ch .at .li et .gmx recevront le message en allemand) qui incite à lancer la pièce jointe pour diverses raison. Il peut même y avoir un texte disant que la pièce jointe est certifiée non vérolée  
  • pièce jointe avec un des noms suivants : stuff, your_docs, private, ohyeah, photo, shock, thatshard, oh_no, article, more_infos, ReMailer, EM., mail, check_this, p_message, yourmail, idiot, painfulness, Jokers, Kundeninfo, ReMail, EM., mail, Jokes, Kundeninfo, Benutzer-Daten, -tarif, Antitext, lese-das, Aufpassen, Tools, daten, Foto, bild, hallo.zip avec comme extension .pif, .zip, .scr, .bat .com. Ou alors le nom du fichier est construit de la manière suivante [domaine du destinataire].[doc eml txt word xls DOC TXT ou EML].zip


Symptômes :  

  • à l'exécution de la pièce jointe il affiche une popup d'erreur titrée "WinZip Self-Extractor" avec le texte "WinZip_Data_Module is missing ~Error: {2A0DCCF6}"
  • se copie dans le répertoire %system% sous un nom [aléatoire].exe composé à partir des chaines suivantes : 32 crypt data diag dir disc expoler host log run service smss32 spool sys win
  • s'installe dans la BDR sous les clé RUN (HKLM et/ou HKCU) afin de démarrer "[aléatoire_1]" = "%System%\[aléatoire].exe"
  • les adresses et nom d'utilisateurs collectés sont stockés dans les fichiers winroot64.dal

et winsend32.dal dans le répertoire %system%

  • crée aussi les fichiers suivants toujours dans le répertoire %system% : dgssxy.yoi sysmms32.lla cvqaikxt.apk Odin-Anon.Ger de taille O octet qui servent à désactiver d'éventuelles versions précédentes de Sober sur le pc infecté, clonzips.ssc clsobern.isc  diagdatacrypt.exe  expolerlog.exe nonzipsr.noz zippedsr.piz qui sont des copies cryptées et archivées ou packagée UPX qui servent à l'envoi par mail du virus


Action : il semble qu'il peut télécharger et exécuter un fichier par le port TCP 37
 
/!\ premier virus utilisant la faille patchée MS04-032 (fichier metafile mal formé) /!\ Alerte - Un nouveau ver exploite la vulnérabilité Windows Metafile Images Alertes K-Otik 16/11/2004 , W32.Scard (Symantec), W32/Golten.worm (Mac Afee) , W32/Mofei-E W32/Mofei-F (Sophos) , WORM_GOLTEN.A (Trend) et  Win32.Golten.A Win32.Golten.B (Computer Associates)
Propagation :  

  • Une fois sur un pc il essaye de se propager par attaque NetBIOS dans les répertoires partagés des pcs du réseau local IP$ (ie si l'IP du PC est a.b.c.d il cherche dans le réseau les IP allant de a.b.c.1 à a.b.c.254) et si il obtient les droits administrateurs (il teste une liste prédéfinie de login et mot de passe), il se copie (sous le nom alerter.exe ou alerter16.exe) sous \\<machine cible>\ADMIN$\System32\Alerter.exe  
  • Mail avec comme sujet "Latest News about Arafat!!!", corps de message "Hello guys!

Latest news about Arafat!
Unimaginable!!!!!" et deux fichiers attachés arafat_1.emf qui est un vraie image des funérailles et arafat_2.emf qui est fichier malicieux exploitant la faille MS04-032 et qui sera détecté comme Bloodhound.Exploit.17 (Symantec), Exploit-MS04-032!gdi (Mac Afee), EXPLOIT-MS04-032 (Trend) et Win32.MS04-032!exploit (Computer Associates)
Symptômes :  

  • copie les fichiers suivants dans le répertoire %System% : Alerter.exe, SPO0LSV.EXE , sptres.dll. Le virus modifie la date des deux derniers fichiers en 19/07/2002 9:48:48 afin de mieux les masquer
  • modifie le chemin vers le service d'alerte windows dans la base de registre HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Alerter "ImagePath"[i]. La vraie valeur est [i]%SystemRoot%\System32\svchost.exe -k LocalService et la nouvelle devient %SystemRoot%\System32\Alerter.exe
  • copie le fichier suivant dans le répertoire %System et l'exécute : spc.exe qui est en fait un trojan backdoor qui installe ensuite comwsock.dll, dmsock.dll, inetcfg.h, mst.tlb, SCardSer.exe


Actions :  

  • injecte la dll sptres.dll dans le processus explorer.exe
  • le trojan injecte ses dll dans les processus suivant : explorer.exe iexplore.exe inetinfo.exe lsass.exe msimn.exe msmsgs.exe msnmsgr.exe outlook.exe qq.exe et svchost.exe. Ces dll permettent d'ouvrir des backdoors sur des ports TCP aléatoires avec les processus précédents
  • le trojan crée aussi un service nommé NetLog par les clé suivantes HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\netlog et HKEY_LOCAL_MACHINE\SYSTEM\Enum\Root\LEGACY_NETLOG avec pour caractéristiques Nom: netlog, Chemin: %SystemRoot%\system32\SCardSer.exe et Description: Net Login Helper


/!\ nouveau Beagle/Bagle /!\ W32.Beagle.AX@mm (Symantec) , WORM_BAGLE.AX (Trend) et Win32.Bagle.AS (Computer Associates)
Propagation : Par mail en anglais ( sujet majoritairement en "Re:..." ) avec fichier attaché protégé par mot de passe (donné dans le corps du message), nommé Information, Details, text_document, Updates, Readme, Document, Info, Details, MoreInfo ou Message avec comme extension .hta .vbs
.exe .scr .com .cpl
ou .zip et partage sous des noms de logiciels connus (MS Office, Nero Opera, WinAmp ACDSee... dans les répertoires dont le nom contient "shar"
Symptômes :

  • Fichier sysinit.exe dans le répertoire %system% et clé RUN correspondante dans la base de registre
  • Affiche une popup d'erreur "Error! Can't find a viewer associated with the file"


Actions :

  • arrête les processus suivants : ATUPDATER.EXE, AUPDATE.EXE, AUTODOWN.EXE, AUTOTRACE.EXE, AUTOUPDATE.EXE, AVPUPD.EXE, AVWUPD32.EXE, AVXQUAR.EXE, AVXQUAR.EXE, CFIAUDIT.EXE, DRWEBUPW.EXE, ESCANH95.EXE, ESCANHNT.EXE, FIREWALL.EXE, ICSSUPPNT.EXE, ICSUPP95.EXE, LUALL.EXE, MCUPDATE.EXE, NUPGRADE.EXE, OUTPOST.EXE, sys_xp.exe, sysxp.exe, UPDATE.EXE, winxp.exe, kavsvc.exe
  • supprime les clé suivantes dans les clés RUN : My AV, Zone Labs Client Ex, 9XHtProtect, Antivirus, Special Firewall Service, service, Tiny AV, ICQNet, HtProtect, NetDy, Jammer2nd, FirewallSvr, MsInfo, SysMonXP, EasyAV, PandaAVEngine, Norton Antivirus AV, KasperskyAVEng, SkynetsRevenge, ICQ Net afin d'empêcher ces logiciels de démarrer avec Windows
  • ouvre une backdoor sur le port 2002 en TCP afin de transformer le pc en relais email
  • envoie une requète "HTTP GET" via le port 80 en TCP au domaine webnomey.net où il essaye de contacter un script .php
  • essaye de télécharger un fichier à partir d'un site (je ne donne pas le lien ici) pour le sauver en tant que 1.exe


/!\ Bofra continue son développement /!\ W32.Bofra.B@mm W32.Bofra.C@mm et W32.Bofra.E@mm (Symantec), W32/Bofra-D W32/Bofra-E W32/Bofra-F W32/Bofra-G et W32/Bofra-H (Sophos) et Win32.Bofra.G et Win32.Bofra.H (Computer Associates)
Juste pour les citer car les noms des virus changent mais leur propagation (mail avec texte en anglais pour inciter à cliquer sur un lien malicieux), symptômes (fichier %System%\[aléatoire]32.exe et clé de registre dans HKLM/..../RUN nommée "Reactor[chiffre]" = "%System%\[aléatoire]32.exe" et actions (backdoor TCP, daemon irc, attente de commande irc par connexion sur un serveur, injection dans l'explorer pour se cacher de la liste des processus...)
J'avais oublié de préciser qu'après le 15 Décembre le virus sera inactivé.
En tout cas tout le monde a l'air de s'être mis d'accord sur le nom Bofra
 
/!\ Protection contre la faille non patchée IFRAME /!\ Bloodhound.Exploit.18 (Symantec), Exploit-IframeBO (Mac Afee), HTML_MYDOOM.AG et HTML_MYDOOM.AH (Trend) et JS/Bofra-A (Sophos)
Description : Encore une faille non patchée qui sera protégée heureusement par la plupart des antivirus (cf Un nouveau ver exploite la faille IFRAME d'Internet Explorer Article K-Otik 08/11/2004)
 
/!\ nouveau BOFRA/Mydoom qui exploite une faille IE non patchée /!\ W32.Bofra.D@mm et W32.Bofra.A@mm (Symantec), W32/Mydoom.ag@MM et W32/Mydoom.ah@MM (Mac Afee), WORM_MYDOOM.AG WORM_MYDOOM.AH , WORM_BOFRA.A WORM_BOFRA.B et WORM_BOFRA.C (Trend), W32/Bofra-A W32/Bofra-B et W32/Bofra-C (Sophos) et Win32.Mydoom.AF Win32.Mydoom.AG et Win32.Mydoom.AH (Computer Associates)
Propagation :  

  • Par mail en anglais dont le sujet est Hi!, <blank>, <random characters>, Confirmation, funny photos :), hello, hey!, l'en-tête du mail contient une validation disant [i]X-AntiVirus:[i] vérifié par tel ou tel antivirus et le corps du message (voir un site x, voir des photos, recevoir du fric par paypal.........) essaye d'amene


Message édité par minipouss le 10-12-2006 à 22:02:58
n°1509805
minipouss
un mini mini
Posté le 30-03-2004 à 09:57:06  profilanswer
 

===================
5. Top10/Statistiques des Virus
===================
 
Sophos (mise à jour mensuelle):  Juin 2006
 
http://www.sophos.com/images/eng/topten/top10viruses_june2006.gif
 
copyright : Sophos
 
Top graphique des virus par mois, semestre ou année chez Sophos
 
Cartes du monde chez F-Secure : Cartes du niveau épidémique par famille de virus ou globale des dernière heure, dernières 24h, derniers 30 jours ou dernière année (à noter un onglet aussi sur les dernières alertes ou les statistiques
 
Info sur les virus récents chez Trend :
  Trend Micro Virus Info
Cartes de virus Trend Micro (mise à jour journalière de la carte mondiale des malwares):
  Trend Micro Virus Map
 
Trend Micro Spyware/Grayware Top 10:
  Trend Micro Grayware Encyclopedia


Message édité par minipouss le 14-07-2006 à 19:33:16
n°1509817
minipouss
un mini mini
Posté le 30-03-2004 à 10:07:46  profilanswer
 

=============================
6. Archives des Failles de Sécurité Microsoft
=============================
 
## Un souci de plus dans IE ## Internet Explorer Iframe Folder Deletion Weakness Secunia Advisories 28/02/2006
Versions concernées : IE 6.x
 
Description :  
Le problème est dû au fait que les partages réseaux peuvent être inclus dans une iframe dans laquelle une partie seulement du contenu est visible pour l'utilisateur. Cela peut être exploité pour amener l'utilisateur à effacer des répertoires locaux via par exemple une iframe référençant "\\127.0.0.1\c$\".
Mais cela nécessite que l'utilisateur sélectionne l'icône d'un dossier, appuie sur la touche "Suppr" puis accepte la boite de dialogue 'Effacement d'un dossier'
Cela peut aussi servir à faire un glisser/déposer d'une image dans un répertoire local (Cf faille précédente annoncée dans ce topic sur IE en date du 13/02/2006)
 
Solution : pas de solution pour le moment mais encore une fois il faut une forte participation de l'utilisateur (mais ..... on connait les utilisateurs :D )
 
 
## Faille dans Powerpoint 2000(MS06-010) ## Microsoft PowerPoint Information Disclosure Vulnerability Bulletin FrSIRT 14/02/2006
Descriptif :

Citation :

Une vulnérabilité a été identifiée dans Microsoft PowerPoint, elle pourrait être exploitée par des attaquants distants afin d'obtenir des informations sensibles. Ce problème résulte d'une erreur présente au niveau de l'interaction entre l'application et le navigateur pendant le traitement de certaines données HTML, ce qui pourrait être exploité par des attaquants afin d'accéder au dossier Temporary Internet Files (TIFF) et obtenir des informations importantes susceptibles de donner à l'attaquant les moyens de compromettre davantage le système affecté.

Versions vulnérables :

  • Office 2000 SP3
  • PowerPoint 2000  


Solution : appliquer le patch Vulnerability in PowerPoint 2000 Could Allow Information Disclosure (889167)
 
 
## Vulnérabilité dans les versions Coréennes de logiciels Microsoft (MS06-009) ## Microsoft Windows Korean Input Method Editor Vulnerability Bulletin FrSIRT 14/02/2006
Descriptif :

Citation :

Une vulnérabilité a été identifiée dans Microsoft Windows et Microsoft Office, elle pourrait être exploitée par des attaquants afin de compromettre un système vulnérable. Cette faille résulte d'une erreur présente au niveau de l'éditeur IME pour la langue coréenne qui expose de manière insécurisée certaines fonctions exécutées dans le contexte LocalSystem, ce qui pourrait être exploité par un attaquant pouvant accéder, localement ou via le Bureau à distance ou les services Terminal Server, à l'écran d'identification d'un système vulnérable afin d'exécuter des commandes arbitraires avec des privilèges SYSTEM.
 
Note : Seules les versions coréennes de Windows et Office sont directement concernées par cette vulnérabilité, à l'exception de Microsoft Office 2003 Proofing Tools.

Versions vulnérables : versions coréennes uniquement, sauf pour Office 2003 Proofing Tools  
 
Solution : appliquer le patch Vulnerability in the Korean Input Method Editor Could Allow Elevation of Privilege (901190)
 
 
## Faille dans le service Webclient de Windows (MS06-008) ## Microsoft Windows WebClient Buffer Overflow Vulnerability Bulletin FrSIRT 14/02/2006
Descriptif :

Citation :

Une vulnérabilité a été identifiée dans Microsoft Windows, elle pourrait être exploitée par des attaquants afin de compromettre un système vulnérable. Ce problème résulte d'une erreur de type buffer overflow présente au niveau du service WebClient qui ne gère pas correctement certaines requêtes malformées, ce qui pourrait être exploité par des attaquants authentifiés afin d'exécuter des commandes arbitraires.
 
Note : L'exploitation de cette vulnérabilité par des attaquants distants non-authentifiés est possible uniquement si le compte "Invité" est activé.

Versions vulnérables :

  • XP SP1, SP2 et Pro x64 Edition
  • Windows Server 2003, Server 2003 SP1, Server 2003 (Itanium), Server 2003 SP1 (Itanium) et Server 2003 x64 Edition  


Solution : appliquer le patch Vulnerability in Web Client Service Could Allow Remote Code Execution (911927)
 
 
## Risque avec des paquets IGMP sous Windows(MS06-007) ## Microsoft Windows IGMP Handling Denial of Service Issue Bulletin FrSIRT 14/02/2006
Descriptif :

Citation :

Une vulnérabilité a été identifiée dans Microsoft Windows, elle pourrait être exploitée par des attaquants distants afin de causer un déni de service. Ce problème résulte d'une erreur présente au niveau du traitement de certains paquets IGMP (Internet Group Management Protocol) spécialement conçus, ce qui pourrait être exploité par des attaquants non-authentifiés afin d'altérer le fonctionnement d'un système vulnérable.

Versions vulnérables :

  • XP SP1, SP2 et Pro x64 Edition
  • Windows Server 2003, Server 2003 SP1, Server 2003 (Itanium), Server 2003 SP1 (Itanium) et Server 2003 x64 Edition  


Solution : appliquer le patch Vulnerability in TCP/IP Could Allow Denial of Service (913446)
 
 
## Vulnérabilité avec le plugin Windows Media Player (MS06-006) ## Microsoft Windows Media Player Plugin Remote Vulnerability Bulletin FrSIRT 14/02/2006
Descriptif :

Citation :

Une vulnérabilité a été identifiée dans le plugin Windows Media Player, elle pourrait être exploitée par des attaquants distants afin de compromettre un système vulnérable. Ce problème résulte d'une erreur de type buffer overflow présente au niveau du traitement d'un tag "embed src" excessivement long, ce qui pourrait être exploité par des attaquants distants afin d'exécuter des commandes arbitraires en incitant un utilisateur à visiter une page web malicieuse en utilisant un navigateur autre que Microsoft Internet Explorer (e.g. Netscape ou Firefox).

Versions vulnérables :

  • Win 2000 SP4
  • XP SP1, SP2 et Pro x64 Edition
  • Windows Server 2003, 2003 SP1 et Server 2003 x64 Edition


Solution : appliquer le patch Vulnerability in Windows Media Player Plug-in with Non-Microsoft Internet Browsers Could Allow Remote Code Execution (911564)
 
 
## Faille dans Windows Media Player (MS06-005) ## Microsoft Windows Media Player BMP Handling Vulnerability Bulletin FrSIRT 14/02/2006
Descriptif :

Citation :

Une vulnérabilité a été identifiée dans Microsoft Windows Media Player, elle pourrait être exploitée par des attaquants distants afin de compromettre un système vulnérable. Ce problème résulte d'une erreur de type buffer overflow présente au niveau du traitement des images bitmap (.bmp), ce qui pourrait être exploité par des attaquants distants afin d'exécuter des commandes arbitraires en incitant un utilisateur à visiter une page web spécialement conçue ou à ouvrir un document Word contenant une image Windows Media Player (.wmp) malformée.

Versions vulnérables :

  • Windows Media Player 7.1 sous Win 2000 SP4
  • Windows Media Player 9 sous Win 2000 SP4, XP SP1 et SP2 et Windows Server 2003
  • Windows Media Player 10 sous XP SP1 et SP2


Solution : appliquer le patch Vulnerability in Windows Media Player Could Allow Remote Code Execution (911565)
 
 
## Vulnérabilité IE et WMF (MS06-004) ## Microsoft Internet Explorer WMF Memory Corruption Vulnerability Bulletin FrSIRT 14/02/2006
Descriptif :

Citation :

Une vulnérabilité a été identifiée dans Microsoft Internet Explorer, elle pourrait être exploitée par des attaquants distants afin de compromettre un système vulnérable. Le problème résulte d'une erreur présente au niveau du traitement de certaines images Windows Metafile (WMF) spécialement conçues, ce qui pourrait être exploité par des attaquants distants afin d'exécuter des commandes arbitraires en incitant un utilisateur à ouvrir une image malformée ou à visiter un site web malveillant en utilisant Internet Explorer.

Version vulnérable : IE 5.01 SP4 sous Win 2000 SP4  
 
Solution : passer à IE 6 SP1 ou appliquer le patch Cumulative Security Update for Internet Explorer (910620)
 
 
## Faille dans Internet Explorer ## Microsoft Internet Explorer Drag and Drop Events Timing Vulnerability Bulletin FrSIRT 13/02/2006
Versions concernées :  

  • IE 5.01 SP4 sous Win 2000 SP4
  • IE 6 SP1 sous Win 2000 SP4, XP SP1, 98, 98SE et Me
  • IE 6 sous XP SP2, Windows Server 2003, Server 2003 SP1, Server 2003 (Itanium), Server 2003 SP1 (Itanium), Server 2003 x64 Edition et XP Pro x64 Edition
  • IE 5.5 SP2 sous Me


Description :

Citation :

Une vulnérabilité a été identifiée dans Microsoft Internet Explorer, elle pourrait être exploitée par des attaquants distants afin de compromettre un système vulnérable. Ce problème résulte d'une erreur présente au niveau de la fonction glisser-déposer (Drag et Drop) qui ne valide pas correctement certains événements HTML (DHTML) dynamiques, ce qui pourrait être exploité par un site web malveillant afin de contourner les mesures de sécurité et placer des fichiers malicieux au sein d'un système vulnérable en incitant un utilisateur à déplacer un objet depuis une fenêtre web spécialement conçue vers une seconde fenêtre pointant vers des ressources locales.
 
Note : L'exploitation de cette vulnérabilité nécessite une forte interaction avec l'utilisateur.

Solution : pas de solution pour le moment mais comme dit ci-dessus cela nécessite une forte participation de l'utilisateur (mais bon certains se feront avoir quand même :sarcastic:)
 
 
## Vulnérabilités dans Microsoft HTML Help Workshop ## Microsoft HTML Help Workshop "hhp" File Handling Buffer Overflow Issues Bulletin FrSIRT 06/02/2006
Versions concernées : Microsoft HTML Help Workshop =< 4.74.8702.0
 
Description :

Citation :

Plusieurs vulnérabilités ont été identifiées dans Microsoft HTML Help Workshop, elles pourraient être exploitées par des attaquants afin de compromettre un système vulnérable. Ces failles résultent d'erreurs de type buffer overflow présentes au niveau de la gestion de certains fichiers ".hhp" contenant un champ "Compiled File", "Contents File", "Index File", "Sample list file", "Error log file" ou "Full text search stop list file" excessivement long, ce qui pourrait être exploité par des attaquants afin d'exécuter des commandes arbitraires en incitant un utilisateur à ouvrir un fichier ".hhp" malicieux.

Solution : pas de solution pour le moment
 
 
## Soucis dans certains services de Windows ## Microsoft Windows Service ACLs Local Privilege Escalation Vulnerability Bulletin FrSIRT 02/02/2006
Versions concernées : XP SP1 et Windows Server 2003 Gold  
 
Description :

Citation :

Une vulnérabilité a été identifiée dans Microsoft Windows, elle pourrait être exploitée par des utilisateurs malveillants afin d'obtenir des privilèges élevés. Ce problème résulte d'une erreur de permissions où des utilisateurs authentifiés et non-privilégiés peuvent, par défaut, modifier la configuration des services Simple Service Discovery Protocol (SSDP) et Universal Plug et Play Device Host (UPnP), ce qui pourrait être exploité par des attaquants locaux afin de modifier les fichiers associés à un service vulnérable et exécuter des programmes malicieux avec des privilèges élevés.
 
Note : Les services NetBIOS over TCP (NetBT) et Smart Card (SCardSvr) sont affectés par cette faille de sécurité. Cependant, l'exploitation n'est possible que si l'attaquant possède déjà des privilèges élevés.

Solution : passer à XP SP2 ou Windows Server 2003 SP1, ou alors vous pouvez ou changer les permissions des services affectés comme dit ici http://www.microsoft.com/technet/s [...] 14457.mspx
 
 
## Faille dans Outlook et Exchange (MS06-003) ## Microsoft Outlook / Exchange Remote Code Execution Vulnerability Bulletin FrSIRT 10/01/2006
Descriptif :

Citation :

Une vulnérabilité a été identifiée dans Microsoft Outlook et Microsoft Exchange, elle pourrait être exploitée par des attaquants distants afin de compromettre un système vulnérable. Le problème résulte d'une erreur de type buffer overflow présente au niveau du traitement de certains fichiers attachés TNEF (Transport Neutral Encapsulation Format), ce qui pourrait être exploité par des attaquants distants afin d'exécuter des commandes arbitraires en envoyant vers un système vulnérable un email spécialement conçu.

Versions vulnérables :

  • Office 2000 SP3 et Outlook 2000
  • Office XP SP3 et Outlook 2002
  • Office 2003 SP1, SP2 et Outlook 2003
  • Exchange Server 5.0 SP2, Exchange Server 5.5 SP4 et Exchange 2000 SP3 (avec Post-SP3 Update Rollup)  


Solution : appliquer le patch Vulnerability in TNEF Decoding in Microsoft Outlook and Microsoft Exchange Could Allow Remote Code Execution (902412)
 
 
## Vulnérabilité au niveau des fontes EOT (MS06-002) ## Microsoft Windows Embedded Fonts Heap Overflow Vulnerability Bulletin FrSIRT 10/01/2006
Descriptif :

Citation :

Une vulnérabilité critique a été identifiée dans Microsoft Windows, elle pourrait être exploitée par des attaquants distants afin de compromettre un système vulnérable. Le problème résulte d'une erreur de type heap overflow présente au niveau de la librairie "T2EMBED.DLL" et sa fonction "MTX_LZCOMP_UnPackMemory" qui ne gèrent pas correctement certaines polices au format EOT (Embedded Open Type), ce qui pourrait être exploité par des attaquants distants afin d'exécuter des commandes arbitraires en incitant un utilisateur à visiter une page Web spécialement conçue ou à lire un email malicieux.

Versions vulnérables :

  • Windows 2000 SP4
  • XP SP1 et SP2
  • XP Pro x64 Edition
  • Windows Server 2003, Server 2003 SP1, Server 2003 (Itanium) et Server 2003 SP1 (Itanium)
  • Windows Server 2003 x64 Edition
  • 98, 98SE et Me


Solution : appliquer le patch Vulnerability in Embedded Web Fonts Could Allow Remote Code Execution (908519)
 
 
## Une nouvelle faille dans le format WMF (MS06-001) ## Microsoft Windows WMF Handling Remote Code Execution Vulnerability Bulletin FrSIRT 05/01/2006
Descriptif :

Citation :

Une vulnérabilité a été identifiée dans Microsoft Windows, elle pourrait être exploitée par des attaquants distants afin de compromettre un système vulnérable. Le problème résulte d'une erreur présente au niveau de l'outil "Aperçu des images et des télécopies Windows" qui ne gère pas correctement certaines images Windows Metafile (WMF) spécialement conçues, ce qui pourrait être exploité par des attaquants distants afin d'exécuter des commandes arbitraires en incitant un utilisateur à ouvrir une image malformée ou à visiter un site web malveillant en utilisant Internet Explorer.

Versions vulnérables :

  • Windows 2000 SP4
  • XP SP1 et SP2
  • XP Pro x64 Edition
  • Windows Server 2003, Server 2003 SP1, Server 2003 (Itanium) et Server 2003 SP1 (Itanium)
  • Windows Server 2003 x64 Edition
  • 98, 98SE et Me


Solution : appliquer le patch Vulnerability in Graphics Rendering Engine Could Allow Remote Code Execution (912919)
 
 
## Vulnérabilités dans Internet Explorer (MS05-052) ## Microsoft Internet Explorer Multiple Remote Vulnerabilities Bulletin FrSIRT 11/10/2005 et MDT2DD.DLL COM Object Uninitialized Heap Memory Vulnerability eEye Digital Security Advisories 11/10/2005
Descriptif :

Citation :

Plusieurs vulnérabilités critiques ont été identifiées dans Microsoft Internet Explorer, elles pourraient être exploitées par des attaquants distants afin de compromettre un système vulnérable. Le problème résulte d'erreurs de type buffer overflow présentes au niveau de l'initialisation de certains objets COM en tant que contrôleurs ActiveX, ce qui pourrait être exploité via un site web malicieux afin d'exécuter des commandes arbitraires avec les privilèges de l'utilisateur connecté.

Versions vulnérables :

  • IE 5 SP4
  • IE 5.5 SP2 sous Windows ME
  • IE 6 SP1 - tous les Windows (98, 98SE, Me, 2000 SP4, XP SP1)
  • IE 6 sous - XP SP2 et x64 et Windows Server 2003 / Windows Server 2003 SP1 et x64


Solution : appliquer le patch Cumulative Security Update for Internet Explorer (896688)
 
 
## Patchwork de failles dans Windows (MS05-051) ## Microsoft Windows MSDTC and COM+ Multiple Vulnerabilities Bulletin FrSIRT 11/10/2005, Microsoft Windows MSDTC and COM+ Vulnerabilities Secunia Advisories 11/10/2005, Microsoft Distributed Transaction Coordinator Memory Modification Vulnerability eEye Digital Security Advisories 11/10/2005 et Microsoft Distributed Transaction Controller Packet Relay DoS Vulnerability et Microsoft Distributed Transaction Controller TIP DoS Vulnerability iDefense Security Advisory 11/10/2005
Descriptif :

Citation :

Plusieurs vulnérabilités ont été identifiées dans Microsoft Windows, elles pourraient être exploitées par des attaquants afin d'exécuter des commandes arbitraires ou causer un déni de service.
 
Le premier problème résulte d'une erreur de type buffer overflow présente au niveau du Microsoft Distributed Transaction Coordinator (MSDTC) qui ne gère pas correctement certaines requêtes malformées, ce qui pourrait être exploité par des attaquants locaux ou distants afin d'exécuter des commandes arbitraires.
 
La seconde faille est due à une erreur de type buffer overflow présente au niveau de COM+ qui ne gère pas correctement certaines requêtes malformées, ce qui pourrait être exploité par des attaquants locaux ou distants afin d'exécuter des commandes arbitraires.
 
La troisième et la quatrième vulnérabilité sont présentes au niveau du Distributed Transaction Coordinator qui ne gère pas correctement certaines requêtes malformées, ce qui pourrait être exploité par des attaquants distants afin de causer un déni de service.

Versions vulnérables :

  • Windows 2000 SP4
  • XP SP1 et SP2
  • XP Pro x64 Edition
  • Windows Server 2003, Server 2003 SP1, Server 2003 (Itanium) et Server 2003 SP1 (Itanium)
  • Windows Server 2003 x64 Edition


Solution : appliquer le patch Vulnerabilities in MSDTC and COM+ Could Allow Remote Code Execution (902400) mais attention aux régressions [url=http://www.frsirt.com/actualite/20051015.KB909444.php]
Régressions et effets secondaires du correctif de sécurité MS05-051[/url]

Citation :

Microsoft a annoncé, via son bulletin  909444, la découverte de plusieurs régressions liées à l'installation du correctif de sécurité MS05-051. Ces problèmes concernent les systèmes Windows 2000, XP et 2003, où les permissions du répertoire "%windir%\registration" (contenant les fichiers .clb) ont été modifiées par l'administrateur.
 
Dans le cas où ces permissions ne sont pas celles définies par défaut, l'installation du correctif MS05-051 peur provoquer le dysfonctionnement de certains services et/ou applications (firewall, connexions réseau, IIS).
 
Afin de résoudre ces problèmes, il est recommandé de restaurer les permissions du catalogue COM+ (%windir%\registration)


 
 
## Vulnérabilité dans DirectShow (MS05-050) ## Microsoft Windows DirectShow Remote Code Execution Bulletin FrSIRT 11/10/2005, Microsoft Windows DirectShow AVI Handling Vulnerability Secunia Advisories 11/10/2005 et Vulnerability in DirectShow Could Allow Remote Code Execution eEye Digital Security Advisories 11/10/2005
Descriptif :

Citation :

Une vulnérabilité critique a été identifiée dans Microsoft DirectX, elle pourrait être exploitée par des attaquants distants afin de compromettre un système vulnérable. Le problème résulte d'une erreur de type buffer overflow présente au niveau de DirectShow qui ne gère pas correctement certains fichiers media malformés, ce qui pourrait être exploité par des attaquants afin d'exécuter de commandes arbitraires en incitant un utilisateur à visiter une page HTML malicieuse ou à ouvrir un fichier ".avi" spécialement conçu.

Versions vulnérables : toutes les combinaisons Directx 7.x, 8.x et 9.x avec Windows 2000 SP4, XP (SP1, SP2 et x64) ou Windows Server 2003 (normal, Itanium et x64)
 
Solution : appliquer le patch Vulnerability in DirectShow Could Allow Remote Code Execution (904706)
 
 
## Trois failles dans Windows (Shell et Web View) (MS05-049) ## Microsoft Windows Shell and Web View Vulnerabilities Bulletin FrSIRT 11/10/2005 et Microsoft Windows Shell and Web View Three Vulnerabilities Secunia Advisories 11/10/2005
Descriptif :

Citation :

Plusieurs vulnérabilités ont été identifiées dans Microsoft Windows, elles pourraient être exploitées par des attaquants distants afin de compromettre un système vulnérable.
 
La première et la seconde faille sont dues à des erreurs présentes au niveau de la gestion de certaines propriétés associées aux fichiers ".lnk", ce qui pourrait être exploité par des attaquants afin d'exécuter des commandes arbitraires en incitant un utilisateur à ouvrir un fichier ".lnk" spécialement conçu.
 
La troisième vulnérabilité résulte d'une erreur présente au niveau de Web View et le traitement de certains champs inclus avec des documents malformés, ce qui pourrait être exploité par des attaquants afin d'exécuter des commandes arbitraires en incitant un utilisateur à visionner un fichier spécialement conçu.

Versions vulnérables :

  • Windows 2000 SP4
  • XP SP1 et SP2
  • XP Pro x64 Edition
  • Windows Server 2003, Server 2003 SP1, Server 2003 (Itanium) et Server 2003 SP1 (Itanium)
  • Windows Server 2003 x64 Edition


Solution : appliquer le patch Vulnerabilities in Windows Shell Could Allow Remote Code Execution (900725)
 
 
## Vulnérabilité dans Windows et Exchange au niveau des CDO (MS05-048) ## Microsoft Collaboration Data Objects Code Execution Bulletin FrSIRT 11/10/2005 et Microsoft Collaboration Data Objects Buffer Overflow Vulnerability Secunia Advisories 11/10/2005
Descriptif :

Citation :

Une vulnérabilité a été identifiée dans Microsoft Windows et Microsoft Exchange, elle pourrait être exploitée par des attaquants distants afin de compromettre un système vulnérable. Le problème résulte d'une erreur de type buffer overflow présente aux niveaux des Collaboration Data Objects (CDO) qui ne gèrent pas correctement certains messages malformés, ce qui pourrait être exploité par des attaquants afin d'exécuter des commandes arbitraires en envoyant, vers CDOSYS et CDOEX, un message malformé.

Versions vulnérables :

  • Windows 2000 SP4
  • XP SP1 et SP2
  • XP Pro x64 Edition
  • Windows Server 2003, Server 2003 SP1, Server 2003 (Itanium) et Server 2003 SP1 (Itanium)
  • Windows Server 2003 x64 Edition
  • Microsoft Exchange 2000 Server SP3 avec Exchange 2000 Post-SP3 Update Rollup (août 2004)


Solution : appliquer le patch Vulnerability in the Microsoft Collaboration Data Objects Could Allow Remote Code Execution (907245)
 
 
## Encore une faille dans le Plug and Play de Windows (MS05-047) ## Microsoft Windows Plug and Play Remote Code Execution Bulletin FrSIRT 11/10/2005, Microsoft Windows Plug-and-Play Service Arbitrary Code Execution Secunia Advisories 11/10/2005 et Windows UMPNPMGR wsprintfW Stack Buffer Overflow Vulnerability eEye Digital Security Advisories 11/10/2005
Descriptif :

Citation :

Une vulnérabilité a été identifiée dans Microsoft Windows, elle pourrait être exploitée par des utilisateurs malveillants afin d'obtenir des privilèges élevés. Le problème résulte d'une erreur de type buffer overflow présente au niveau du service Plug and Play (PnP) qui ne gère pas correctement certaines requêtes malformées, ce qui pourrait être exploité par des attaquants authentifiés afin d'exécuter des commandes arbitraires avec des privilèges élevés.
 
Note : sous Windows 2000 et Windows XP SP1, un utilisateur authentifié pourrait exploiter cette vulnérabilité à distance. Sous Windows XP SP2, seul un administrateur peut accéder au service à distance. La vulnérabilité est donc, sous Windows XP SP2, exploitable en local uniquement.

Versions vulnérables :

  • Windows 2000 SP4
  • XP SP1 et SP2


Solution : appliquer le patch Vulnerability in Plug and Play Could Allow Remote Code Execution and Local Elevation of Privilege (905749)
 
 
## Vulnérabilité dans le Client Service Netware de Windows (MS05-046) ## Microsoft Client Service for NetWare Remote Code Execution Bulletin FrSIRT 11/10/2005 et Microsoft Windows Client Service for NetWare Buffer Overflow Secunia Advisories 11/10/2005
Descriptif :

Citation :

Une vulnérabilité a été identifiée dans Microsoft Windows, elle pourrait être exploitée par des attaquants distants afin de compromettre un système vulnérable. Le problème résulte d'une erreur de type buffer overflow présente au niveau du CSNW (Client Service for NetWare) qui ne gère pas correctement certaines requêtes malformées, ce qui pourrait être exploité par des attaquants afin d'exécuter des commandes arbitraires distantes.

Versions vulnérables :

  • Windows 2000 SP4
  • XP SP1 et SP2
  • Windows Server 2003 et SP1


Solution : appliquer le patch Vulnerability in the Client Service for NetWare Could Allow Remote Code Execution (899589)
 
 
## Faille dans le gestionnaire de connexion réseau de Windows (MS05-045) ## Microsoft Windows Network Connection Manager DoS Bulletin FrSIRT 11/10/2005
Descriptif :

Citation :

Une vulnérabilité a été identifiée dans Microsoft Windows, elle pourrait être exploitée par des attaquants locaux afin de causer un déni de service. Le problème résulte d'une erreur présente au niveau du gestionnaire de connexions réseau qui ne gère pas correctement certaines requêtes malformées, ce qui pourrait être exploité par des utilisateurs malveillants afin d'altérer le fonctionnement et les connexions d'un système vulnérable.

Versions vulnérables :

  • Windows 2000 SP4
  • XP SP1 et SP2
  • Windows Server 2003 et SP1


Solution : appliquer le patch Vulnerability in Network Connection Manager Could Allow Denial of Service (905414)
 
 
## Vulnérabilité dans le client FTP de Windows (MS05-044) ## Microsoft Windows FTP Client Directory Traversal Issue Bulletin FrSIRT 11/10/2005 et Microsoft Windows FTP Client Filename Validation Vulnerability Secunia Advisories 11/10/2005
Descriptif :

Citation :

Une vulnérabilité a été identifiée dans Microsoft Windows, elle pourrait être exploitée par des attaquants afin de compromettre un système vulnérable. Le problème résulte d'une erreur de type directory traversal présente au niveau de la gestion de certains fichiers dont le nom contient la séquence "../", ce qui pourrait être exploité afin de placer un fichier malicieux dans un répertoire arbitraire du système en incitant un utilisateur à télécharger, depuis un serveur FTP, un fichier spécialement conçu.

Versions vulnérables :

  • XP SP1
  • Windows Server 2003 et Server 2003 (Itanium)
  • IE 6 SP1 sous Windows 2000 SP4


Solution : appliquer le patch Vulnerability in the Windows FTP Client Could Allow File Transfer Location Tampering (905495)
 
 
## Faille dans XP concernant le sans-fil ## Microsoft Windows Wireless Zero Configuration Information Disclosure Bulletin FrSIRT 06/10/2005 et Microsoft Windows XP Wireless Zero Configuration Wireless Profile Disclosure Secunia Advisories 06/10/2005  
Versions concernées : XP Home et Pro (même SP2)
 
Description :

Citation :

Une vulnérabilité a été identifiée dans Microsoft Windows XP, elle pourrait être exploitée par des attaquants locaux afin d'accéder à des informations sensibles. Le problème résulte d'une erreur présente au service Wireless Zero Configuration qui ne filtre pas correctement les appels "WZCQueryInterface()", ce qui pourrait être exploité par des utilisateurs malveillants afin d'obtenir des informations sensibles (e.g. les SSIDs ou les clés WEP).

Solution : un correctif sera dispo dans Longhorn (Windows Vista)
 
 
## Correction du Rollup pour Windows 2000 ## Le correctif cumulatif pour Windows 2000 à jour  08/09/2005
Versions concernées : Windows 2000 SP4
 
Description :

Citation :

Comme prévu, Microsoft a mis à jour son premier « correctif cumulatif pour Windows 2000 Service Pack 4 ». Cette mise à jour devrait corriger les problèmes de compatibilité rencontrés avec certaines applications tierces et notamment avec certains services d'impression réseau utilisés en entreprise. Ce correctif cumulatif lors de sa première publication en juin dernier avait effectivement causé plusieurs problèmes de ce type.

Rappel: ce Roll-Up contient une cinquantaine de patchs de sécurité sortis après le SP4 jusqu'au 30 Avril 2005Solution : il est en téléchargement à l'adresse suivante (pour les utilisateurs Microsoft Windows authentique ) Ensemble de mises à jour cumulatives 1 pour Windows 2000 SP4
 
 
## Vulnérabilité sous Exchange Server 2003 ## Microsoft Exchange Server 2003 Folder Listing Denial of Service Bulletin FrSIRT 08/09/2005 et Microsoft Exchange Server 2003 Folder Listing Denial of Service Secunia Advisories 08/09/2005
Versions concernées : Exchange Server 2003 (Standard et Entreprise)
 
Description :

Citation :

Une vulnérabilité a été identifiée dans Microsoft Exchange Server 2003, elle pourrait être exploitée par des utilisateurs malveillants afin de causer un déni de service. Le problème résulte d'une erreur inconnue présente au niveau du service Microsoft Exchange Information Store (Store.exe) quand un utilisateur IMAP version 4rev1 (Internet Message Access Protocol) tente de lister les dossiers publics, ce qui pourrait provoquer le crash du serveur.
 
Note : Cette vulnérabilité existe uniquement dans le cas où l'utilisateur malveillant n'a pas de boite privée et le serveur n'autorise pas les utilisateurs IMAP4 à répertorier les dossiers publics.

Solution : le correctif est dispo en contactant le support de Microsoft
 
 
## Faille locale dans Windows ## Microsoft Windows "keybd_event" Privilege Escalation Vulnerability Bulletin FrSIRT 06/09/2005 et Microsoft Windows keybd_event validation vulnerability BugTraq SecurityFocus 06/09/2005
Versions concernées : windows 2000, XP et 2003
 
Description :

Citation :

Une vulnérabilité a été identifiée dans Microsoft Windows, elle pourrait être exploitée par des attaquants locaux afin de contourner les mesures de sécurité et obtenir des privilèges élevés. Le problème résulte d'une erreur de conception présente au niveau du model de sécurité Windows qui ne filtre pas correctement la fonction "keybd_event" pendant l'exécution d'applications partagées ou restreintes, ce qui pourrait être exploité par des attaquants locaux afin de passer outre les restrictions sécuritaires (e.g. imposées par la commande "runas" ) et obtenir des privilèges élevés.

Solution : pas de solution officielle pour le moment
 
 
## Vulnérabilité dans le firewall Microsoft ## Microsoft Windows Firewall User Interface Exception Handling Issue Bulletin FrSIRT 31/08/2005 et Microsoft Windows Firewall User Interface May Not Properly Display Exception Rules Archives SecurityTracker 31/08/2005
Versions concernées : XP sP2 et 64 ainsi que Server 2003 SP1, SP1 (Itanium) et x64
 
Description :

Citation :

Une faiblesse a été identifiée dans Microsoft Windows, elle pourrait être exploitée localement afin de masquer certaines informations. Le problème résulte d'une erreur présente au niveau de l'interface graphique du firewall Windows qui ne gère pas correctement certaines entrées spécialement conçues, ce qui pourrait être exploité par un attaquant ou un ver/virus (ayant déjà compromis le système) afin de créer des exceptions invisibles (autoriser l'accès à un port par exemple).
 
Note : cette faiblesse concerne l'interface graphique du firewall. La commande "Netsh" n'est donc pas affectée.

Solution : appliquer le patch Mise à jour pour Windows XP (KB897663) accessible uniquement aux utilisateurs certifié par le système Genuine
 
 
## Faille dans Internet Explorer due à Msdds.dll ## Microsoft Internet Explorer "Msdds.dll" Remote Code Execution Bulletin FrSIRT 17/08/2005 et Microsoft DDS Library Shape Control Code Execution Vulnerability Secunia Advisories 18-26/08/2005 et A COM Object (Msdds.dll) Could Cause Internet Explorer to Unexpectedly Exit Microsoft Security Advisory (906267) 18/08/2005
Versions concernées : IE 5.x et 6.x combinés avec Microsoft Office XP Service Pack 3, Microsoft Access 2002 Service Pack 3 ou Microsoft Visual Studio 2002 (version des dll concernées 7.0.9064.9112, 7.0.9064.9143 et 7.0.9446.0). Les versions plus récentes de ces suites ne sont pas concernées
 
Description :

Citation :

Une vulnérabilité critique a été identifiée dans Microsoft Internet Explorer, elle pourrait être exploitée par des attaquants distants afin de compromettre un système vulnérable. Le problème résulte d'une erreur de type buffer overflow présente au niveau de l'initialisation de l'objet "Msdds.dll" en tant que contrôleur ActiveX, ce qui pourrait être exploité via un site web malicieux afin d'exécuter des commandes arbitraires avec les privilèges de l'utilisateur connecté.
 
Note : la librairie "Msdds.dll" est installée avec Microsoft Office et avec Microsoft Visual Studio. Seuls les systèmes contenant cette librairie sont potentiellement vulnérables.
 
Cette vulnérabilité a été confirmée sous Windows XP SP2 avec msdds.dll version 7.0.9064.9112.

Solution : voir la sous-partie Workaround dans Suggested Actions de l'article A COM Object (Msdds.dll) Could Cause Internet Explorer to Unexpectedly Exit
 
 
## Vulnérabilité dans l'éditeur de registre de Microsoft ## Microsoft Windows Registry Editor Utility Key Hiding Vulnerability Bulletin FrSIRT 24/08/2005 et Windows Registry Editor Utility String Concealment Weakness Secunia Advisories 24-29/08/2005
Versions concernées : Windows XP et 2000 toutes versions  
 
Description :

Citation :

Une vulnérabilité a été identifiée dans Microsoft Windows, elle pourrait être exploitée par un attaquant local ou un ver/virus afin de masquer certaines informations. Le problème résulte d'une erreur présente au niveau de l'éditeur du registre "regedt32.exe" qui n'affiche pas correctement certaines clés dont le nom est excessivement long, ce qui pourrait être exploité par un utilisateur malveillant ou un ver/virus afin de masquer certaines clés du registre.
 
Note : l'utilitaire "reg" (%system%\reg.exe) n'est pas affecté par cette vulnérabilité.

Solution : pas de solution officielle
 
 
## Faille dans Microsoft IIS ## Microsoft IIS Remote "SERVER_NAME" Spoofing Vulnerability Bulletin FrSIRT 23/08/2005, Microsoft IIS "500-100.asp" Source Code Disclosure Secunia Advisories 23/08-08/09/2005 et Remote IIS 5.x and IIS 6.0 Server Name Spoof Bugtraq Securityfocus 22/08/2005
Versions concernées : Microsoft Internet Information Services (IIS) 5.x (la version 6.0 n'est pas affectée)
 
Description :

Citation :

Une vulnérabilité a été identifiée dans Microsoft Microsoft Internet Information Services (IIS), elle pourrait être exploitée par des attaquants distants afin de spoofer certaines informations. Le problème résulte d'une erreur présente au niveau du traitement de la variable "SERVER_NAME" qui n'est pas correctement déterminée, ce qui pourrait être exploité par un attaquant afin de spoofer cette variable et accéder à des portions du code source de certaines pages ASP.
 
Note : Cette faille pourrait être exploitée afin de contourner les mesures de sécurité si une application web base utilise une authentification basée sur la variable "SERVER_NAME".

Solution : voir l'article KB906910 chez Microsoft pour modifier manuellement la page d'erreur 500-100.asp
 
 
## Faille dans Microsoft AntiSpyware ## Design Flaw at Microsoft's AntiSpyware Bugtraq Securityfocus 05/08/2005
Versions concernées : testé sous Microsoft AntiSpyware (BETA) 1.0.615
 
Description : Lorsqu'un programme essaye d'écrire dans une clé de démarrage de la base de registre (par exemple HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run) Microsoft AntiSpyware affiche un message informant l'utilisateur de ce changement. Mais cela ne se produit que si la clé de registre a une extension à la fin du nom de fichier. Si il n'y a pas d'extension le logiciel néglige ce changement et ne fait rien. On pourrait dire que ce n'est pas grave mais Windows exécute quand même les clés n'ayant pas d'extension au nom de fichier. Donc c'est bien une faille !!! une valeur "C:\Windows\repair\svc.exe" est considérée par Windows comme "C:\Windows\repair\svc" alors que Antispy les différencie en avertissant pour la première mais pas la deuxième.
 
Solution : pas de solution officielle pour le moment.
 
 
## Vulnérabilité dans le spooler d'impression (MS05-043) ## Microsoft Windows Print Spooler Service Vulnerability Bulletin FrSIRT 09/08/2005 et Microsoft Windows Print Spooler Service Buffer Overflow Vulnerability Secunia Advisories 09/08/2005
Descriptif :

Citation :

Une vulnérabilité critique a été identifiée dans Microsoft Windows, elle pourrait être exploitée par des attaquants distants afin de compromettre un système vulnérable ou des attaquants locaux afin d'obtenir des privilèges élevés. Le problème résulte d'une erreur de type buffer overflow présente au niveau du service Print Spooler "Spoolsv.exe" qui ne gère pas correctement certains messages malformés, ce qui pourrait être exploité par des attaquants afin d'exécuter des commandes arbitraires.
 
Note : Sous Windows XP Service Pack 2 et Windows Server 2003, cette vulnérabilité provoque uniquement un déni de service.

Versions vulnérables :

  • Windows 2000 SP4
  • XP SP1 et SP2
  • Windows Server 2003 et Server 2003 (Itanium)


Solution : appliquer le patch Vulnerability in Print Spooler Service Could Allow Remote Code Execution (896423)
 
 
## Deux failles dans Windows (MS05-042) ## Microsoft Windows Multiple Kerberos Vulnerabilities Bulletin FrSIRT 09/08/2005 et Microsoft Windows Two Kerberos Vulnerabilities Secunia Advisories 09/08/2005
Descriptif :

Citation :

Deux vulnérabilités ont été identifiées dans Microsoft Windows, elles pourraient être exploitées par des attaquants afin de causer un déni de service, obtenir des informations sensibles, ou conduire des attaques par spoofing.
 
Le premier problème résulte d'une erreur présente au niveau de la fonction utilisée par les contrôleurs de domaine afin de gérer les messages Kerberos (port 88), ce qui pourrait être exploité par des attaquants authentifiés afin d'altérer le fonctionnement d'un système vulnérable.
 
La seconde vulnérabilité est due à une erreur présente au niveau de l'implémentation PKINIT qui ne valide pas correctement les données reçues, ce qui pourrait être exploité par un attaquant local afin de conduire des attaques par spoofing et accéder à des informations sensibles.

Versions vulnérables :

  • Windows 2000 SP4 (première faille uniquement pour Win 2000 Server)
  • XP SP1 et SP2 (deuxième faille uniquement)
  • XP Professional x64 Edition (deuxième faille uniquement)
  • Windows Server 2003, Server 2003 SP1, Server 2003 (Itanium), Server 2003 SP1 (Itanium) et Server 2003 x64 Edition


Solution : appliquer le patch Vulnerabilities in Kerberos Could Allow Denial of Service, Information Disclosure, and Spoofing (899587)
 
 
## Vulnérabilité dans le protocole de bureau à distance (MS05-041) ## Microsoft Remote Desktop Protocol (RDP) Vulnerability Bulletin FrSIRT 17/07-09/08/2005 et Windows Remote Desktop Protocol Denial of Service Vulnerability Secunia Advisories 14/07-09/08/2005
Descriptif :

Citation :

Une vulnérabilité a été identifiée dans Microsoft Windows, elle pourrait être exploitée par des attaquants distants afin de causer un déni de service. Le problème résulte d'une erreur inconnue présente au niveau du protocole RDP (Remote Desktop Protocol) qui ne gère pas correctement certains paquets spécialement conçus (port 3389), ce qui pourrait être exploité par un attaquant distant afin d'altérer le fonctionnement d'un système vulnérable.

Versions vulnérables :

  • Windows 2000 SP4
  • XP SP1 et SP2
  • XP Professional x64 Edition
  • Windows Server 2003, Server 2003 SP1, Server 2003 (Itanium), Server 2003 SP1 (Itanium) et Server 2003 x64 Edition


Solution : appliquer le patch Vulnerability in Remote Desktop Protocol Could Allow Denial of Service (899591)
 
 
## Faille dans l'interface de téléphonie de Windows (MS05-040) ## Microsoft Windows Telephony Service Vulnerability Bulletin FrSIRT 09/08/2005 et Microsoft Windows Telephony Service Vulnerability Secunia Advisories 09/08/2005
Descriptif :

Citation :

Une vulnérabilité critique a été identifiée dans Microsoft Windows, elle pourrait être exploitée par des attaquants distants afin de compromettre un système vulnérable ou des attaquants locaux afin d'obtenir des privilèges élevés. Le problème résulte d'une erreur de type buffer overflow présente au niveau de l'interface TAPI (Telephony Application Programming Interface) qui ne gère pas correctement certains messages malformés, ce qui pourrait être exploité par des attaquants afin d'exécuter des commandes arbitraires.
 
Note : Un attaquant non-authentifié peut exploiter à distance cette vulnérabilité sous Windows 2000 Server. Sous Windows 2000 Professionnel et Windows XP, cette vulnérabilité est exploitable localement. Sous Windows Server 2003, TAPI n'est accessible qu'aux utilisateurs authentifiés.

Versions vulnérables :

  • Windows 2000 SP4
  • XP SP1 et SP2
  • XP Professional x64 Edition
  • Windows Server 2003, Server 2003 SP1, Server 2003 (Itanium), Server 2003 SP1 (Itanium) et Server 2003 x64 Edition
  • Windows 98, 98 SE et ME  


Solution : appliquer le patch Vulnerability in Telephony Service Could Allow Remote Code Execution (893756)
 
 
## Vulnérabilité du service Plug and Play (MS05-039) ## Microsoft Windows Plug and Play Remote Vulnerability Bulletin FrSIRT 09/08/2005 et Microsoft Windows Plug-and-Play Service Buffer Overflow Secunia Advisories 09/08/2005
Descriptif :

Citation :

Une vulnérabilité critique a été identifiée dans Microsoft Windows, elle pourrait être exploitée par des attaquants distants afin de compromettre un système vulnérable ou des attaquants locaux afin d'obtenir des privilèges élevés. Le problème résulte d'une erreur de type buffer overflow présente au niveau du service Plug and Play qui ne gère pas correctement certaines requêtes malformées, ce qui pourrait être exploité par des attaquants afin d'exécuter des commandes arbitraires.
 
Note : Un attaquant non-authentifié peut exploiter à distance cette vulnérabilité sous Windows 2000. Seul un utilisateur authentifié peut exploiter cette vulnérabilité sous Windows XP Service Pack 1. Seul un administrateur peut accéder au composant affecté sur Windows XP Service Pack 2 et Windows Server 2003 (dans ce cas, il s'agit strictement d'une vulnérabilité exploitable localement).

Versions vulnérables :

  • Windows 2000 SP4
  • XP SP1 et SP2
  • XP Professional x64 Edition
  • Windows Server 2003, Server 2003 SP1, Server 2003 (Itanium), Server 2003 SP1 (Itanium) et Server 2003 x64 Edition


Solution : appliquer le patch Vulnerability in Plug and Play Could Allow Remote Code Execution and Elevation of Privilege (899588)
 
 
## 3 Failles dans IE (MS05-038) ## Microsoft Internet Explorer Multiple Vulnerabilities Bulletin FrSIRT 09/08/2005 et Internet Explorer Three Vulnerabilities Secunia Advisories 09/08/2005
Descriptif :

Citation :

Plusieurs vulnérabilités critiques ont été identifiées dans Microsoft Internet Explorer, elles pourraient être exploitées par des sites web malveillants afin de compromettre un système vulnérable.
 
Le premier problème résulte d'une erreur de type buffer overflow présente au niveau de la gestion de certaines images JPEG spécialement conçues, ce qui pourrait être exploité via un site web ou un email malicieux afin d'exécuter des commandes arbitraires avec les privilèges de l'utilisateur connecté.
 
La seconde faille et due à une erreur de type cross domain scripting présente au niveau du processus selon lequel certaines URL sont interprétées lors du passage d'une page Web à un dossier Web via WebDAV, ce qui pourrait être exploité par des attaquants afin d'obtenir des informations sensibles ou exécuter des commandes arbitraires.
 
La dernière vulnérabilité est due à une erreur de type buffer overflow présente au niveau de l'initialisation de certains objets COM en tant que controleurs ActiveX, ce qui pourrait être exploité via un site web malicieux afin d'exécuter des commandes arbitraires avec les privilèges de l'utilisateur connecté.

Versions vulnérables :

  • IE 5.01 SP4 sous Win 2000 SP4
  • IE 6 SP1 sous Win 2000 SP4, XP SP1, Win 98, 98 SE et Me
  • IE 6 pour XP SP2
  • IE 6 pour Server 2003, Server 2003 SP1, Server 2003 (Itanium), Server 2003 SP1 (Itanium) et Server 2003 x64 Edition
  • IE 6 pour XP Professional x64 Edition
  • IE 5.5 SP2 sous Me


Solution : appliquer le patch Cumulative Security Update for Internet Explorer (896727)
 
 
## vulnérabilités dans Microsoft ActiveSync ## Microsoft ActiveSync Denial of Service and Information Disclosure Bulletin FrSIRT 03/08/2005, Microsoft ActiveSync Denial of Service and Equipment ID Enumeration Secunia Advisories 02/08/2005 et Remote Password Compromise of Microsoft Active Sync 3.7.1 et Microsoft ActiveSync information leak and spoofing Bugtraq Securityfocus 2-4/08/2005
Versions concernées : Microsoft ActiveSync 3.x
 
Description :

Citation :

Deux vulnérabilités ont été identifiées dans Microsoft ActiveSync, ce qui pourrait être exploité par des attaquants distants afin d'obtenir des informations sensibles ou causer un déni de service. Le premier problème résulte d'une erreur de conception présente aux niveaux des réponses d'authentification renvoyées par le serveur, ce qui pourrait être exploité afin de vérifier la validité des IDs en étudiant les réponses renvoyées par un système vulnérable. La seconde faille résulte d'une erreur présente au niveau de la routine d'authentification qui ne gère pas correctement des tentatives de connexion répétées (port 5679/TCP), ce qui pourrait être exploité afin d'altérer le fonctionnement d'un système vulnérable.

Solution : pas de solution officielle pour le moment. Il vaut mieux filtrer l'accès au port 5679 en TCP
 
 
## Deni de Service sous Office 2000 ## Microsoft Office Insecure Shared Section Permissions Secunia Advisories 29/07/2005
Versions concernées : testé sous Office 2000 et chacun de ses composants (Access, Excel, Outlook, PowerPoint et Word), d'autres versions peut-être concernées
 
Description : La faiblesse se situe dans des droits inappropriés des sections partagées de noms "\BaseNamedObjects\Mso97SharedDg??????????". Cela peut permettre à un utilisateur quelconque de faire planter ou bloquer les autres utilisateurs qui travaillent sous une des applications Office.
 
Solution : pas de solution officielle pour le moment. Note : il semblerait que cela soit connu de Microsoft depuis très longtemps..................et qu'un jour cela sera corrigé.
 
 
## Faille USB sous Windows ## Microsoft Windows Unspecified USB Device Driver Vulnerability Secunia Advisories 27/07/2005 et Windows Buffer Overflow in Unspecified USB Device Driver Lets Physically Local Users Execute Arbitrary Code Archives SecurityTracker 24/07/2005
Versions concernées : tous les Windows
 
Description : Il est possible d'utiliser un périphérique USB pour exécuter des codes arbitraires sur le pc avec les droits Système. Les précisions techniques n'ont pas été données.
 
Solution : pas de solution officielle pour le moment.
 
 
## Divers problèmes sous Internet Explorer ## Compromising pictures of Microsoft Internet Explorer! BugTraq SecurityFocus 15/07/2005 et Microsoft Internet Explorer (IE) JPEG Rendering Bugs Let Remote Users Deny Service Archives SecurityTracker 17/07/2005
Versions concernées : IE patché sous XP SP2
 
Description : Plusieurs exemples de crash de IE sont donnés à cette adresse http://lcamtuf.coredump.cx/crash/.
 
Solution : pas de solutions officielles pour le moment.
 
 
## Vulnérabilités sous Windows ## Microsoft Windows Remote Desktop Protocol (RDP) DoS Vulnerability Bulletin FrSIRT 17/07/2005 et Windows Remote Desktop Protocol Denial of Service Vulnerability et Windows Network Connections Service Denial of Service Secunia advisories 14-18/07/2005
Versions concernées : Windows 2000, XP et 2003 (juste pour le RDP) toutes versions
 
Description :

Citation :

Une vulnérabilité a été identifiée dans Microsoft Windows, elle pourrait être exploitée par des attaquants distants afin de causer un déni de service. Le problème résulte d'une erreur inconnue présente au niveau du protocole RDP (Remote Desktop Protocol) qui ne gère pas correctement certains paquets spécialement conçus (port 3389), ce qui pourrait être exploité par un attaquant distant afin d'altérer le fonctionnement d'un système vulnérable.

La deuxième faille peut être exploitée par un utilisateur local malveillant pour faire planter le service de connexion réseau. Elle est due à une erreur dans une fonction de netman.dll lorsqu'un entier très grand est passé en argument.
 
Solution : pas de solutions officielles pour le moment. Pour le RDP vous pouvez bloquer le port concerné (3389) en TCP.
 
 
## Correction officielle de la faille javaprxy.dll (MS05-037) ## Microsoft Internet Explorer "javaprxy.dll" Vulnerability Bulletin FrSIRT 12/07/2005 et Internet Explorer "javaprxy.dll" Memory Corruption Vulnerability Secunia Advisories 12/07/2005
Descriptif : cf. précédemment dans ce topic
 
Versions vulnérables : cf. précédemment dans ce topic
 
Solution : appliquer le patch Vulnerability in JView Profiler Could Allow Remote Code Execution (903235)
 
 
## Faille dans le module de gestion des couleurs de windows (MS05-036) ## Microsoft Windows Color Management Module Vulnerability Bulletin FrSIRT 12/07/2005 et Microsoft Windows Color Management Module Buffer Overflow Secunia Advisories 12/07/2005
Descriptif :

Citation :

Une vulnérabilité critique a été identifiée dans Microsoft Windows, elle pourrait être exploitée par des attaquants distants afin de compromettre un système vulnérable. Le problème résulte d'une erreur de type buffer overflow présente au niveau du module de gestion des couleurs qui ne valide pas correctement les informations du profil ICC (International Color Consortium), ce qui pourrait être exploité afin d'exécuter des commandes arbitraires via un site web malicieux ou un email forgé contenant une image spécialement conçue.

Versions vulnérables :

  • Windows 2000 SP4
  • XP SP1 et SP2
  • XP Professional x64 Edition
  • Windows Server 2003, Server 2003 SP1, Server 2003 for Itanium, Server 2003 SP1 for Itanium et Server 2003 x64 Edition
  • Windows 98, 98 SE et ME  


Solution : appliqu


Message édité par minipouss le 14-07-2006 à 20:00:01
n°1510046
minipouss
un mini mini
Posté le 30-03-2004 à 13:36:24  profilanswer
 

====================================
7. Archives des Failles de Sécurité des logiciels connus
====================================
 
 
## Faille critique dans Filezilla Serveur ## FileZilla Server Zlib Library Remote Buffer Overflow Vulnerability Bulletin FrSIRT 28/07/2005 et FileZilla Server zlib Vulnerability Secunia advisories 28/07/2005
Versions concernées : Filezilla Serveur 0.x
 
Description :

Citation :

Une vulnérabilité critique a été identifiée dans FileZilla Server, elle pourrait être exploitée par des attaquants distants afin de causer un déni de service ou compromettre un système vulnérable. Le problème résulte d'une erreur de type buffer overflow présente au niveau de la librairie Zlib qui ne décompresse pas correctement certaines données spécialement conçues, ce qui pourrait être exploité afin de causer un déni de service. Pour plus d'informations, se référer au bulletin : FrSIRT/AVIS-2005-0978
 
Note : Selon l'éditeur, cette vulnérabilité ne permet pas l'exécution de commandes arbitraires car le dispositif anti-overflow est activé par défaut.

Solution : il faut passser à la version 0.9.9 http://sourceforge.net/project/sho [...] _id=345260
 
 
## Nouvelle version d'Opera ## Opera Multiple Cross Site Scripting and Spoofing Vulnerabilities Bulletin FrSIRT 28/07/2005 et Opera Download Dialog Spoofing Vulnerability et Opera Image Dragging VulnerabilitySecunia advisories 28/07/2005
Versions concernées : Opera 8.01 et inférieur
 
Description :

Citation :

Plusieurs vulnérabilités ont été identifiées dans le navigateur Opera, elles pourraient être exploitées afin de conduire des attaques par spoofing ou cross site scripting.
 
Le premier problème résulte d'une erreur présente au niveau du traitement des fichiers transmis via une entête "Content-Disposition" forgée, ce qui pourrait être exploité afin de convaincre un utilisateur de télécharger et d'installer un programme malicieux ayant l'apparence d'un programme de confiance.
 
La seconde vulnérabilité est due à une erreur présente au niveau de la gestion des images liées à des URL javascript, ce qui pourrait être exploité afin de conduire des attaques par cross site scripting.
 
La dernière faille est due à une erreur inconnue pouvant être exploitée afin de détourner et/ou masquer des liens web.

précisions sur les deux failles:

  • Il y a un risque de masquage des extensions de fichier dans la fenêtre de téléchargement d'Opera. Cela nécessite toutefois la présence de la police de caractères "Arial Unicode MS" (ARIALUNI.TTF). (qui est souvent installée par les versions de Microsoft Office).
  • Une faille exploitant le glisser/déposer d'un fichier ou d'un lien a été découverte dans Opera. elle peut permettre à une peronne mal-intentionnée de conduire des attaques style "cross-site scripting" mais aussi de récupérer des fichiers sur un pc.


Solution : la version 8.02 corrige le problème http://www.opera.com/download/
 
 
## Faille dans Sophos Antivirus## Sophos AntiVirus Products Remote Heap Overflow Vulnerability Bulletin FrSIRT 27/07/2005 et Sophos Anti-Virus Unspecified Buffer Overflow Vulnerability Secunia advisories 28/07/2005
Versions concernées :  

  • Sophos AntiVirus < 4.5.3 (sous NT/95/98/Me) et < 3.95.0 ( sous Windows/UNIX/Linux/Netware/OpenVMS/Mac OSX)
  • Sophos Antivirus Small Business Edition (toutes versions)


Description :

Citation :

Une vulnérabilité critique a été identifiée dans les antivirus Sophos, elle pourrait être exploitée par un attaquant distant ou un ver/virus afin de compromettre un système vulnérable.
 
Le problème résulte d'une erreur de type heap overflow présente au niveau du traitement de certains fichiers malformés, ce qui pourrait être exploité afin d'exécuter des commandes arbitraires distantes en envoyant, vers un antivirus vulnérable, un email spécialement conçu. Aucun détail technique n'a été révélé.

Solution : Il faut mettre à jour Sophos Antivirus par le système de mise à jour ou http://www.sophos.com/support/updates , en ce qui concerne Small Business il sera mis à jour demain
 
 
## Vulnérabilités sous Netscape ## Netscape Browser Security Update Fixes Multiple Vulnerabilities Bulletin FrSIRT 25/07/2005 et Netscape Multiple Vulnerabilities Secunia advisories 26/07/2005
Versions concernées : Netscape =< 8.0.2
 
Description :

Citation :

Plusieurs vulnérabilités critiques ont été identifiées dans le navigateur Netscape, elles pourraient être exploitées par des sites web malicieux afin de compromettre un système vulnérable. Ces failles, initialement découvertes dans Mozilla et Firefox, résultent d'erreurs multiples présentes au niveau du traitement des objets et des documents JavaScript, ce qui pourrait être exploité par des attaquants distants afin d'exécuter des commandes arbitraires. Pour plus d'informations, se référer au bulletin : FrSIRT/AVIS-2005-1075
 
Note : Deux autres vulnérabilités ont été corrigées. Aucun détail technique n'a été révélé.

Solution : mettre à jour en passant à la version 8.0.3.1 http://browser.netscape.com/ns8/download/default.jsp
 
 
## Failles dans ClamAv ## Clam AntiVirus (ClamAV) Multiple Integer Overflow Vulnerabilities Bulletin FrSIRT 25/07/2005 , Clam AntiVirus Multiple Vulnerabilities Secunia advisories 25/07/2005 et ClamAV Multiple Rem0te Buffer Overflows Bugtraq Securityfocus 25/07/2005
Versions concernées : Clam Antivirus =< 0.86.1
 
Description :

Citation :

Plusieurs vulnérabilités ont été identifiées dans Clam AntiVirus (ClamAV), elles pourraient être exploitées par des vers/virus afin de compromettre un système vulnérable.
 
Le premier problème résulte d'une erreur de type integer overflow présente aux niveaux des fonctions "tnef_attachment()" et "tnef_message()" [tnef.c] qui ne gèrent pas correctement une valeur "length" négative, ce qui pourrait être exploité par un attaquant afin d'exécuter des commandes arbitraires en envoyant, vers un système vulnérable, un email malicieux contenant un fichier TNEF spécialement conçu.
 
La seconde vulnérabilité est due à une erreur de type integer overflow présente au niveau de la fonction "read_chunk_entries()" [chmunpack.c] qui ne gère pas correctement une valeur "length" négative, ce qui pourrait être exploité par un attaquant afin d'exécuter des commandes arbitraires en envoyant, vers un système vulnérable, un email malicieux contenant un fichier CHM spécialement conçu.
 
La dernière faille est due à une erreur de type integer overflow présente au niveau de la fonction "unfsg()" [fsg.c] qui ne gère pas correctement des valeurs "backbytes" et "backsize" négatives, ce qui pourrait être exploité par un attaquant afin d'exécuter des commandes arbitraires en envoyant, vers un système vulnérable, un email malicieux contenant un fichier FSG spécialement conçu.

Solution : passez à la version 0.86.2 http://sourceforge.net/project/sho [...] _id=344514 (Note : cela concerne bien évidemment tous les dérivés comme ClamWin par exemple)
 
 
## Vulnérabilités dans Apache ## Apache 2.x CRL Verification Callback Buffer Overflow Vulnerability Bulletin FrSIRT 25/07/2005 et Apache HTTP Request Smuggling Vulnerability Secunia advisories 26/07/2005
Versions concernées : Apache 2.0.x
 
Description :

Citation :

Une vulnérabilité a été identifiée dans Apache, elle pourrait être exploitée par des attaquants afin de causer un déni de service. Le problème résulte d'une erreur de type buffer overflow présente au niveau de la fonction "ssl_callback_SSLVerify_CRL()" [modules/ssl/ssl_engine_kernel.c] qui ne gère pas correctement certaines listes de révocation de certificat (CRL) spécialement conçues, ce qui pourrait être exploité afin d'altérer le fonctionnement d'un système vulnérable.
 
Note : par défaut, Apache n'utilise aucune liste de révocation de certificat (CRL). Si Apache est configuré pour utiliser une telle liste, cette dernière devra être malicieuse afin de provoquer l'overflow.

pour la deuxième faille, Apache doit être configuré en proxy web et dans ce cas il est possible d'en trafiquer le cache voire même d'outrepasser certaines applis de protection (firewall)
 
Solution : ces failles seront corrigées dans la prochaine version 2.0.55
 
 
## Vulnérabilités dans Avast! ## Avast! Antivirus ACE Archive Handling Multiple Vulnerabilities Bulletin FrSIRT 21/07/2005 et avast! Antivirus ACE File Handling Two Vulnerabilities Secunia advisories 21/07/2005
Versions concernées :  

  • Home/Professional Edition <= 4.6.665
  • Server Edition <= 4.6.460
  • Managed Client  


Description :

Citation :

Deux vulnérabilités ont été identifiées dans Avast! Antivirus, elles pourraient être exploitées par des attaquants ou des vers/virus afin de compromettre un système vulnérable.
 
Le premier problème résulte d'une erreur de type directory traversal présente au niveau de la librairie "UNACEV2.DLL" qui ne filtre pas correctement des archives ACE contenant des fichiers spécialement conçus, ce qui pourrait être exploité par un ver/virus afin de placer des fichiers malicieux dans des répertoires arbitraires du système.
 
La seconde vulnérabilité résulte d'une erreur de type stack overflow présente au niveau de la librairie "UNACEV2.DLL" qui ne gère pas correctement des archives ACE contenant des fichiers dont les noms sont extrêmement longs (plus de 290 octets).

Solution : prendre les version patchées Home/Professional Edition version 4.6.691, Server Edition version 4.6.489 et Managed Client version 4.6.394
 
 
## Faille dans des antivirus Sophos ## Sophos AntiVirus Zip File Handling Denial of Service Vulnerability Bulletin FrSIRT 17/07/2005
Versions concernées :  

  • Sophos AntiVirus 5.0.4 (sous 2000/XP/2003], 4.5.3 (sous NT/95/98/Me) et 3.95.0 ( sous Windows/UNIX/Linux/Netware/OpenVMS/Mac OSX)
  • Sophos PureMessage (sous UNIX/Windows/Exchange)
  • Sophos MailMonitor  


Description :

Citation :

Une vulnérabilité a été identifiée dans plusieurs produits Sophos, elle pourrait être exploitée par des attaquants distants afin de causer un déni de service. Le problème résulte d'une erreur présente au niveau du traitement de certaines archives ZIP compressées avec l'algorithme BZIP2 et contenant des champs spécialement conçus, ce qui pourrait être exploité afin d'altérer le fonctionnement d'un système vulnérable via un email contenant une archive forgée.

Solution : faire les mises à jour http://www.sophos.com/support/updates
 
 
## Vulnérabilité dans Winamp ## Winamp ID3v2 Tag Handling Remote Buffer Overflow Vulnerability Bulletin FrSIRT 17/07/2005 et Winamp ID3v2 Tag Handling Buffer Overflow Vulnerability Secunia advisories 15/07/2005
Versions concernées : Winamp 5.x
 
Description :

Citation :

Une vulnérabilité a été identifiée dans Winamp, elle pourrait être exploitée par des attaquants distants afin de compromettre un système vulnérable. Le problème résulte d'une erreur de type buffer overflow présente au niveau du traitement des fichiers media contenant des tags ID3v2 extrêmement longs, ce qui pourrait être exploité afin d'exécuter des commandes arbitraires en incitant un utilisateur à ajouter un fichier MP3 à sa playlist puis lire ce fichier malicieux.

Solution : l'éditeur a annoncé une nouvelle version sous peu.
 
 
## Nombreux problèmes pour le moteur Gecko ## Firefox Multiple Vulnerabilities , Mozilla Multiple Vulnerabilities , Netscape Multiple Vulnerabilities , Firefox Property Manipulation Cross-Site Scripting Vulnerability , Mozilla Property Manipulation Cross-Site Scripting Vulnerability , Netscape Property Manipulation Cross-Site Scripting Vulnerability et Mozilla Thunderbird Multiple Vulnerabilities Secunia advisories 13/07/2005
Versions concernées : Firefox <= 1.04, Mozilla <= 1.7.8 et Netscape <= 8.0.2, et Thunderbird <= 1.0.2
 
Description : cf les liens ci-dessus pour les 9 vulnérabilités
 
Solution : pour Firefox passez à la version 1.0.5 (ou attendez la 1.0.6 cette semaine), pour Mozilla attendre la 1.7.9 qui ne va pas tarder et pour Netscape ne visitez pas de sites douteux. Et pour Thunderbird, c'est la version 1.0.5 (il est possible d'attendre la 1.0.6 aussi).
 
 
## Plusieurs failles dans Clam Antivirus ## Clam AntiVirus Two File Handling Denial of Service Vulnerabilities , Clam AntiVirus clamav-milter Database Update Denial of Service et ClamAV Quantum Decompressor Denial of Service Vulnerability Secunia advisories 24-30/06/2005 , Clam AntiVirus File Handling Denial of Service Vulnerabilities Bulletin FrSIRT 30/06/2005 et Clam AntiVirus ClamAV Cabinet File Handling DoS Vulnerability et Clam AntiVirus ClamAV MS-Expand File Handling DoS Vulnerability  iDEFENSE Security Advisory 29/06/2005
Versions concernées : 0.85 et inférieures
 
Description :

Citation :

Deux vulnérabilités ont été identifiées dans Clam AntiVirus (ClamAV), elles pourraient être exploitées par des attaquants distants afin de causer un déni de service.
 
- Le premier problème résulte d'une erreur présente au niveau de la fonction "ENSURE_BITS()" qui ne filtre pas correctement les entêtes, ce qui pourrait être exploité via un fichier cabinet spécialement conçu afin de causer un déni de service.
 
- La seconde vulnérabilité réside au niveau de la fonction "cli_msexpand()", ce qui pourrait être exploité par un attaquant afin d'altérer le fonctionnement d'une application vulnérable.

Solution : passez à la version 0.86.1 http://www.clamav.net/stable.php#pagestart
 
## Vulnérabilités dans les Players Real et RealOne ## RealOne / RealPlayer / Helix Player / Rhapsody Multiple Vulnerabilities Secunia advisories 24/06/2005 , RealPlayer and RealOne Player Multiple Remote Vulnerabilities Bulletin FrSIRT 24/06/2005 et RealNetworks, Inc. publie une mise à jour destinée à résoudre des problèmes de sécurité  Bulletin de Sécurité RealNetwork France 23/06/2005
Versions concernées :  

  • RealPlayer 10.5 (de 6.0.12.1040 à 6.0.12.1069)
  • RealPlayer 10
  • RealOne Player v2 et v1
  • RealPlayer 8
  • RealPlayer Enterprise 1.1, 1.2, 1.5, 1.6 et 1.7
  • Rhapsody 3 (build 0.815 à build 0.1006)


Description :

Citation :

Des vulnérabilités critiques ont été identifiées dans plusieurs produits RealNetworks, elles pourraient être exploitées par des attaquants distants afin de compromettre un système vulnérable.
 
- Le premier problème résulte d'une erreur présente au niveau du traitement des fichiers MP3, ce qui pourrait être exploité par des attaquants distants afin d'exécuter des contrôleurs ActiveX ou écraser des fichiers arbitraires présents au sein d'un système vulnérable.
 
- La seconde faille est due à une erreur de type heap overflow présente au niveau du gestionnaire RealText qui ne gère pas correctement certains fichiers RealMedia spécialement conçus, ce qui pourrait être exploité via un site web malicieux afin d'exécuter des commandes arbitraires avec les privilèges de l'utilisateur connecté.
 
- La troisième vulnérabilité résulte d'une erreur de type buffer overflow présente au niveau du fichier "vidplin.dll" qui ne traite pas correctement certains fichiers AVI spécialement conçus, ce qui pourrait être exploité via un site web malicieux afin d'exécuter des commandes arbitraires distantes avec les privilèges de l'utilisateur connecté.
 
- Le dernier problème résulte d'une erreur inconnue qui, combinée à certaines versions d'Internet Explorer, pourrait permettre la création et l'exécution de fichiers malicieux au sein d'un système vulnérable.

Solution : patchez vos logiciels par la fonction "Vérifier l'arrivée de mises à jour" dans le menu Outils. Et pour la version entreprise c'est là http://service.real.com/help/faq/s [...] 62305.html
 
## Spoofing dans plusieurs navigateurs Web ## Mozilla / Firefox / Camino Dialog Origin Spoofing Vulnerability et Opera Dialog Origin Spoofing Vulnerability Secunia advisories 21/06/2005 et Multiple Web Browser Dialog Origin Spoofing Vulnerability Bulletin FrSIRT 21/06/2005
Logiciels concernés :  

  • Mozilla 1.7.8 et inférieures
  • FireFox 1.04 et inférieures
  • Camino 0.8.4 et inférieures
  • Opera 8.0 et inférieures


Description :

Citation :

Une vulnérabilité a été identifiée dans plusieurs navigateurs web, elle pourrait être exploitée par des sites malicieux afin de conduire des attaques par spoofing ou phishing. Le problème est que les boîtes de dialogue JavaScript n'indiquent pas leurs origines, ce qui pourrait être exploité via un lien JavaScript spécialement conçu afin d'ouvrir une boîte de dialogue malicieuse ayant l'apparence d'une fenêtre générée par un site de confiance.

Secunia a mis en place une page pour tester votre navigateur (cette fois-ci la navigation par onglets ne protège pas sous Firefox) http://secunia.com/multiple_browse [...] lity_test/
 
Solutions : pour Opera la version 8.0.1 sortie récemment corrige le problème http://www.opera.com/download/ . Pour les autres rien pour le moment (espérons que la future 1.0.5 de Firefox dont les tests commencent aujourd'hui corrigera aussi ce souci) à part comme d'hab le conseil de ne pas surfer en même temps sur des sites inconnus et des sites sensibles ;)
 
## Faille dans SpamAssassin ## SpamAssassin Message Header Processing Denial of Service Secunia advisories 17/06/2005 et SpamAssassin Message Header Remote Denial of Service Issue Bulletin FrSIRT 17/06/2005
Versions concernées : Apache SpamAssassin 3.x
 
Description :

Citation :

Une vulnérabilité a été identifiée dans SpamAssassin, elle pourrait être exploitée par des attaquants distants afin de causer un déni de service. Le problème résulte d'une erreur présente au niveau du traitement des messages contenant des entêtes extrêmement longues, ce qui pourrait être exploité afin d'altérer le fonctionnement de l'application via un message spécialement conçu.

Solution : passer à la version 3.0.4 http://spamassassin.apache.org/index.html
 
## Vulnérabilités dans Opera ## Opera XMLHttpRequest Security Bypass , Opera "javascript:" URL Cross-Site Scripting Vulnerability et Opera Redirection Cross-Site Scripting Vulnerability Secunia advisories 16/06/2005 et Opera Cross Site Scripting and Security Bypass Vulnerabilities Bulletin FrSIRT 16/06/2005
Versions concernées : Opera 8.0
 
Description :

Citation :

Plusieurs vulnérabilités ont été identifiées dans Opera, elles pourraient être exploitées par des attaquants distants afin de contourner les mesures de sécurité ou réaliser des attaques par cross site scripting.
 
- Le premier problème résulte d'une erreur présente au niveau de la gestion de certains objets "XMLHttpRequest", ce qui pourrait être exploité afin d'accéder à des ressources externes au domaine pour lequel l'objet a été exécuté.
 
- La seconde vulnérabilité est due à une erreur de permissions présente au niveau de la gestion d'URLs "javascript:", ce qui pourrait être exploité afin de conduire des attaques par cross site scripting.
 
- La dernière faille résulte d'une erreur présente au niveau de la gestion des redirections (si l'option "Redirection automatique" est désactivée), ce qui pourrait être exploité afin de conduire des attaques par cross site scripting.

pour la dernière faille l'option "redirection automatique" est activée par défaut donc vous êtes protégés
 
Solution : passer à la version 8.0.1 http://www.opera.com/download/
 
## Faille dans Adobe Acrobat Reader ## XML External Entity vulnerability Support KnowledgeBase Adobe 14/06/2005 , Adobe Reader / Adobe Acrobat Local File Detection Weakness Secunia advisories 14/06/2005 et Adobe Acrobat and Reader Local File Discovery Vulnerability Bulletin FrSIRT 15/06/2005
Versions concernées : Adobe Reader et Adobe Acrobat 7.x
 
Description : il est possible de connaître la présence d'un fichier sur le pc par l'intermédiaire d'un script XML inclus dans du javascript (mais l'attaquant doit par avance connaître le chemin exact vers le fichier qu'il recherche)
 
Solution : passer aux versions 7.0.2 de ces logiciels http://www.adobe.com/support/downloads/
 
## Vulnérabilités dans Java de Sun ## Deux vulnérabilités critiques identifiées dans la plateforme Sun Java , Sun Java Runtime Environment Applet Security Bypass Vulnerability et  Sun Java Web Start Untrusted Application Security Bypass Issue Bulletin FrSIRT 14/06/2005 et Java Web Start / Sun JRE Sandbox Security Bypass Vulnerability Secunia advisories 14/06/2005
Versions concernées : Java Web Start 1.x, Java JDK 1.5.x et 1.4.x ainsi que Java JRE 1.5.x et 1.4.x
 
Description :

Citation :

Sun vient de publier des correctifs de sécurité pour sa plateforme Java, corrigeant deux vulnérabilités critiques qui pourraient être exploitées par des attaquants distants afin de compromettre un système vulnérable.
 
Le premier problème concerne Java 2 Platform Standard Edition (J2SE), il résulte d'une erreur présente au niveau de la gestion de certaines applets malformées, ce qui pourrait être exploité via une page web malicieuse afin de lire/placer des fichiers arbitraires sur un système vulnérable ou exécuter des application locales avec les privilèges de l'utilisateur connecté.
 
La seconde vulnérabilité affecte Java Web Start, elle est due à une erreur présente au niveau des exécutables "javaws.exe" (Windows) et "javaws" (Solaris and Linux) qui ne manipulent pas correctement certains fichiers "JNLP" spécialement conçus, ce qui pourrait être exploité via une page web forgée, afin d'installer des fichiers malicieux sur un système vulnérable (virus, trojan...). Une faille similaire a déjà été corrigée en mars dernier.
 
Le risque lié à ces vulnérabilités est qualifié de "Critique" par le FrSIRT. Il est recommandé d'installer les nouvelles versions de Java.
 
Note : Les navigateurs Internet Explorer, Mozilla, Firefox et Opera (Windows et *nix) peuvent être affectés par cette vulnérabilité s'ils utilisent une version vulnérable de Java. Pour connaître la version Java installée sur votre système Windows, utilisez le menu Démarrer - Exécuter - cmd - puis entrez la commande "java -fullversion" (sans les guillemets).

Solution : mettre à jour vers les dernières versions de Java (seule la 1.5.0 corrige le Java Web Start)


## Vulnérabilité dans Symantec Pc Anywhere ## Symantec pcAnywhere Privilege Escalation Vulnerability Secunia advisories 12/06/2005 , Symantec pcAnywhere Local Privilege Escalation Vulnerability Bulletin FrSIRT 13/06/2005 et Symantec pcAnywhere 'Launch With Windows' Properties Let Local Users Gain Elevated Privileges Archives SecurityTracker 13/06/2005
Versions concernées : 9.x, 10.x et 11.x
 
Description :

Citation :

Une vulnérabilité a été identifiée dans Symantec pcAnywhere, elle pourrait être exploitée par des attaquants locaux afin d'obtenir des privilèges élevés. Le problème résulte d'une erreur de conception présente au niveau de l'option "Caller Properties" (si l'application est exécutée en tant que service), ce qui pourrait être exploitée par un utilisateur local afin d'exécuter des commandes arbitraires avec les privilèges SYSTEM.

Solution : installer le correctif http://www.symantec.com/techsupp/files/pca/index.html ( http://www.symantec.com/techsupp/e [...] files.html pour les versions entreprises)
 
## Problème dans les produits Macromedia ## Macromedia Products Privilege Escalation Vulnerability Secunia advisories 10/06/2005 , Macromedia Products eLicensing Privilege Escalation Vulnerability Bulletin FrSIRT 10/06/2005 et Potential Security Risk with Macromedia eLicensing Client Activation Code Security Bulletin Macromedia
Logiciels concernés : plusieurs produits Macromedia dont Studio MX 2004, Macromedia Flash MX 2004, Dreamweaver MX 2004 et Fireworks MX 2004
 
Description :

Citation :

Une vulnérabilité a été identifiée dans plusieurs produits Macromedia, elle pourrait être exploitée par des attaquants locaux afin d'obtenir des privilèges élevés. Le problème résulte d'une erreur de permissions présente au niveau du service eLicensing dont les ACLs (Access Control List) permettent l'accès au groupe "Utilisateurs", ce qui pourrait être exploité par des attaquants locaux afin d'exécuter des commandes arbitraires avec les privilèges SYSTEM.

Solution : installer le patch http://download.macromedia.com/pub [...] pdater.exe
 
## Problème dans les produits Adobe ## Adobe Multiple Products License Management Service Vulnerability Bulletin FrSIRT 10/06/2005 , Adobe Creative Suite License Management Service Flaw Lets Local Users Gain Elevated Privileges , Adobe Premiere Pro License Management Service Flaw Lets Local Users Gain Elevated Privileges et Adobe Photoshop License Management Service Flaw Lets Local Users Gain Elevated Privileges Archives SecurityTracker 10/06/2005 et Advisory for License Management Service vulnerability Support KnowledgeBase Adobe
Logiciels concernés : Adobe Photoshop CS, Adobe Creative Suite et Adobe Premiere Pro 1.5 (les versions CS2 ne sont pas affectées)
 
Description : ces produits Adobe souffre d'un mal semblable à celui expliqué ci-dessus pour les produits Macromedia

Citation :

Une vulnérabilité a été identifiée dans plusieurs produits Adobe, elle pourrait être exploitée par des attaquants locaux afin d'obtenir des privilèges élevés. Le problème résulte d'une erreur de permissions présente au niveau du service de gestion des licences dont les ACLs (Access Control List) permettent l'accès au groupe "Utilisateurs", ce qui pourrait être exploité par des attaquants locaux afin d'exécuter des commandes arbitraires avec les privilèges "Administrateur".

Solution : installer le correctif http://download.adobe.com/pub/adob [...] almupd.zip
 
## Vulnérabilités dans Gaim ## gaim Two Denial of Service Weaknesses Secunia advisories 10/06/2005 , Gaim Two Remote Denial of Service Vulnerabilities Bulletin FrSIRT 10/06/2005 et Gaim Flaws in Processing Yahoo! and MSN Packets Let Remote Users Deny Service Archives SecurityTracker 10/06/2005
Versions concernées : 1.3.0 et inférieures
 
Description :

Citation :

Deux vulnérabilités ont été identifiées dans Gaim, elles pourraient être exploitées par des attaquant distants afin de causer un déni de service. Le premier problème résulte d'une erreur présente au niveau du protocole Yahoo! qui ne gère pas correctement des fichiers dont le nom contient des caractères non-ASCII, ce qui pourrait provoquer l'arrêt de l'application. La seconde faille se situe au niveau du protocole MSN qui ne manipule pas correctement certains messages forgés, ce qui pourrait être exploité par un attaquant afin d'altérer el fonctionnement d'une application vulnérable.

Solution : passer à la 1.3.1 http://gaim.sourceforge.net/downloads.php
 
## Spoofing sous Mozilla Suite et Firefox ## Mozilla / Mozilla Firefox Frame Injection Vulnerability Secunia advisories 06/06/2005
Versions concernées : Mozilla 1.7.x et Mozilla Firefox 1.x
 
Description : Encore une fois on reparle de spoofing sous un navigateur (Camino est aussi concerné), il est possible d'injecter le contenu d'un site malicieux dans une frame d'un site connu et ouvert par l'utilisateur en même temps. Plus de détails là, http://secunia.com/advisories/11978/ où l'on peut voir tous les navigateurs sans exception être concernés (l'année dernière).
Secunia a mis en place un test pour vérifier si vous êtes vulnérables : http://secunia.com/multiple_browse [...] lity_test/
 
Solution : pas de solution officielle pour le moment (y aura-t-il un firefox 1.0.5? peut-être). Il suffit de ne pas surfer sur le site de votre banque en même temps que vous fouillez le web ;)  De plus il est à noter que si vous utilisez les onglets dans votre navigation vous n'aurez pas de problème de sécurité. Il existe aussi des extensions anti-spoofing.  
 
## Problème dans Kaspersky sous Win2000 ## Kaspersky AntiVirus "klif.sys" Privilege Escalation Vulnerability Bulletin FrSIRT 06/06/2005 , Kaspersky Anti-Virus "klif.sys" Privilege Escalation Vulnerability Secunia advisories 08/06/2005 et Kaspersky AntiVirus "klif.sys" Privilege Escalation Vulnerability BugTraq SecurityFocus 07/06/2005
Version concernée : Kaspersky AntiVirus version 5.0.325 et inférieures  
 
Description :

Citation :

Une vulnérabilité a été identifiée dans Kaspersky AntiVirus, elle pourrait être exploitée par des attaquants locaux afin d'obtenir des privilèges élevés. Le problème résulte d'une erreur présente au niveau du pilote "klif.sys" dont les fonctions sont appelées directement et de manière insécurisée par un utilisateur non-privilégié, ce qui pourrait être exploité par un utilisateur malicieux afin d'exécuter des commandes arbitraires avec les privilèges Kernel.
 
Note : Cette vulnérabilité n'existe que sous des systèmes Windows 2000.

Solution : pas de solution pour le moment
 
## Vulnérabilité sérieuse dans le protocole BlueTooth ## Bluetooth Protocol Device Pairing Process Remote Vulnerability Bulletin FrSIRT 06/06/2005
Version concernée : le protocole BlueTooth
 
Description :

Citation :

Une vulnérabilité a été identifiée dans le protocole Bluetooth, elle pourrait être exploitée par des attaquants distants afin de passer outre les restrictions sécuritaires. Le problème résulte d'une erreur de conception présente au niveau du processus de pairing initialisé par deux (ou plusieurs) périphériques dans le but de créer une clé partagée dédiée à la communication, ce qui pourrait être exploité par des attaquants distants afin de déterminer la code PIN (Personal Identification Number), intercepter des communications, ou contrôler un périphérique vulnérable.

Solution : pas de solution pour le moment à part désactiver le protocole
 
## Deux problèmes sous Avast ## avast! antivirus May Fail to Detect Certain Viruses Archives SecurityTracker 18/05/2005 et aussi avast! Antivirus Device Driver Memory Overwrite Vulnerability Secunia advisories 26/05/2005 et Alwil Software Avast Antivirus Device Driver Memory Overwrite Vulnerability Bugtraq SecurityFocus 26/05/2005
Versions concernées : Avast antivirus v4.6
 
Description :

  • certains types de virus peuvent éviter leur détection (pas plus de détails donnés)
  • la vulnérabilité est due au fait qu'il manque une vérification au niveau du module de gestion des périphériques et peut être exploitée pour écraser des données en mémoire en les remplaçant par d'autres spécialement forgées par l'attaquant. Cela permet soit de créer un DoS du logiciel soit d'exécuter des codes arbitraires.

 
Solution : pour le 1er problème c'était corrigé par la version 4.6.652 et pour le deuxième c'est la 4.6.665
 
## Problème DNS sous divers produits de divers marque (dont Cisco) ## Cisco Various Products Compressed DNS Messages Denial of Service Secunia advisories 24/05/2005 et Multiple Cisco Products DNS Protocol Denial Of Service Vulnerability et Domain Name System (DNS) Protocol Denial Of Service Vulnerability Bulletin FrSIRT 24/05/2005
Logiciels concernés :  

  • Cisco ACNS Software Version 4.x et 5.x
  • Cisco IP Phone 7900 Series
  • Cisco Unity Express 2.x


Description :

Citation :

Une vulnérabilité a été identifiée dans plusieurs produits Cisco, elle pourrait être exploitée par des attaquants distants afin de causer un déni de service (DoS). Le problème résulte d'une erreur présente au niveau du processus de récursivité utilisé par certaines implémentations DNS (Domain Name System) afin de décompresser les messages DNS (RFC 1035), ce qui pourrait être exploité par un attaquant distant afin d'altérer le fonctionnement d'un système vulnérable en envoyant, vers un serveur DNS, des paquets spécialement conçus. Pour plus d'informations, se référer au bulletin : FrSIRT/AVIS-2005-0610

en dehors de Cisco pas mal de produits seront vulnérables à cette faille.

Citation :

Une vulnérabilité a été identifiée dans le protocole DNS (Domain Name System), elle pourrait être exploitée par des attaquants distants afin de causer un déni de service (DoS). Le problème résulte d'une erreur présente au niveau du processus de récursivité utilisé par certaines implémentations dans le but de décompresser les messages DNS compressés (RFC 1035), ce qui pourrait être exploité par un attaquant distant afin d'altérer le fonctionnement d'un système vulnérable en envoyant, vers un serveur DNS, un paquet spécialement conçu.
Note : Cette vulnérabilité ne devrait pas représenter une menace majeure pour la sécurité de l'internet, car les produits les plus répandus, tels que ISC Bind et Microsoft DNS, ne semblent pas être vulnérables.

Solution : pour Cisco, aller voir à la page http://www.cisco.com/warp/public/7 [...] l#software (plusieurs produits ne seront corrigés que fin juin :/
 
## Computer Associates et Zone Labs ## CA Multiple Products Vet Antivirus Engine Buffer Overflow et Zonelabs ZoneAlarm Vet Antivirus Engine Buffer Overflow Secunia advisories 24/05/2005 , Computer Associates Multiple Products Vet Engine Heap Overflow Bulletin FrSIRT 23/05/2005 , Zone Labs ZoneAlarm Vet anti-virus engine OLE processing vulnerability BugTraq SecurityFocus 25/05/2005 et [url=http://www.secuser.com/communiques/2005/050523_vet_ca.htm]Vulnérabilité critique dans les antivirus
Computer Associates et ZoneAlarm[/url] Alerte Secuser 23/05/2005
Logiciels concernés :  

  • Computer Associates eTrust Antivirus 6.x et 7.x
  • Computer Associates EZ eTrust Antivirus 7.x.x
  • Computer Associates eTrust Intrusion Detection 1.x, 2.x et 3.x
  • Computer Associates eTrust Secure Content Manager 1.x
  • ZoneLabs ZoneAlarm Antivirus 5.x
  • ZoneLabs ZoneAlarm Security Suite 5.x


Description :

Citation :

Une vulnérabilité critique a été identifiée dans plusieurs produits Computer Associates, elle pourrait être exploitée par un attaquant distant ou un ver/virus afin de compromettre un système vulnérable.
 
Le problème résulte d'une erreur de type heap overflow présente au niveau de la librairie Vet (VetE.dll) qui ne gère pas correctement certaines macros VBA contenant des entêtes malformées, ce qui pourrait être exploité afin d'exécuter des commandes arbitraires distantes en envoyant, vers un antivirus vulnérable, un document Microsoft Office spécialement conçu.

Solution : les correctifs sont appliqué par la mise à jour à partir de l'antivirus, le moteur Vet 11.9.1 est la première version corrigée (datant de début Mai)
 
## Nombreuses vulnérabilités dans Netscape ## Netscape Two Vulnerabilities Secunia advisories 23/05/2005 , Netscape Browser Multiple Remote Code Execution Vulnerabilities Bulletin FrSIRT 20/05/2005 et Vulnérabilités multiples dans Netscape Alerte Secuser 19/05/2005
Versions concernées : Netscape Browser 6.x,7.x et 8.0 beta
 
Description : Suite aux corrections sur les dernières versions de Firefox et Mozilla Suite

Citation :

Netscape Communications vient de publier une mise à jour de sécurité pour son navigateur Netscape, elle corrige plusieurs vulnérabilités critiques qui pourraient être exploitées par des attaquants distants afin de compromettre un système vulnérable, conduire des attaques par Cross Site Scripting ou contourner les restrictions sécuritaires. Pour plus d'informations, se référer aux bulletins : FrSIRT/AVIS-2005-0530 - FrSIRT/AVIS-2005-0493 - FrSIRT/AVIS-2005-0361 - FrSIRT/AVIS-2005-0312 - FrSIRT/AVIS-2005-0296 - FrSIRT/AVIS-2005-0206 - FrSIRT/AVIS-2005-0116 - FrSIRT/AVIS-2005-0112

Solution : passer à la version 8.0.1 http://browser.netscape.com/ns8/download/default.jsp
 
## Trois problèmes dans Yahoo! Messenger ## Yahoo! Messenger URL Handler Remote DoS Vulnerability , Yahoo! Chat Add Buddy Without Consent Privacy Issue et Yahoo! Messenger may be storing all session data 'Unencoded' on the local machine - Re:Yahoo! Messenger may be storing all session data 'Unencoded' on the local machine BugTraq SecurityFocus 14 et 18-19/05/2005
Versions concernées : Yahoo Messenger 6 (même 7 beta pour la dernière)
 
Description :  

  • Une vulnérabilité type DoS existe dans la manière dont Yahoo! Messenger traite les arguments dans les liens URL YMSGR: . En forgeant les liens avec certains caractères placés en 1ère ou 3ème colonne (après YMSGR: ) on peut créer des paquets malformés à envoyer aux serveurs Yahoo, ce qui déconnectera automatiquement la session de discussion en cours.
  • Une vulnérabilité existe dans les serveurs de discussion Yahoo! qui permettent à des contacts d'être ajoutés à la liste de vos amis sans leur consentement et sans qu'ils le sachent. Cela permet de lire les messages de présence de vos amis.
  • En activant (localement ou à distance en amenant un utilisateur à cliquer sur un lien) la fonction de log dans Yahoo! Messenger une personne (peut-être non-autorisée) peut stocker secrètement et consulter toutes les communications entrentes et sortante de tous les utilisateurs connectés sur le Messenger sur le pc.


Solution : pas de solutions officielles
 
## Vulnérabilités dans Gaim ## Gaim URL Processing Buffer Overflow Vulnerability Secunia advisories 11/05/2005 , Gaim URL Handling Remote Buffer Overflow Vulnerability Bulletin FrSIRT 11/05/2005 et Gaim Bugs in Processing MSN Messages and Certain URLs Let Remote Users Deny Service Archives SecurityTracker 11/05/2005
Versions concernées : Gaim 1.0.x, 1.1.x et 1.2x
 
Description :

Citation :

Deux vulnérabilités ont été identifiées dans Gaim, elles pourraient être exploitées par des attaquants distants afin de compromettre un système vulnérable ou causer un déni de service (DoS). Le premier problème, qualifié de critique, résulte d'une erreur de type stack overflow présente au niveau de la routine de gestion des URLs incluses dans les messages, ce qui pourrait être exploité afin d'exécuter des commandes arbitraires distantes en envoyant un message contenant une URL spécialement conçue (d'une longueur supérieure à 8192 octets). La seconde vulnérabilité est due à une erreur de type "NULL pointer" présente au niveau de la gestion des messages MSN, ce qui pourrait être exploité afin de causer un déni de service et altérer le fonctionnement d'une application vulnérable.

Solution : passer à la version 1.3.0 http://gaim.sourceforge.net/downloads.php
 
## Faille dans iTunes ## iTunes MPEG-4 File Parsing Buffer Overflow Vulnerability Secunia advisories 10/05/2005 et Apple iTunes MPEG4 Buffer Overflow May Let Remote Users Execute Arbitrary Code Archives SecurityTracker 09/05/2005
Logiciel concernés : iTunes 4.7 et inférieure
 
Description : Un attaquant distant peut forgé un fichier MPEG4 qui, lorsqu'il sera chargé par l'utilisateur sous iTunes, entraînera un "buffer overflow" et plantera le logiciel, voire même l'exécution de code arbitraire peut être possible (dans ce cas cela se produira avec les droits de l'utilisateur).
 
Solution : passer à la version 4.8 http://www.apple.com/support/downloads/itunes48.html
 
## Deux failles sous Mozilla Firefox = Gros problème ## Mozilla Firefox "Extensions" Remote Code Execution Vulnerability Bulletin FrSIRT 08/05/2005 , Mozilla Firefox Two Vulnerabilities et Mozilla "IFRAME" JavaScript URL Cross-Site Scripting Secunia advisories 08-09/05/2005 et Firefox Remote Compromise Technical Details BugTraq SecurityFocus 08/05/2005
Logiciels concernés :  

  • Mozilla Firefox 1.0.3 et inférieurs
  • Mozilla Suite 1.7.7 et inférieure (uniquement sensible à la faille IFrame)


Description :

Citation :

Une vulnérabilité critique a été identifiée dans Mozilla Firefox, elle pourrait être exploitée par des attaquants distants afin d'exécuter des commandes arbitraires. Le premier problème résulte d'une erreur présente au niveau de la gestion du paramètre "src" inclus avec un tag "IFRAME", ce qui pourrait être exploité afin de conduire des attaques par Cross Site Scripting.
La seconde vulnérabilité est due à une erreur présente au niveau du filtrage de la variable "iconURL" (utilisée par la fonction "InstallTrigger.install" ), ce qui pourrait être exploité par des attaquants distants afin de compromettre un système vulnérable via une page web ou un email contenant un code javascript malicieux.
[...]
Update - L'exploitation de cette vulnérabilité n'est plus possible à l'heure actuelle, car la fondation Mozilla à modifié la fonction "install" sur son serveur de téléchargement des extensions (en y ajoutant des nombres et des chiffres générés aléatoirement), ce qui empêche l'exécution de commandes arbitraires distantes et la compromission d'un système vulnérable via l'exploit public.

Solution : FF 1.0.4 est sorti, idem pour Mozilla 1.7.8 , http://www.mozilla.org/download.html
 
## Vulnérabilité dans Adobe SVG Viewer ## Adobe SVG Viewer Local File Detection Weakness Secunia advisories 05/05/2005 et Adobe SVG Viewer Local File Discovery Vulnerability Bulletin FrSIRT 05/05/2005
Logiciel concernés : Adobe SVG Viewer 3.02 et inférieurs
 
Description :

Citation :

Une vulnérabilité a été identifiée dans Adobe SVG Viewer, elle pourrait être exploitée par un attaquant distant afin d'accéder à certaines informations sensibles. Ce problème est due a une erreur présente au niveau du contrôleur ActiveX Adobe SVG Viewer (NPSVG3.dll) qui ne filtre pas correctement la variable "src", ce qui pourrait être exploité par un attaquant distant afin de vérifier la présence d'un fichier arbitraire au sein d'un système vulnérable, en incitant un utilisateur à visiter une page HTML malicieusement construite.

Solution : passer à la version 3.03 http://www.adobe.com/svg/viewer/install/main.html
 
## Faille corrigée chez Symantec ## Symantec Products ICMP Handling Denial of Service Secunia advisories 03/05/2005 et Symantec Security Update Fixes ICMP DoS Vulnerabilities Bulletin FrSIRT 03/05/2005
Logiciels concernés : OS et Software

  • Symantec Gateway Security 5400 Series v2.x et 5300 Series v1.0
  • Symantec VelociRaptor, Model 1100/1200/1300 v1.5
  • Symantec Gateway Security 300 Series et 400 Series
  • Symantec Firewall/VPN Appliance 100/200/200R
  • Nexland ISB SOHO Firewall Appliances
  • Nexland Pro Series Firewall Appliances  
  • Symantec Enterprise Firewall v7.0.x et v8.0


Description : des failles existantes sur de très nombreux produits de très nombreuses marques ont été corrigées chez Symantec

Citation :

Plusieurs vulnérabilités ont été identifiées dans certains produits Symantec, ce qui pourrait être exploité par des attaquants distants afin de causer un déni de service (DoS). Ces problèmes résultent d'erreurs multiples présentes au niveau de la gestion des messages d'erreurs ICMP, ce qui pourrait être exploité par un attaquant afin de réaliser des attaques de type "blind data injection" ou "blind reset". Pour plus d'informations, se référer au bulletin : FrSIRT/AVIS-2005-0344

Solution : appliquez les correctifs dispo à http://www.symantec.com/techsupp
 
## Petit problème dans la famille Kerio ## Kerio Products Password Brute Force and Denial of Service Secunia advisories 02/05/2005 et Kerio Products Denial of Service and Brute Force Vulnerabilities Bulletin FrSIRT 02/05/2005
Logiciels concernés :  

  • Kerio WinRoute Firewall version 6.0.10 et inférieures
  • Kerio Personal Firewall version 4.1.2 et inférieures
  • Kerio MailServer version 6.0.8 et inférieures  


Description :

Citation :

Deux vulnérabilités ont été identifiées dans plusieurs produits Kerio, elles pourraient être exploitées par des attaquants afin de causer un déni de service ou conduire des attaques par brute-force. Les deux problèmes résultent d'une erreur présente au niveau du protocole d'administration qui ne filtre pas correctement certains messages de pre-authentification ainsi que certaines tentatives de connexions simultanées et/ou répétitives, ce qui pourrait être exploité afin de faciliter des attaques par dictionnaire ou afin d'altérer le fonctionnement d'un système vulnérable.

Solution : télécharger les mises à jour selon le logiciel http://www.kerio.com/kwf_download.html , http://www.kerio.com/kpf_download.html et http://www.kerio.com/kms_download.html
 
## Faille dans divers produits Symantec Antivirus ## Symantec AntiVirus Products RAR Archive Virus Detection Bypass Secunia advisories 28/04/2005 et Symantec AntiVirus Products RAR Archive Bypass Vulnerability Bulletin FrSIRT 28/04/2005
Logiciels concernés :  

  • Norton AntiVirus 2005, Internet Security 2005 et System Works 2005
  • Symantec Web Security 3.0.1.72
  • Symantec Mail Security for SMTP 4.0.5.66 et for Exchange 4.5.4.743  
  • Symantec AntiVirus Scan Engine 4.3.7.27
  • Symantec SAV/Filter for Domino NT 3.1.1.87


Description :

Citation :

Une vulnérabilité a été identifiée dans plusieurs produits Symantec, elle pourrait être exploitée par un virus/ver afin de contourner certaines restrictions sécuritaires. Le problème résulte d'une erreur présente au niveau de la fonction chargée de la décomposition des archives, qui ne manipule pas correctement certains fichiers RAR malicieusement construits, ce qui pourrait être exploité afin de contourner les protections et passer outre la procédure de détection de fichiers malicieux.
 
Note : Cette vulnérabilité ne représente pas une menace importante, puisque les fichiers malicieux non scannés seront vérifiés et détectés, dés leur extraction, par RealTime Virus Scan ou Auto-Protect.

Solution : correctifs dispo par LiveUpdate
 
## Vulnérabilité sous dBpowerAMP ## dBpowerAMP Music Converter Privilege Escalation Vulnerability Secunia advisories 26/04/2005 et dBpowerAMP Auxiliary - Abnormal execution BugTraq SecurityFocus 26/04/2005
Versions concernées : dBpowerAMP Music converter 10.x et 11.x
 
Description : La vulnérabilité est due à une combination d'un défaut de surveillance des droits d'un répertoire et de "auxiliary.exe" qui invoque l'utilitaire "sndvol32.exe" de manière non-sécurisée lors de la configuration de source en entrée pour enregistrer un son. Cela peut être exploité pour exécuter un code arbitraire avec les privilèges d'un autre utilisateur en plaçant un fichier "sndvol32.exe" malicieux dans le répertoire d'installation de dBpowerAMP (cela nécessite que le logiciel ait été installé hors de l'emplacement par défaut qui est Program Files).
 
Solution : ne pas installer hors du répertoire par défaut et ne pas copier "sndvol32.exe" dans le répertoire de dBpowerAMP
 
## Risque dans Bitdefender ## BitDefender Insecure Program Execution Vulnerability Secunia advisories 26/04/2005 et BitDefender 8 - Race condition vulnerability BugTraq SecurityFocus 23/04/2005
Versions concernées : BitDefender Antivirus 8.x (Pro Plus et Standard)
 
Description : Durant l'installation de Bitdefender, le processus crée des entrées dans les clés "Run" de la base de registre pour permettre l'exécution de certain programmes lorsqu'un utilisateur se connecte. Mais ces entrées sont créées de manière non-sécurisée et peuvent être utilisées pour empêcher la protection anti-virale de se lancer ou pour exécuter un quelconque programme avec les droits d'un autre utilisateur déja loggué en plaçant un fichier au nom spécialement forgé dans le path de l'application.
 
Solution : il est recommandé de quoter la ligne de commande des entrées créées dans la base de registre
 
## Faille dans Acrobat Reader 6.0 ## Acrobat Reader Invalid-ID-Handle-Error Buffer Overflow May Let Remote Users Execute Arbitrary Code SecurityTracker Archives 21/04/2005
Versions concernées : 6.0 et inférieur
 
Description : Un utilisateur distant peut créer un pdf spécialement forgé qui, lorsqu'il est chargé par Acrobat Reader, entraûnera une erreur "Invalid-ID-Handle-Error" dans le processus 'AcroRd32.exe', lui permettant ainsi de pouvoir écrire des données à certains endroits de la mémoire et potentiellement de les exécuter.  
 
Solution : aucune pour le moment
 
## Vulnérabilités sous netscape ## Netscape GIF Image Netscape Extension 2 Buffer Overflow et Netscape DOM Nodes Validation Vulnerability Secunia Advisories 26 et 29/04/2005 et Netscape "GIF" Image Netscape Extension 2 Buffer Overflow Issue et Netscape DOM Nodes Validation Code Execution Vulnerability Bulletins FrIST 27 et 29/04/2005
Versions concernées : 6.x et 7.x inférieures à 7.2
 
Description : deux failles patchées sous Mozilla et Firefox (1.0.2 et 1.0.3) ont été vérifiées sous Netscape

Citation :

Une vulnérabilité critique a été identifiée dans Netscape, elle pourrait être exploitée par un attaquant distant afin de compromettre un système vulnérable. Le problème résulte d'une erreur de type "heap overrun" présente au niveau de la gestion de certaines images GIF forgées, ce qui pourrait être exploité afin d'exécuter des commandes arbitraires distantes via une page web ou un email malicieux. Pour plus d'informations, se référer au bulletin : FrSIRT/AVIS-2005-0296

Citation :

Une vulnérabilité critique a été identifiée dans Netscape, elle pourrait être exploitée par un site web malicieux afin d'exécuter des commandes arbitraires. Le problème, initialement découvert sous Mozilla, résulte d'une erreur de permissions présente au niveau de la gestion de certains DOMs (Document Object Model), ce qui pourrait être exploité afin d'exécuter des commandes arbitraires via une page HTML malicieusement construite. Pour plus d'informations, se référer au bulletin : FrSIRT/AVIS-2005-0361

Solution : aucune pour le moment
 
## Failles dans Mplayer ## MPlayer RTSP and MMST Streams Buffer Overflow Vulnerabilities Secunia Advisories 20/04/2005 , MPlayer MMST and Real RTSP Two Heap Overflow Vulnerabilities Bulletin FrIST 20/04/2005 , MPlayer MMST and RTSP Buffer Overflows Let Remote Users Execute Arbitrary Code SecurityTracker Archives 20/04/2005 et multiple heap overflows in MMS and Real RTSP streaming clients BugTraq SecurityFocus 21/04/2005  
Versions concernées : toutes 0.x et 1.x inférieures à 1.0pre6
 
Description : [quote]Deux vulnérabilités ont été identifiées dans MPlayer, elles pourraient être exploitées par un attaquant distant afin de compromettre un système vulnérable. Le premier problème résulte d'une erreur de type "heap overflow" présente au niveau du code MMST qui ne gère pas correctement plusieurs stream IDs simultanés, ce qui pourrait être exploité afin d'exécuter des commandes arbitraires avec les privilèges de l'utilisateur connecté. La seconde vulnérabilité résulte d'une erreur de type "heap overflow" présente au niveau du code Real RTSP qui ne gère pas correctement des données contenant un grand nombre de lignes (supérieur au nombre spécifié dans "MAX_FIELDS" ), ce qui pourrait être exploité afin de causer un déni de service et potentiellement exécuter des commandes arbitraires.[/quot


Message édité par minipouss le 14-07-2006 à 19:50:28
n°1510109
minipouss
un mini mini
Posté le 30-03-2004 à 14:08:02  profilanswer
 

===========
8. Archives Virus
===========
 
 
/!\ Encore un Bagz!!! /!\ W32.Bagz.F@mm et W32.Bagz.H@mm (Symantec), W32/Bagz.f@MM , W32/Bagz.g@MM et W32/Bagz.gen@MM (Mac Afee), WORM_BAGZ.E et WORM_BAGZ.F (Trend), W32/Bagz-F (Sophos) et Win32.Bagz.F (Computer Associates)
Propagation : par mail en anglais, différents sujets, plusieurs corps de texte de 4-5 lignes différents pour amener à ouvrir la pièces jointe qui est un .doc(plein d'espaces).exe ou la même chose mais dans un zip (about admin archivator archives ataches backup docs documentation help inbox manual outbox payment photos rar readme save sqlssl zip)
Symptômes :

  • Crée plusieurs fichiers dans le répertoire %system%, à savoir sqlssl.doc[many spaces].exe , sysinfo32.exe (102400 octets) et trace32.exe (40448 octets) ainsi que les dll suivantes permettant de stocker des données ipdb.dll jobdb.dll et wdate.dll (qui contient la date et l'heure de l'infection)
  • Enregistre un service avec une clé nommée Xuy v palto ou ALEXORA

sous HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\ avec les propriétés suivantes : "Nom: Windows Secure SSL" "Chemin: %System%\TRACE32.EXE" "Description: This service implements the secure HyperText Transfer Protocol (HTTPS) for the HTTP service."
 
Actions :

  • Modifie le fichier hosts pour bloquer l'accès à de nombreux sites web ( sécurité, divers sites microsoft et des sites de pubs (ad.doubleclick.net par exemple) )
  • Fouille l'ensemble de la base de registre afin de supprimer un très grand nombre de clés en relation avec pleins d'applications de sécurité
  • sysinfo32.exe permet normalement au virus de télécharger et d'exécuter des fichiers à partir des domaines groundworm.biz et warfed.biz mais la fonction semble foireuse


/!\ les derniers Bagle!!! /!\ Alerte Secunia


Propagation : tous par mail en anglais ( sujet en "Re:..." ) avec fichier attaché nommé price ou Joke et extension .com .cpl .exe ou .scr et partage sous des noms de logiciels connus dans les répertoires dont le nom contient "shar"
Symptômes : fichier bawindo.exe ou wingo.exe dans le répertoire %system% et clé RUN correspondante dans la base de registre
Actions :

  • arrête les services suivants : "SharedAccess" - Internet Connection Sharing et "wscsvc" - MS security center
  • supprime les clé suivantes dans les clés RUN : My AV, Zone Labs Client Ex, 9XHtProtect, Antivirus, Special Firewall Service, service, Tiny AV, ICQNet, HtProtect, NetDy, Jammer2nd, FirewallSvr, MsInfo, SysMonXP, EasyAV, PandaAVEngine, Norton Antivirus AV, KasperskyAVEng, SkynetsRevenge, ICQ Net
  • ouvre une backdoor sur le port 81 en TCP
  • essaye de télécharger un fichier à partir d'une liste prédéfinie de site web pour le sauver en tant que %System%\re_file.exe


/!\ Microsoft n'envoie pas de mail !!! /!\
VBS/Obvious-A (Sophos)
Petit script en Visual Basic qui s'envoie par mail en se faisant passer pour le service technique de Microsoft. Il essaye de télécharger un code qui pourrait être un ver de la famille des Melissa :/
Expéditeur : "msupport"
Sujet : "Microsoft Critical Update"
Message : "Dear Windows User
Our Windows watch server has detected that you have not got full protection
against viruses and spyware. Open the attachment to recieve the update manager"
Fichier attaché : le script sous un nom .exe ou .vbs
J'en profite donc ici pour redire que Microsoft n'envoie JAMAIS de message pour des patchs !!!
 
/!\ Buchon (Un "faux" Netsky) /!\
W32.Buchon.A@mm (anciennement nommé W32.Netsky.AE@mm) (Symantec), W32/Buchon.gen@MM (anc. nommé W32/Netsky.ah@MM) (Mac Afee), WORM_BUCHON.A (anc. nommé WORM_NETSKY.AI) (Trend), W32/Baba-A (anc. nommé W32/Netsky-AE) (Sophos) et Win32.Buchon.B (anc. nommé Win32.Netsky.AG) (Computer Associates)
Propagation : par mail (avec expéditeur et destinataire pris dans les carnets d'adresses .dat .dbx .eml .mbx .mdb .tbb .wab et les fichiers dont le nom contient Inbox) avec pour sujet "Mail Delivery failure - %adresse du destinataire%", corps de message "If the message will not displayed automatically, you can check original in attached message.txt. Failed message also saved at: www.%domain.com%/inbox/security/re [...] id-(random 4 digit number) (check attached instructions) +++ Attachment: No Virus found
+++ MC-Afee AntiVirus - www.mcafee.com
" et un fichier attaché "message txt (bcp d'espaces) length %random number%  bytes (bcp d'espaces) mcafee.com" qui contient en fait le virus en .com ou .exe
Symptômes :  

  • Crée un fichier csrss.exe (même nom que le vrai) placé à la racine "c:\" qui une fois exécuté crée [/i]csrss.bin[/i] (non malicieux) au même endroit
  • Une clé de BDR pour se lancer au démarrage "Key Logger" = c:\csrss.exe" placé dans HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\


Action : il agit comme un serveur proxy et peut aussi télécharger et exécuter des fichiers sur le pc infecté. Il envoie des notifications HTTP (SYN packets) à des adresse IP aléatoires (parmi 209 qui sont dans son code) sur un port aléatoire situé entre 28032 et 28455. Et il envoie le fichier csrss.bin qui contient des données du pc. une fois tout cela fait, il supprime l'entrée de la bdr.
En fait il y a deux variantes à peu près du même type et elles ont semble-t-il des bugs qui peuvent faire qu'elles ne fonctionnent pas :)
 
/!\ Détection des WMF et EMF Malicieux /!\  
Symantec a ajouté à sa liste de signature la possiblité de détecter les fichiers .wmf et .emf malformés en relation avec la faille MS04-032 corrigée le 12 Octobre dernier par Microsoft. Cette détection est appelée Bloodhound.Exploit.17
Idem pour Trend et deux types de fichiers .emf malformés EXPL_EMFSHELL.A et EXPL_EMFDOWN.A
 
/!\ Darby le très complet et complexe /!\ W32.Darby.B (Symantec), W32/Darby.worm.gen (Mac Afee), WORM_DARBY.O (Trend) et W32/Darby-N (Sophos)
Propagation :  

  • Par mail auto-envoyé aux contacts d'Outlook avec sujet en anglais et fichier attaché .pif .com .scr ou .zip
  • Par mail en modifiant de nombreuses clés de la BDR afin de transformer le comportement d'Outlook, et en se copiant de manière à servir de Modèle pour les mails en HTML. Le fichier utilisé (microsoftweb.htm) utilise une faille d'Outlook permettant de télécharger un fichier juste en lisant un mail (faille corrigée)
  • En se copiant sous de très nombreux noms dans les répertoires partagés de beaucoup de logiciels de P2P
  • Par IRC aussi


Symptômes :  

  • Une fois exécuté il affiche un message d'erreur en anglais ou espagnol selon les paramètres du pc infecté pour annoncer qu'il est impossible d'ouvrir le fichier car il est défectueux
  • Crée une ou plusieurs copie de lui-même dans le répertoire %System% sous un nom aléatoire dont les noms suivants (ACCDEFRAGINFO, CDGGROUPS386, DOSRUNDLDLL, IMAGE0X, KILLUSA, MICROROUTESTAT, NETRUNDLDRV, W2KEXPLORERBRD, W2KRUNDLSET, WINDEFRAGUPD, XPWIEKLIBl) avec comme extension .com .exe .pif ou .scr
  • Afin de démarre avec Windows il crée toutes les clés suivantes dans la base de registre : HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows run = "<Malware path>" ; HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\Bardiel StubPath = "<Malware path>" ; HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Run ACCDEFRAGINFO = "<Malware path>" ; HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run ACCDEFRAGINFO = "<Malware path>" ; HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\

CurrentVersion\Winlogon Shell = "EXPLORER.EXE <Malware path>"

  • Afin de s'exécuter à chaque lancement d'un fichier .BAT, .COM, .EXE, .PIF ou .SCR sur le pc, il crée la clé suivante @ = "%System%\<Malware path>\"%1\" %*" dans l'arborescnce de la BDR : HKEY_CLASSES_ROOT\batfile\shell\open\command  ; HKEY_CLASSES_ROOT\comfile\shell\open\command ; HKEY_CLASSES_ROOT\exefile\shell\open\command ; HKEY_CLASSES_ROOT\piffile\shell\open\command ; HKEY_CLASSES_ROOT\scrfile\shell\open\command
  • Pour désactiver le gestionnaire de tâches et l'éditeur de registre il ajoute les deux valeurs "DisableRegistryTools" = "1" et "DisableTaskMgr" = "1" aux clés [/i]HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System[/i] et HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Policies\System
  • Afin d'empêcher la correction du problème par l'ajout ou la modification de clés à la BDR il bloque l'usage des fichiers .reg et .key en ajoutant "(Default)" = "GDC" ou clés HKEY_LOCAL_MACHINE\SOFTWARE\Classes\regfile\shell\open\command et HKEY_LOCAL_MACHINE\SOFTWARE\Classes\keyfile\shell\open\command
  • Il crée aussi HKEY_LOCAL_MACHINE\SOFTWARE\GedzacLABS\Bardiel.d et HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\GEDZAC LABS et s'enregistre comme un service sous le nom "GEDZAC LABS"
  • Il modifie l'autoexec.bat (@win %System%\[nom aléatoire du fichier]), le win.ini (run=%System%\[nom aléatoire du fichier]) et le system.ini (shell=Explorer.exe %System%\[nom aléatoire du fichier])


Action :  

  • Essaye d'arrêter de très nombreuses applications de sécurité
  • Crée un script et l'ajoute à Mirc.ini pour que le virus puisse être envoyé par commandes DCC
  • Peut télécharger et exécuter un fichier à partir d'un site web


/!\ Bagz /!\ W32.Bagz.D@mm (Symantec), W32/Bagz.d@MM (Mac Afee) et WORM_BAGZ.C (Trend)
Propagation : Mail en anglais différents sujets (ASAP, please responce, Read this, urgent, toxic, contract, Money, office, Have a nice day, Hello, Russian's, Amirecans, attachments, attach, waiting, best regards, Administrator, Warning, text, Vasia, re: Andrey, re: please, re: order, Allert!, Att), corps de message assez long en anglais (soit pour demander si vous avez reçu le précédent fichier, soit pour vous dire que votre mail avait un virus ou a été reconnu comme du spam........) et fichier attaché avec les noms suivants (backup, admin, archivator, about, readme, help, photos, payment, archives, manual, inbox, docs, outbox, save, rar, zip, ataches, documentation) et une extension .zip ou .doc(beaucoup d'espaces).exe
Symptômes :  

  • Crée les fichiers suivants %System%\rpc32.exe, %System%\run32.exe et %System%\sysboot.doc (bcp d'espaces) .exe
  • Se déclare en tant que service RPC32 avec les caractéristiques suivantes : "Nom: Network Explorer", "Chemin: %System%\rpc32.exe", "Description: Démarre et configure les outils d'accessibilité à partir d'une fenêtre" et "Type de Démarrage: Automatique"
  • Toujours dans le répertoire %System% il crée des copies de lui-même avec les noms de fichiers attachés donnés ci-dessus lui servant à s'envoyer par mail


Action :  

  • ajoute une liste de site au fichiers Hosts afin d'en bloquer l'accès (ad.doubleclick.net, ad.fastclick.net, ads.fastclick.net, ar.atwola.com, atdmt.com, avp.ch, avp.com, avp.ru, awaps.net, banner.fastclick.net, banners.fastclick.net, ca.com, click.atdmt.com, clicks.atdmt.com, dispatch.mcafee.com, download.mcafee.com, download.microsoft.com,, downloads.microsoft.com, engine.awaps.net, f-secure.com, fastclick.net, ftp.f-secure.com, ftp.sophos.com, go.microsoft.com, liveupdate.symantec.com, mast.mcafee.com, mcafee.com, media.fastclick.net, msdn.microsoft.com, my-etrust.com, nai.com, networkassociates.com, office.microsoft.com, phx.corporate-ir.net, secure.nai.com, securityresponse.symantec.com, service1.symantec.com, sophos.com, spd.atdmt.com, support.microsoft.com, symantec.com, vupdate.symantec.com, updates.symantec.com, us.mcafee.com, vil.nai.com, viruslist.ru, windowsupdate.microsoft.com, www.avp.ch, www.avp.com, www.avp.ru, www.awaps.net, www.ca.com, www.f-secure.com, www.fastclick.net, www.kaspersky.ru, www.mcafee.com, www.my-etrust.com, www.nai.com, www.networkassociates.com, www.sophos.com, www.symantec.com, www.trendmicro.com, www.viruslist.ru, www3.ca.com
  • Efface un très grand nombre de processus et de valeurs de registre concernant des applications antivirus et de sécurité (firewall)


/!\ Bacros le destructeur venu du nord  /!\ Bacros.A (F-Secure), W32/Bacros-A et WM97/Bacros-A (Sophos) et W32.Bacros (Symantec)
Propagation : par disquette et CD (comme dans le bon vieux temps)
Symptômes :

  • Il se copie en %WinSysDir%\mssys.exe, %WinSysDir%\msdosdrv.exe et

%WinSysDir%\sys.exe (le dernier avec l'attribut fichier caché)

  • Il se place dans les clés de la base de registre suivantes afin de démarrer avec windows

"MSSys" = "%WinSysDir%\mssys.exe -d" dans HKLM\Software\Microsoft\Windows\CurrentVersion\Run
"MSDosdrv" = "%WinSysDir%\msdosdrv.exe -t" dans HKCU\Software\Microsoft\Windows\CurrentVersion\Run
 
Action : plein d'actions différentes selon la date (quand il se lance avec l'option "-d" )

  • Dès son exécution il affiche un fichier texte avec le bloc-note
  • L'exécution de "%WinSysDir%\msdosdrv.exe -t" crée un document word infecté par WM97/Bacros-A, WordInfo.doc dans le répertoire des documents de l'utilisateur (souvent Mes Documents par défaut) et dans le répertoire de windows
  • Le Macro Virus essaye de copier C:\Windows\System\sys.exe à la racine du lecteur A: comme ReadMy.exe
  • Si on est le 1er jour du mois, le virus remplace toutes les images au format .gif qu'il trouve sur les disques durs locaux du pc par une petite image .gif avec écrit "Kuole Jehova" qui signifie "Meurt Jehova" en finois
  • Si on est le 2 du mois, le virus fait une recherche sur les disques durs locaux du pc et crée une copie de lui même (en .exe) avec le nom de tous les fichiers .txt qu'il trouve. (nb: l'icône de ces copies du virus ressemble à celle du bloc-note)
  • Le 6 du mois, le Macro Virus tape le texte "I Madman" et met comme auteru du fichier "Ancient"
  • Les 10, 20 et 30 du mois le virus essaye d'ouvrir le fichier word infecté Wordinfo.doc afin de lancer le Macro Virus qui se répliquera à l'ouverture et à la fermeture des documents de l'utilisateur du pc. Ce Macro Virus réside dans un Macro appelée NewBacros, il infecte bien sûr le Normal.dot et se copie dans Normal.doc dans le répertoire Template de Word
  • Le 6 Décembre, jour de la fête d'indépendance de la Finlande, le virus modifie le fond d'écran du pc en mettant un petit drapeau finlandais à la place
  • Le 25 Décembre le virus effacera l'ensemble des fichiers présent sur tous les disques durs locaux
  • Tous les autres jours il essaiera de se copier sur les CD-ROM disponibles dans le lecteur (pour cela il faut que le pc soit équipé d'un logiciel de Packet Writing bien entendu). Il se copiera alors sous le nom ReadMy.exe et écrira un Autorun.inf pour se lancer dès l'insertion du cd sur un autre pc (ou modifiera l'autorun.inf existant)


 
/!\ Nouvelle version de Mydoom /!\ W32.Mydoom.AF@mm (Symantec), W32/Mydoom.ae@MM (Mac Afee), I-Worm.Mydoom.aa (Kaspersky),  Win32.Mydoom.AD (Computer Associates) et WORM_MYDOOM.AA (Trend)
Propagation : Par mail en anglais avec sujet (Announcement, Details, Document, Fw:Document, Fw:Important, Fw:Information, Fw:Notification, Fw:Warning, Important, Information, Notification, Re:Details, Re:Document, Re:Important, Re:Information, Re:Notification, Re:Warning, Warning, readnow!) , message ([sssssi]Check the attached)document., Daily Report., Details are in the attached document., Important Information., Kill the writer of this document!, Monthly news report., Please answer quickly!., Please confirm!., Please read the attached file!., Please see the attached file for details, Please see the attached file for details., Reply, See the attached file for details, Waiting for a Response. Please read the attachment., here is the document., your document.[/i]) suivi de +++ Attachment: No Virus found avec une pseudo confirmation d'éditeurs d'antivirus connus (+++ Bitdefender AntiVirus - www.bitdefender.com, +++ F-Secure AntiVirus - www.f-secure.com, +++ Kaspersky AntiVirus - www.kaspersky.com, +++ MC-Afee AntiVirus - www.mcafee.com, +++ MessageLabs AntiVirus - www.messagelabs.com, +++ Norman AntiVirus - www.norman.com, +++ Norton AntiVirus - www.symantec.com, +++ Panda AntiVirus - www.pandasoftware.com) et fichier attaché (archive.doc, attachment.doc, check.doc, data.doc, document.doc, error.doc, file.doc, information.doc, letter.doc, list.doc, message.doc, msg.doc, news.doc, note.doc, notes.doc, report.doc, text.doc avec une deuxième extension .cpl .pif .scr)
 
Symptômes :

  • Lors de l'exécution du virus, le bloc note s'ouvre et est rempli de cararctères "bizarres"
  • Se copie en tant que avpr.exe dans le répertoire Système
  • Ajoute la valeur "Avpr" = "%System%\avpr.exe" à la clé de registre HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run pour se lancer automatiquement avec Windows
  • Crée aussi le fichier TCP5424.dll dans le répertoire Système (responsable de l'ouverture d'une backdoor sur les ports TCP 5424, 5425, et 5426)
  • Modifie la valeur "(Default)"="%System%\TCP5424.dll" dans la clé de registre HKEY_CLASSES_ROOT\{E6FB5E20-DE35-11CF-9C87-00AA005127ED}\InProcServer32 pour qu'explorer.exe charge la dll
  • Crée le fichier %System%\msg15.txt qui contient le message

    Citation :

    Lucky's Av's ;P~. Sasser author gets IT security job and we will work with Mydoom , P2P worms and exploit codes .Also we will attack f-ecure,symantec,trendmicro,mcafee , etc. The 11th of march is the skynet day lol . When the beagle and mydoom loose, we wanna stop our activity <== so Where is the Skynet now? lol. This Will Drop W32.Scran P2P Worm


Action :

  • Crée les clés suivantes afin de se dire à lui-même que le virus a déja tourné sur ce pc HKLM\Software\Microsoft\Windows\DdInfect et HKCU\Software\Microsoft\Windows\DdInfect
  • Cherche et efface les valeurs ICQ Net et MsnMsgr de la clé HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\
  • Modifie le fichier [i]%System%\drivers\etc\hosts pour empêcher l'accès à de nombreux sites de sécurité : avp.com, ca.com, customer.symantec.com, dispatch.mcafee.com, download.mcafee.com, f-secure.com, kaspersky.com, liveupdate.symantec.com, liveupdate.symantecliveupdate.com, mast.mcafee.com, mcafee.com, my-etrust.com, nai.com, networkassociates.com, rads.mcafee.com, secure.nai.com, securityresponse.symantec.com, sophos.com, symantec.com, trendmicro.com, update.symantec.com, updates.symantec.com, us.mcafee.com, viruslist.com, viruslist.com, www.avp.com, www.ca.com, www.f-secure.com, www.kaspersky.com, www.mcafee.com, www.my-etrust.com, www.nai.com, www.networkassociates.com, www.pandasoftware.com, www.sophos.com, www.symantec.com, www.trendmicro.com, www.viruslist.com
  • Essaye de télécharger un fichier d'une URL du domaine freewebs, le sauve sous c:\Scran.exe et l'exécute. (virus P2P détecté sous le nom W32.Narcs (Symantec), W32/Scran.worm (Mac Afee), Worm.P2P.Scranor.a (Kaspersky) ou Win32.Scranor.A (Computer Associates)


/!\ Nouvelle version de Netsky /!\ W32.Netsky.AD@mm (Symantec), W32/Netsky.ag@MM (Mac Afee), WORM_NETSKY.AF (Trend), W32/Netsky-AD (Sophos) et Win32.Netsky.AE (Computer Associates)
Propagation :

  • Par mail avec sujet, message et fichier attaché (.pif .com .scr .bat .zip) en portugais
  • Par copie sous différents noms de fichiers .scr dans les répertoires contenant les mots "Share" ou "Sharing", donc aussi bien les répertoires partagés sous réseau local que P2P


Symptômes :

  • Affiche une boite d'erreur avec le message "File Corrupted replace this!!"
  • Se copie en tant que Msnmsgrs.exe dans le répertoire de Windows
  • Toujours dans %Windir% il se copie sous tous les noms suivants : Agradou.zip agua!.zip AIDS!.zip aqui.zip banco!.zip bingos!.zip botao.zip brasil!.zip carros!.zip circular.zip contas!!.zip criancas!.zip diga.zip dinheiro!!.zip docs.zip email.zip festa!!.zip flipe.zip grana!!.zip grana.zip imposto.zip impressao!!.zip jogo!.zip lantrocidade.zip LINUSTOR.zip loterias.zip lulao!.zip massas!.zip missao.zip revista.zip robos!.zip sampa!!.zip sorteado!!.zip tetas.zip vaca.zip vadias!.zip vips!.zip voce.zip war3!.zip Zerado.zip
  • Ajoute la valeur "MsnMsgr" = "%Windir%\MsnMsgrs.exe -alev" à la clé de registre HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run pour se lancer automatiquement avec Windows


Action : il essaye d'effacer les clés de registre suivantes (pouvant appartenir à certains virus connus)

Citation :

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\Taskmon
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\Explorer
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\KasperskyAv
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\system.
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices\system.
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\Taskmon
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\Explorer
HKCR\CLSID\{E6FB5E20-DE35-11CF-9C87-00AA005127ED}\InProcServer32


/!\ Détection pour les .grp malformés (cf bulletin MS04-037) /!\ Bloodhound.exploit.15 (Symantec)

Citation :

Bloodhound.Exploit.15 is a heuristic detection for malformed GRP files that are potentially related to the Program Group Converter Vulnerability, which is described in Microsoft Security Bulletin MS04-037.
The files that are detected as Bloodhound.Exploit.15 may be malicious, or they may be the result of corruption. We suggest that you submit to Symantec Security Response any files that are detected as Bloodhound.Exploit.15


 
/!\ Virus Funner pour MSN /!\
Alerte Secunia , W32.Funner (Symantec), W32/Funner.worm (Mac Afee), WORM_FUNNER.A (Trend) , Win32.Funner.A (Computer Associates) et W32/Funner-A (Sophos)
Symptômes : Une fois exécuté il se copie en tant que  

  • %System%\IEXPLORE.EXE
  • %System%\EXPLORE.EXE
  • %Windir%\rundll32.exe sous 98 et ME cela écrase la vraie version du fichier windows !!
  • %System%\userinit32.exe
  • c:\funny.exe


et s'inscrit dans le registre de la manière suivante :

  • Ajoute la valeur "MMSystem"="%Windir%\rundll32.exe "%System%\mmsystem.dll"", RunDll32" à certaines des clés suivantes HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run pour que rundll32.exe démarre aussi avec Windows.
  • Sous 2000 et XP il ajoute la valeur "Userinit"="userinit32.exe," à HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon pour que userinit32.exe se lance avec Windows.
  • Sous 98 et ME il modifie la section [boot] du fichier SYSTEM.INI comme suit Shell = %System%\explorer.exe


Action : Il modifie le fichier host de manière à rediriger de très nombreux sites (plus de 900 !!!) vers une adresse IP pré-déterminée. Il peut aussi télécharger des composants à partir d'une adresse web
 
Propagation : Il essaye de s'envoyer par utilisation de MSN Messenger donc :

  • Il vérifie la présence du Messenger et du fichier MSVBVM60.DLL, composant de Microsoft Visual Basic
  • Il crée un fichier log dans le répertoire système de Windows %System%\bsfirst2.log
  • Il essaye de propager c:\funny.exe aux personnes de la liste de contact MSN, en envoyant des séquences de touches et en activant des boutons dans la fenêtre du Messenger


/!\ Petit trojan utile (pour une fois) /!\
Trojan.AdRmove (Symantec)
Ce trojan fouille sur le pc pour trouver et éliminer des fichiers et entrées de base de registre d'Adaware et spyware connus. Pas mal comme idée ;)  
 
/!\ Quand Mydoom se politise :pfff: /!\
W32.Mydoom.AC@mm (Symantec)
Nouvelle version de Mydoom qui niveau technique n'apporte rien de nouveau (le fichier mis sur le pc s'appelle Winhook32.exe et se lance au démarrage par la clé HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunServices , il s'auto-envoi par mail ou se loge sous de faux noms dans les répertoires de partage P2P).  
Le "problème" de cette version est qu'elle est négationniste. Voila les sujets, texte et fichiers attaché du mail :

  • Sujet : "Holohoax information", "Hackers for Historical Truth", "Free Ernst Zundel, The holocaust is a lie", "Information about Holocaust", "The Germar Rudolf Report", "Hello, here is your information!" ou  "Jewish Holocaust, another lie"
  • Corps du message : "'Courage', the ability to recognizr an iniquitous thing and take action against it: www.???.org", "Ten thousand museums, ten thousand 'survivor' eyewitness testimonies, ten thousand TV documentaries, ten thousand Hollywood movies and ten thousand newspaper and magazine articles would not make a lie a truth. See www.???.com", "If you are interested in the truth regarding the so-called Holocaust please see www.???.org" ou "The Holocaust is an outright lie. Please see www.???.org for much more. The truth deserves to be known."

N.B.: j'ai viré les adresses web des sujets pour ne pas donner libre tribune ici :jap:

  • Fichier attaché : body, trusth, holohoax-report, data, file, text, document, info, report avec comme extensions possibles .bat, .cmd, .exe, .scr, .pif


Voila donc un virus qui donne la nausée :(
 
/!\ Exploitation de la faille MS04-028 (JPEG/GDI+) /!\
Tout d'abord un petit mot pour dire que les éditeurs antivirus ont tous réagi pour protéger leurs utilisateurs de cette faille en créant une détection des jpeg malicieux (chacun à sa vitesse :D)
- Antivir 23.09.2004 17:51 "TR/Exploit.MS04-28 (exact)"
- Bitdefender 24.09.2004 14:21 "Exploit.Win32.MS04-028.Gen"
- Dr. Web 21.09.2004 10:51 "Exploit.MS04-028"
- eTrust (CA Engine) 22.09.2004 22:23 "JPEG.MS04-028.Exploit.Trojan"
- eTrust (VET Engine) 23.09.2004 06:38 partly detected as "JPEG.MS04-028.exploit"
- eTrust (VET Engine) 24.09.2004 06:40 fully detected as "JPEG.MS04-028.exploit"
- F-Secure 20.09.2004 08:46 "Exploit.Win32.MS04-028.gen"
- Kaspersky 23.09.2004 12:56 "Exploit.Win32.MS04-028.gen"
- McAfee 16.09.2004 23:20 "Exploit-MS04-028" and "Exploit-MS04-028.demo"
- Panda 24.09.2004 13:30 partly detected as "Exploit/MS04-028"
- Symantec 16.09.2004 03:38 partly detected as "Bloodhound.Exploit.13"
- Symantec 18.09.2004 03:42 fully detected as "Bloodhound.Exploit.13" and "Download.Trojan"
- Trend Micro 18.09.2004 06:10 "Exploit-MS04-028"  
copyright : http://www.heise.de/newsticker/meldung/51459 (en allemand)
je rajoute Exp/MS04-028 pour Sophos
 
Bonne idée de la part des éditeurs d'antivirus car on entend dire (sur les newsletters) que le patch microsoft n'est pas complet pour toutes les formes de jpeg malicieux. Il semble qu'il existe aussi une autre faille GDI mais qu'elle ne permette que de crasher un ordi, pas plus (mais méfiance....) Les éditeurs détectent aussi des "Kits" permettant la fabrication des ces jpeg mallicieux ( Hacktool.JPEGshell et Hacktool.JPEGDownload (Symantec) Troj/JpegBld-A (Sophos) HKTL-JPEGDEATH.A (Trend) )
 
Pour finir il faut savoir que Symantec détecte quatre trojans utilisant cette faille et permettant :
1/ d'exécuter des commandes (téléchargement et exécution programmes) sur le pc infecté Backdoor.Roxe ,  Trojan.Ducky et Trojan.Ducky.B
2/ d'exécuter un programme sur le pc infecté Trojan.Moo
 
/!\ Autres failles protégées par détection heuristique antivirus /!\
Juste un petit mot pour parler de l'utilité d'un antivirus pour des failles non encore patchée (voire ignorées ;) )
 
1/ Mac Afee s'intéresse aussi aux spyware en emettant une protection pour les modifications apportées au fichier hosts QHosts-16
 
2/ Symantec vient de sortir une détection pour des images TIFF malicieuses Bloodhound.Exploit.14 sous XP

Citation :

The vulnerability is reported to exist when Explorer.exe handles certain TIFF format images. It is related to the parsing of a circular linkage in the Image File Directory of the TIFF file header. If a Directory Entry pointer links back to the previous Entry, the parser will enter an infinite loop.


 
3/ En ce qui concerne la faille du Drag and Drop concernant Internet Explorer ( 5.5, 5.5 SP1, 5.5 SP2, 6 et 6 SP1 ) Microsoft Internet Explorer Implicit Drag and Drop File Installation Vulnerability (SecurityFocus) Microsoft Internet Explorer drag and drop object access / file exposure vulnerability (Computer Associates) certains éditeurs ont aussi mis en place une détection : JS/Exploit-DragDrop.b.gen (Mac Afee) et JS.Dragdrop.exploit (Computer Associates). Symantec annonce même un trojan qui utiliserait cette faille Backdoor.Sokeven
 
/!\ Un virus pour MSN /!\
W32.Snone.A (Symantec)
Pas très répandu mais intéressant pas sa méthode je trouve. Tout commence par un clic sur une url malicieuse. On accède alors à une page web qui utilise la faille MS04-013 pour exécuter un fichier .CHM
Le virus s'active en terminant ZoneAlarm et d'autres process (Ravmon, Eghost, Mailmon et Netbargp) puis il télécharge et exécute C:\SYShttp1.sys et C:\SYShttp2.sys
 
Le processus est lancé car cela met sur le pc les fichiers suivants :

  • %System%\moniker.exe
  • %System%\hktt.dll (un fichier légitime qui est utilisé pour intercepté les appels API)
  • %Temp%\winX.tmp (une copie de hktt.dll, où X est un entier)


Le virus s'installe dans la clé : HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run comme "realone_nt2003" = "%system%\moniker.exe" pour démarre avec Windows
 
Le principe du virus est alors le suivant : chaque fois qu'un message est envoyé par MSN il y rajoute le lien vers l'URL malicieuse
 
/!\ Un Bagle qui se répend rapidement /!\
W32.Beagle.AR@mm (Symantec) W32/Bagle.az@MM (Mac Afee) W32/Bagle-AZ (Sophos) WORM_BAGLE.AM (Trend) Win32.Bagle.AM (Computer Associates) Bagle.AS (Secuser) Bagle.AS (F-Secure)
Propagation :

  • email anglais (sujets "Re:", "Re: Hello", "Re: Thank you!", "Re: Thanks :)" ou "Re: Hi" ; corps de texte avec juste ":)" ou ":))" ; pièce jointe en .com, .cpl, .exe, or . scr avec nom de fichier "Price", "price" ou "Joke" )
  • par P2P en se copiant dans les répertoire comportant la séquence "shar" sous des noms de fichiers connus comme "ACDSee 9.exe", "Adobe Photoshop 9 full.exe", "Ahead Nero 7.exe", "Kaspersky Antivirus 5.0" ou "Windown Longhorn Beta Leak.exe" ; ou alors des cracks tels "Microsoft Office XP working Crack, Keygen.exe" ou "Microsoft Windows XP, WinXP Crack, working Keygen.exe" ; ou encore des fichiers pornos "Porno Screensaver.scr", "Porno pics arhive, xxx.exe" ou "XXX hardcore images.exe".


Symptômes :

  • il se copie sous le nom bawindo.exe dans le répertoire système de windows %System% et éventuellement sous les noms bawindo.exeopen, bawindo.exeopen ou bawindo.exeopen
  • pour se lancer à chaque démarrage il ajoute la clé suivante à la BDR HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\bawindo = "%System%\bawindo.exe"
  • il arrête les processus suivants (antivirus, sécurité ou autres virus) : alogserv.exe, APVXDWIN.EXE, ATUPDATER.EXE, AUPDATE.EXE, AUTODOWN.EXE, AUTOTRACE.EXE, AUTOUPDATE.EXE, Avconsol.exe, AVENGINE.EXE, AVPUPD.EXE, Avsynmgr.exe, AVWUPD32.EXE, AVXQUAR.EXE, blackd.exe, ccApp.exe, ccEvtMgr.exe, ccProxy.exe, ccPxySvc.exe, CFIAUDIT.EXE, DefWatch.exe, DRWEBUPW.EXE, ESCANH95.EXE, ESCANHNT.EXE, FIREWALL.EXE, FrameworkService.exe, ICSSUPPNT.EXE, ICSUPP95.EXE, LUALL.EXE, LUCOMS~1.EXE, mcagent.exe, mcshield.exe, MCUPDATE.EXE, mcvsescn.exe, mcvsrte.exe, mcvsshld.exe, navapsvc.exe, navapw32.exe, NISUM.EXE, nopdb.exe, NPROTECT.EXE, NUPGRADE.EXE, OUTPOST.EXE, PavFires.exe, pavProxy.exe, pavsrv50.exe, Rtvscan.exe, RuLaunch.exe, SAVScan.exe, SHSTAT.EXE, SNDSrvc.exe, symlcsvc.exe, UPDATE.EXE, UpdaterUI.exe, Vshwin32.exe, VsStat.exe, VsTskMgr.exe[i]
  • il essaye aussi d'arrêter et de désactiver Internet Connection Firewall (ICF) et Internet Connection Sharing (ICS) service  (the "SharedAccess" service) sous Windows XP


Actions :

  • il efface toutes les valeurs contenant les séquences suivantes : [i]9XHtProtect, Antivirus, EasyAV, FirewallSvr, HtProtect, ICQ Net,, ICQNet, Jammer2nd, KasperskyAVEng, MsInfo, My AV, NetDy, Norton Antivirus AV, PandaAVEngine, SkynetsRevenge, Special Firewall Service, SysMonXP, Tiny AV, Zone Labs Client Ex, service des clés HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run et HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
  • il essaye de télécharger un fichier (exe ou jpg selon les éditeurs antivirus :/ ) sur 146 url prédéfinies (mais actuellement aucune n'est accessible)
  • ouvre une backdoor sur le port 81 en UDP et TCP qui peut servir de relais mail
  • comme tout les virus il crée un "Mutex" qui évite au virus de tourner en plusieurs exemplaire sur le même pc. dans la liste des "Mutex" il y a les noms suivants : "MuXxXxTENYKSDesignedAsTheFollowerOfSkynet-D", "'D'r'o'p'p'e'd'S'k'y'N'e't'", "_-oOaxX|-+S+-+k+-+y+-+N+-+e+-+t+-|XxKOo-_", "[SkyNet.cz]SystemsMutex", "AdmSkynetJklS003", "____--->>>>U<<<<--____" et "_-oO]xX|-S-k-y-N-e-t-|Xx[Oo-_" probablement pour empêcher d'autres virus (comme Netsky) de tourner en même temps que lui


 
/!\ Mydoom, ça continue :sarcastic: /!\
W32.Mydoom.AB@mm (Symantec) W32/Mydoom.ab@MM (Mac Afee) Win32/Mydoom-Z (Sophos)
Propagation :

  • email anglais (sujets "normaux", "Re:" ou "FW:" ; corps de texte avec citation éditeur antivirus ; pièce jointe en .cpl .exe .zip ou .jpg(plein d'espaces).pif)
  • par P2P en se copiant dans le répertoire partagé de KaZaA
  • par ICQ en envoyant un mail aux contacts du pc infecté


Symptômes :

  • il se copie sous le nom services.exe dans le répertoire de windows %Windir%
  • il modifie un très grand nombre de clé de la BDR en HKLM et HKCU pour se lancer au démarrage en tant que service directement dans les clés NetBios et il change beaucoup de paramètres de configuration pour la navigation par Internet Explorer (supprime les proxy, modifie le lieu du cache et la taille de celui-ci afin d'essayer de bloquer la navigation)
  • il arrête et bloque le lancement d'un très grand nombre d'applications de sécurité (antivirus, anti-spyware, firewall, BDR.......)
  • d'après Sophos il modifie une clé du registre pour que le firewall l'autorise à sortir (je suppose que c'est pour le Firewall de XP SP2 car la clé est HKLM\System\CurrentControlSet???\Services\SharedAccress\DomainProfile\AuthorizedApplications\LIst)


Action :télécharge Backdoor.nemog.d (Symantec) BackDoor-CEB.e (Mac Afee) W32/Surila-C (Sophos) qui attend des infos par ICQ et qui modifie le fichier %System%\drivers\etc\hosts pour bloquer l'accès aux sites d'antivirus.
 
/!\ Variantes intéressante de Sdbot /!\
Worm_sdbot.uh (Trend) Article K-Otik 14/09/2004
Propagation :par exploitation des failles MS02-061, MS03-007, MS03-026 et MS04-011 puis dans le réseau local grace à des fonctions NetBEUI pour trouver des logins et mot des passes, il se copie dans le répertoire système et cherche à se propager dans le réseau en utilisant sa propre liste de users + mots de passe.
Symptômes :la présence des clés "Microsoft Time Manager" dans HKLM...RUN RUNSERVICES OLEavec comme valeur "dveldr.exe"
Actions :keylogging, backdoor, TFTP serveur qui essaye d'envoyer le virus sous le nom Bling.exe.
En fait le ver essaye de se connecter au serveur irc.t3musso.net pour attendre la liste suivante de commande :     * Update malware from HTTP and FTP URL * Steal CD keys of games * Execute a file * Download from HTTP and FTP URL * Open a command shell * Open files * Display the driver list * Get screen capture * Capture pictures and video clips * Display netinfo * Make a bot join a channel * Stop and start a thread * List all running process * Rename a file * Generate a random nickname * Perform different kinds of distributed denial of service (DDoS) attacks * Retrieve and clear log files * Terminate the bot * Disconnect the bot from IRC * Send a message to the IRC server * Let the bot perform mode change * Change BOT ID * Display connection type, local IP address, and other net information * Log in and log out the user * Issue Ping attack on to a target computer * Display system information: o CPU speed o Amount of memory o Windows platform, build version and product ID o Malware uptime o User name  
Il peut donc faire énormément de choses par le biais de ces commandes et tout connaitre sur le système infecté. Comme beaucoup de malwares actuels il récupère les CD-Keys de plusieurs jeux.
La nouveauté c'est

Citation :

This worm uses carnivore network sniffer and checks for the following strings:
    * : auth * : login * :!auth * :!hashin * :!login * :!secure * :!syn * :$auth * :$hashin * :$login * :$syn * :%auth * :%hashin * :%login * :%syn * :&auth * :&login * :*auth * :*login * :,auth * :,login * :.auth * :.hashin * :.login * :.secure * :.syn * :/auth * :/login * :?auth * :?login * :@auth * :@login * :\auth * :\login * :~auth * :~login * :+auth * :+login * :=auth * :=login * :'auth * :-auth * :'login * :-login * login * login * paypal * PAYPAL * paypal.com * PAYPAL.COM

il peut donc récupérer mots de passe non cryptés et informations de login.
 
/!\ Deux variantes de W32.Spybot /!\
W32.SPybot.DNB et W32.SPybot.DNC (Symantec)
Propagation :

  • pour le .dnb : il exploite les failles MS04-011 et MS01-059
  • pour le .dnc : il exploite les failles MS03-026 (TCP port 135), MS04-011, MS02-061 (UDP port 1434),MS03-007 (TCP port 80), MS01-059, MS03-049 (TCP port 445) et les partages réseau.


Symptômes :

  • .dnb: se copie en tant que %System%\HPPrint.exe
  • .dnc: se copie en tant que %System%\TimeSRV.exe
  • ils s'installent dans les clés RUN de la bdr pour se lancer au démarrage


Action :

  • .dnb: efface les partages ($ipc $admin $c $d). Ouvre une backdoor vers un canal IRC dans le domaine latina.a.la (TCP port 6667) et attend les commandes suivantes : Download and execute files, Scan the network for servers running back door Trojan horses, List, stop, and start processes, Launch Denial of Service (DoS) attacks, Steal system information and send it to the attacker, Perform port redirection, Start a socks 4 or socks 5 proxy. Vole les mots de passe et les CD keys de nombreux jeux, ainsi que les identifiants Windows, MSN, Yahoo Messenger et AIM.
  • .dnc: ouvre une backdoor vers un canal IRC (TCP port 6667) et attend les commandes suivantes : Download and execute files, Scan the network for servers running back door Trojan horses, List, stop, and start processes, Launch Denial of Service (DoS) attacks, Steal system information and send it to the attacker, Log keystrokes and saves them to a file in the %System% folder, Open a backdoor port, Delete, create, and list files, Perform port redirection, Flush local DNS cache, Start a socks proxy. Vole les mots de passe et les CD keys de nombreux jeux.  


/!\ Mydoom encore une autre :sarcastic: /!\
W32.Mydoom.V@mm (Symantec) Win32.Mydoom.Y (Computer Associates) W32/Mydoom.w@MM (Mac Afee) W32/MyDoom-W (Sophos)
Propagation : par mail en anglais. Le sujet contient "FW:" et donc le corps du message contient un soit-disant "original message". Le fichier attaché est axé vers des photos avec comme extension .exe .exe.safe ou .zip (contenant un fichier .jpg.pif). Comme pour les autres versions le mail cite des éditeurs d'antivirus connus.
 
Symptômes :

  • Se copie dans le répertoire %System% sous le nom win32s.exe et dans %Userprofile%\Start Menu\Programs\Startup\ sous le nom autorun.exe
  • S'installe dans la BDR pour se lancer à chaque démarrage du pc.


Action :

  • Il télécharge sauvegarde et exécute un fichier à partir des sites suivants : masteratwork.com, professionals-active.com, il-legno.it, 64.40.98.94, 69.93.58.116, mercyships.de un des fichiers suivants.
  • Backdoor.Nemog.c (Symantec) qui s'installe sur le pc sous le nom dx32cxlp.exe et .sys dans le répertoire %System et se lance comme service sur Local Machine. Il sert de relais smtp et de proxy http sous des numéros de ports TCP aléatoires. Il attend des commandes de son créateur : se désinstaller, se mettre à jour ou télécharger un fichier. Il modifie le fichier hosts ( %System%\DRIVERS\ETC\HOSTS ) afin de bloquer la connexion sur un grand nombre de sites d'éditeurs (infos virus et téléchargement de mises à jour): avp, viruslist, kaspersky, network associates, mac afee, f-secure, sophos, computer associates, symantec, e-trust, nai et trendmicro
  • W32.Sykel renommé en W32.Multex.B (Symantec) qui se propage en exploitant la faille MS04-011 LSASS (la même que pour Sasser) et ensuite par le réseau partagé de KaZaA et d'ICQ sous des noms d'exe connus (ex : Winzip 9.0.exe, trillian-v2.74h.exe) ou d'économiseurs d'écran (*.scr) . Il s'installe sur le pc et se lance au démarrage sous le nom iexp1orer.exe .  Puis il envoie un message avec un lien à tous les contacts ICQ présents sur le pc infecté ; les liens provoquant le téléchargement de W32.Mydoom.V ou de backdoor.nemog.c
  • le nom donné par Sophos est W32/Surila-B qui semble être un mix des deux précédents annoncés par Symantec :/


Information additionnelle :

Citation :

If the worm is run after 01:18:31 (1:18 AM and 31 seconds) 17 Septemeber 2004, it creates a batch file: %System%\win32skill.bat
If run, this batch file continually tries to delete the worm, as well as the batch file itself. The worm will cease to spread after this time.

d'après Computer Associates
 
/!\ Mydoom et une de plus /!\
W32.Mydoom.U@mm (Symantec) W32/Mydoom.r@MM (Mac Afee) Win32.Mydoom.X (Computer Associates)
pour les descriptions c'est un peu toujours le même topo
 
/!\ Encore deux variantes de Mydoom /!\
W32.Mydoom.T@mm et W32.Mydoom.T@mm (mutex différent) (Symantec) W32/Mydoom.u@MM et W32/Mydoom.v@MM (Mac Afee) W32/MyDoom-U et W32/MyDoom-V (Sophos)I-Worm.Mydoom.t (Kaspersky) Worm_Mydoom.P (Trend) Win32.Mydoom.U , Win32.Mydoom.V et Win32.Mydoom.W (Computer Associates) MyDoom.T (F-Secure)
Propagation : par mail avec

  • Sujet en anglais : You win!, thanks!, Thank you!, read it immediately, Re: Your document, Re: Status, Re: Question, Re: Proof of concept, Re: Message, Re: Hi, Re: Hello, Private document, Notice again, News, Information, important, Hi!, here, hello
  • Corps de message en anglais aussi :D (par exemple) : screensaverlol!, fun photos, New game, relax, Virus removal tool, You are infected by virus. Run this exe, apply this patch!, apply patch., game, fun game!, fun!, lol!, See the file., See attached file for details., Please read the important document., Please read the attached file., Please confirm the document.   Avec le nom d'un éditeur connu : Norton AntiVirus - www.symantec.de, F-Secure AntiVirus - www.f-secure.com, Norman AntiVirus - www.norman.com, Panda AntiVirus - www.pandasoftware.com, Kaspersky AntiVirus - www.kaspersky.com, MC-Afee AntiVirus - www.mcafee.com, Bitdefender AntiVirus - www.bitdefender.com, MessageLabs AntiVirus - www.messagelabs.com
  • Fichier attaché :  un fichier .zip qui contient un fichier .pif


Symptômes :

  • Se copie dans le répertoire %System% sous le nom winspf32.exe ou windr32.exe et dans %Userprofile%\Start Menu\Programs\Startup\ sous le nom autostart.exe ou rx32hh00.exe
  • S'installe dans la BDR sous clé RUN et comme User Agent de IE


Action :

  • Il télécharge le trojan Backdoor.Nemog.B (Symantec) , BackDoor-CEB.c (Mac Afee) ou W32/Surila-A (Sophos)qui s'installe sur le pc sous le nom dx32cxlp.exe et .sys dans le répertoire %System et se lance comme service sur Local Machine
  • Il essaye de contacter une liste de serveur icq pour attendre des commandes : se désinstaller, se mettre à jour ou télécharger un fichier
  • Il agit comme relais SMTP et comme proxy http sous des numéros de ports TCP aléatoires
  • Il modifie le fichier hosts ( %System%\DRIVERS\ETC\HOSTS )afin de bloquer la connexion sur un grand nombre de sites d'éditeurs (infos virus et téléchargement de mises à jour): avp, viruslist, kaspersky, network associates, mac afee, f-secure, sophos, computer associates, symantec, e-trust, nai et trendmicro


/!\ ALERTE IMPORTANTE /!\
W32.Blackmal.C@mm (Symantec) Win32.Blackmal.C (Computer Associates) W32/Nyxem-C (Sophos) W32/Mywife.c@mm (Mac Afee) Worm_Blueworm.F (Trend)
Propagation :

  • Il s'auto envoie aux adresses qu'il trouve dans Outlook, MSN Messenger et Yahoo Pager
  • Le sujet est en anglais (For all, Hello, Please reactive now, Thanks, Update, Thank you, please reactive, Ohhh, hi, For You, Free Pic's Video, none, [none], help me, you, Please Read, Important ou Reactive now)
  • Pour l'activer il faut cliquer sur la pièce jointe (un .bat seul ou inclus dans un fichier compressé [.zip .z .gz ou .tgz] avec parfois d'autres fichiers non dangereux [image pornographique]).


Symptômes :

  • Lors de son exécution il ouvre Windows Media Player sans lancer de vidéo dedans
  • Ensuite génère un grand nombre de copies de lui-même dans les répertoires %SystemRoot%, %SystemRoot%\System|System32 et %Program Files%\Internet Explorer
  • Il crée plusieurs clés de registre [Run bien sûr mais aussi HCKU\Identities HCKU\Software HCKU\.chm HKLM\System et Software] et il s'enregistre même comme librairie pour Microsoft Visual Basic.


Action :

  • Il désactive pas mal de logiciels du démarrage de Windows (clés Run)

    Citation :

    _Hazafibb, au.exe, ccApp, defwatch, Explorer, erthgdr, gigabit.exe, JavaVM, KasperskyAv, key, MCUpdateExe, MCAgentExe, McRegW, McVsRte, McAfeeVirusScanService, msgsvr32, NPROTECT, NAV Agent, Norton Antivirus AV, OLE, PCClient.exe, PCCIOMON.exe, pccguide.exe, PccPfw, PCCClient.exe, rtvscn95, reg_key, ScriptBlocking, SSDPSRV, system., Sentry, ssate.exe, Services, tmproxy, Taskmon, Traybar, Task, VirusScan Online, VSOCheckTask, vptray, Windows Services Host, winupd.exe, Windows Update, win_upd.exe, winupdt, wersds.exe

  • Il efface les fichiers suivant du pc !!! (d'après Symantec)

    Citation :

    C:\Program Files\Norton AntiVirus\*.exe  C:\Program Files\McAfee\McAfee VirusScan\Vso\*.*  C:\Program Files\McAfee\McAfee VirusScan\Vso  C:\Program Files\McAfee\McAfee VirusScan\Vs  C:\Program Files\Trend Micro\PC-cillin 2002\*.exe  C:\Program Files\Trend Micro\PC-cillin 2003\*.exe  C:\Program Files\Trend Micro\Internet Security\*.exe  C:\Program Files\NavNT\*.exe  C:\Program Files\HyperTechnologies\Deep Freeze\*.exe  



     
    /!\ Attention faux mail de Microsoft sur Sasser /!\
    Worm_Turta.A (Trend)

    Citation :

    From: support@microsoft.com
    Subject: Sasser worm! Important information!\
    Attachment: 841720.exe
    Message body:
    What You Should Know About the Sasser Worm and Its Variants
    Published: May 1, 2004 | Updated: May 11, 2004 - 9:45 P.M. Pacific Time
    a new virus, W32.Sasser.A and its variants, can infect your computer!
    Microsoft teams have confirmed that the Sasser worm (W32.Sasser.A and its variants) is currently circulating on the Internet. Microsoft has verified that the worm exploits the Local Security Authority Subsystem Service (LSASS) issue that was addressed by the security update released on April 13 in conjunction with Microsoft Security Bulletin MS04-011.
    System requirements Windows 95/98/Me/2000/NT/XP
    This Update applies to MS Internet Explorer, version 5.5 and later
    MS Outlook, version 8.0 and later
    MS Outlook Express, version 4.01and later
    Recommendation Customers should install the patch at the earliest opportunity
    Install the Required Update Open the "Attached file: 841720.exe"
    How to use You don't need to do anything after installing this item
    Microsoft Product Support Services and Knowledge Base can be found on the Microsoft Technical Support Website.
    For security-related information about Microsoft products, please visit
    the Microsoft Security Advisor web site, or Contact Us.

    Voila le texte du message reçu, soit disant envoyé par Microsoft (comme si ils envoyait les patchs mais bon y a toujours des gogos pour cliquer sur les pièces jointes). Le virus crée swchost.exe dans le répertoire système et le lance au démarrage en tant que prog mais aussi en tant que service, balance svohost.exe dans le répertoire système et crée { Shell = "explorer.exe %System%\svohost.exe" } dans la base de registre ou le system.ini selon la version de windows. Il se propage uniquement pas envoi massif de mail. Pas dangereux mais bon vu la forme du message je le met quand même :)
     
    /!\ Nouvelle variante de Mydoom /!\
    W32.Mydoom.R@mm (Symantec) Worm_Mydoom.T (Trend) W32.Mydoom.t@mm (Mac Afee) Mydoom.T (F-Secure) Win32.Mydoom.T (Computer Associates) W32/Mydoom-T (Sophos)
    Propagation : crée un message avec différents noms d'expéditeurs venant des carnets d'adresses récupérés sur le pc, différents sujets et différents noms et extensions pour le fichier attaché (il utilise aussi l'icône du bloc-note afin d'inciter les gens à cliquer sur le fichier) ensuite il s'envoie aux contacts en passant par le smtp de l'utilisateur du pc. Il se recopie aussi dans les répertoires partagés de réseau P2P.  
    Seul F-Secure parle d'une possible attaques DDoS contre le site de Microsoft
     
    /!\ Nouvelle Variante de Bugbear /!\
    Bugbear.M (Symantec)
    Alias : aucun pour le moment
    Propagation : par son propre SMTP ou par P2P en se copiant dans les répertoires partagés des logiciels connus. Par ailleurs il envoie des informations à son auteur : Cookies, Contenu Presse-Papier, ce qui est tapé au clavier et le texte contenu dans les fenêtres ouvertes


    Message édité par minipouss le 05-12-2004 à 15:23:45
n°1510133
Krapaud
Modérateur
Posté le 30-03-2004 à 14:26:12  profilanswer
 

je ne veux pas lire dans ce topic quoi que ce soit qui ressemble à un affrontement IE v FF. Que ce soit très clair.

n°1510139
karoli
Posté le 30-03-2004 à 14:27:52  profilanswer
 

t'inquiete, ce n'est pas le but du topic, et j'y veillerai personnellement :o

mood
Publicité
Posté le 30-03-2004 à 14:27:52  profilanswer
 

n°1514011
karoli
Posté le 02-04-2004 à 09:09:42  profilanswer
 

Salut,
 
Pas de nouvelle alerte aujourd'hui, si ce n'est quelques nouvelles variantes de "morpions" bien connus. Il en est ainsi de Netsky.R, d'Agobot.SY, de Spybot.LJ, ou encore de Lovgate.U...
Rendez-vous chez votre crémier pour en apprendre un peu plus, le mien est ici.
 
Par contre, une initiative intéressante à signaler, la mise à disposition d'un outil qui vient compléter, à mon sens, la lecture du Bugtraq de securityfocus...
"OSVDB, une base de données pour TOUTES les failles" titre ainsi un article de reseaux-telecoms.com.
 
Si cette base trouve son "mentor" comme s'interroge l'article, l'outil pourrait avoir de l'avenir...
 
Bon trêve de sérieux, voici un p'tit brin de musique et de nostalgie
Un petit refrain à fredonner sur un air bien connu...
 
"Voici venu le temps d'être vigilant,
Sur l'forum "réseaux" c'est tout les jours le printemps,
c'est le pays joyeux d'échanges des savoirs,
Sur l'forum "réseaux", oui c'est vraiment l'panard !"
 
 [:zjk]  
 
 :pt1cable:  

n°1514271
darxmurf
meow
Posté le 02-04-2004 à 12:34:28  profilanswer
 

l'est fou lui :pt1cable:


---------------
Des trucs - flickr - Instagram
n°1515231
nuanh
Posté le 03-04-2004 à 02:52:22  profilanswer
 

moi jai eu un netsky ( oublié la version, pas pensé ...) , je lai viré aujourdh ui,
mais je me pose des questions sur la maniere dont il a pu entrer ...
non je n ouvre pas mes pieces jointes et je n'utilise pas ie,
emule peut etre ? je ne suis pas un grand utilisateur pourtant.
 
bref mais d'ou sort ce truc

n°1515248
Janfy
Observateur
Posté le 03-04-2004 à 08:55:17  profilanswer
 

Certaines versions de Netsky s'installe à la simple ouverture ou prévisualisation d'un mail HTML.

n°1515508
karoli
Posté le 03-04-2004 à 13:44:56  profilanswer
 

Janfy a écrit :

Certaines versions de Netsky s'installe à la simple ouverture ou prévisualisation d'un mail HTML.


 
ils utilisent une faille connue dans outlook express pour effectivement s'xecuter des la simple previsualisation dans le volet du bas d'outlook express...
C'est pour ca qu'il faut maintenir ses applications a jour, la faille etant corrigée depuis longtemps :o

n°1515639
nuanh
Posté le 03-04-2004 à 15:32:07  profilanswer
 

ben jai viré le mode previsualisation depuis ( très) longtemps,
et je suis a jour avec les up critique de winupdate.
 
je lai viré avec un scan de KAV, j'espere que ca suffit ...


Message édité par nuanh le 03-04-2004 à 15:33:23
n°1516691
darxmurf
meow
Posté le 05-04-2004 à 08:38:04  profilanswer
 

nuanh a écrit :

ben jai viré le mode previsualisation depuis ( très) longtemps


 
Pareil :jap: ou alors il faut passer par un client mail différent...


---------------
Des trucs - flickr - Instagram
n°1516698
karoli
Posté le 05-04-2004 à 08:44:27  profilanswer
 

hello world !
 
Encore 2 nouvelles variantes des bien connus Sober et Netsky aujourd'hui.
Sober en est à la version F
Quant à Netsky, on ne devrait bientôt plus en entendre parler étant donné qu'il en est à la version S  :pt1cable:
 
Quelle notation vont nous trouver les éditeurs d'antivirus une fois arrivés au Z ? Je suis impatient au vu de l'incroyable originalité dont ils ont fait preuve jusqu'à maintenant  ;)  
 
Allez, j'vais bosser...
Have a nice day

n°1516739
darxmurf
meow
Posté le 05-04-2004 à 09:54:41  profilanswer
 

une petite adresse !
 
http://www.grc.com/
 
http://www.grc.com/default.htm <- j'aime bien le nom des softs en bas :D


---------------
Des trucs - flickr - Instagram
n°1517797
darxmurf
meow
Posté le 06-04-2004 à 07:57:46  profilanswer
 

Chalut msieurs dames !
 
http://www.k-otik.net/bugtraq/04.05.Winamp.php
 
C'est parti on s'attaque à tout ce qui bouge on dirait :D
 
Quand Karoli est est parti Darx est la pour veiller aussi :lol: :pt1cable:


Message édité par darxmurf le 06-04-2004 à 07:58:08

---------------
Des trucs - flickr - Instagram
n°1517810
karoli
Posté le 06-04-2004 à 08:28:30  profilanswer
 

darxmurf a écrit :

Quand Karoli est est parti Darx est la pour veiller aussi :lol: :pt1cable:


 
salut
C'est cool !  :)  
 
Comme tu dis, y'a p'us d'saison, et plus aucun respect... :D  
Meme winamp  :ouch:  
 
au passage, signalons qu'il n'existe poas de patch, et que la seule solution est d'upgrader et donc de passer à winamp 5.03

n°1517854
Janfy
Observateur
Posté le 06-04-2004 à 09:14:34  profilanswer
 

Ou de passer à Foobar2000. :o

n°1517866
karoli
Posté le 06-04-2004 à 09:28:20  profilanswer
 

Janfy a écrit :

Ou de passer à Foobar2000. :o


 
 :non:  : on a dit pas de comparaison entre les differents softs (du type foxmail vs outlook, firefox vs ie, winamp vs foobar...)sur ce topic
 
Il y a 45876 topics dédiés à ça :o
 
Ici le probleme concerne winamp, on répare, on ne change pas !
Quant la pompe a essence de ta caisse lache, tu t'achetes un diesel ?  ;)

n°1517869
Janfy
Observateur
Posté le 06-04-2004 à 09:35:00  profilanswer
 

Mon premier post de la journée ne pouvait pas être totalement non trollesque. :D ;)

n°1517904
romromm
C bo la nature...
Posté le 06-04-2004 à 09:59:19  profilanswer
 

Salut comme mon pitit topic l'indik j'ai etait victime de Worm_natalie-A se virus est assez symple a détécter puisqu'il install dans les fichier temps deux fichier nomé "lol" et un Mirc ou autre en fonction de l'origine de votre infiction... il etain le pc a l'ouverture de fichier txt !!! mais peut aussi causé des problème plus grave comme éfacer le chemain de boot !!!! Enfin koi kil en soi déshormé un anti-virus a jour peut l'éradiké... :bounce:  :bounce:  :bounce:


---------------
NON A LA "LEN"...
n°1517983
karoli
Posté le 06-04-2004 à 11:08:03  profilanswer
 

romromm a résolu son problème et c'est bien :

...Worm_natalie-A. Ce virus est assez simple a détecter puisqu'il installe dans les fichiers temp deux fichiers nommés "lol" et un Mirc ou autre en fonction de l'origine de votre infection...


 
Merci de l'info  :jap:  
 
ps : me suis permis de corriger quelques fautes  :D

n°1517998
minipouss
un mini mini
Posté le 06-04-2004 à 11:17:37  profilanswer
 

tu parles pas de Bugbear.E ni de Solame.A (les noms que j'utilise sont les noms symantec, par exemple pour moi lovgate c'est le R et pas le W comme le dit kaspersky :sweat:). Solame utilisant le backdoor de mydoom. Mais y a peu d'info pour le moment sur ces deux là pour le moment.

n°1518088
F18
Posté le 06-04-2004 à 12:11:03  profilanswer
 

nuanh a écrit :

ben jai viré le mode previsualisation depuis ( très) longtemps,
et je suis a jour avec les up critique de winupdate.
 
je lai viré avec un scan de KAV, j'espere que ca suffit ...


 
 
t'en a marre des virus  :lol:  :lol:  
 
rigole sinon je vais pleurer
 
 

Virus publicitaire / ( 565 Hits)
Pays : International
Date de publication : 6 / 4 / 2004
 
Seeker.O est un code malicieux qui a été codifié comme un cheval de Troie par les éditeurs d'antivirus. Une fois activé, il se met en mémoire résidente. Une fois par heure, ce microbe numérique essaie d'ouvrir une page Web publicitaire différente. Certaines des pages qu'il ouvre tentent de télécharger et d'installer des spywares et des adwares sur l'ordinateur affecté.


n°1518499
darxmurf
meow
Posté le 06-04-2004 à 15:28:38  profilanswer
 

tiens en passant ... http://www.osvdb.org pour la track au bug :D


---------------
Des trucs - flickr - Instagram
n°1518806
karoli
Posté le 06-04-2004 à 18:49:03  profilanswer
 

darxmurf a écrit :

tiens en passant ... http://www.osvdb.org pour la track au bug :D


 
grillaid ! oh pas de beaucoup, juste de 4 jours 6 heures 19 minutes et 04 secondes  :whistle:

n°1519215
nuanh
Posté le 07-04-2004 à 00:46:35  profilanswer
 

F18 a écrit :


 
 
t'en a marre des virus  :lol:  :lol:  
 
rigole sinon je vais pleurer
 
 

Virus publicitaire / ( 565 Hits)
Pays : International
Date de publication : 6 / 4 / 2004
 
Seeker.O est un code malicieux qui a été codifié comme un cheval de Troie par les éditeurs d'antivirus. Une fois activé, il se met en mémoire résidente. Une fois par heure, ce microbe numérique essaie d'ouvrir une page Web publicitaire différente. Certaines des pages qu'il ouvre tentent de télécharger et d'installer des spywares et des adwares sur l'ordinateur affecté.


 


 
je comprends pas,
tu veux dire quoi ?

n°1519518
F18
Posté le 07-04-2004 à 12:06:42  profilanswer
 

nuanh a écrit :


 
je comprends pas,
tu veux dire quoi ?


 
 
comme si ça suffisait de nous faire emmerder pas des virus et autres spyware fait par les societés de publicités et de societés de stockage d'info afin de les vendre aux plus offrants, les SOCIETES D'ANTIVIRUS s'y mettent aussi.
 
 
Virus publicitaire / ( 565 Hits)  
Pays : International  
Date de publication : 6 / 4 / 2004  
 
Seeker.O est un code malicieux qui a été codifié comme un cheval de Troie par les éditeurs d'antivirus. Une fois activé, il se met en mémoire résidente. Une fois par heure, ce microbe numérique essaie d'ouvrir une page Web publicitaire différente. Certaines des pages qu'il ouvre tentent de télécharger et d'installer des spywares et des adwares sur l'ordinateur affecté.

n°1519520
Janfy
Observateur
Posté le 07-04-2004 à 12:10:37  profilanswer
 

Je pense que "codifié comme un cheval de Troie par les éditeurs d'antivirus" signifie que les éditeurs antivirus l'ont classé comme cheval de Troie. Il ne faut pas lire "coder". :o

n°1519524
minipouss
un mini mini
Posté le 07-04-2004 à 12:12:29  profilanswer
 

il a été codifié pas créé par les éditeurs d'antivirus. Pour moi ça veut simplement dire qu'ils l'ont classé comme cheval de troie et pas comme virus c'est tout, non?
 
edit:  [:benou_grilled]


Message édité par minipouss le 07-04-2004 à 12:12:50
n°1519561
F18
Posté le 07-04-2004 à 12:39:59  profilanswer
 

minipouss a écrit :

il a été codifié pas créé par les éditeurs d'antivirus. Pour moi ça veut simplement dire qu'ils l'ont classé comme cheval de troie et pas comme virus c'est tout, non?
 
edit:  [:benou_grilled]  


 
 
mais quand pour la 6 eme fois tu recois un email infecté avec ce contenue
 
I have received your document. The corrected document is attached.
 
++++ Attachment: No Virus found
++++ F-Secure AntiVirus - www.f-secure.com

 
 
 
 
dont voici la source complet.
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
Return-Path: <gib.bol@free.fr>
Received: from mwinf0501.wanadoo.fr (mwinf0501.wanadoo.fr)
 by mwinb0406 (SMTP Server) with LMTP; Wed, 07 Apr 2004 06:46:53 +0200
X-Sieve: Server Sieve 2.2
Received: from wanadoo.fr (carras-1-82-66-199-10.fbx.proxad.net [82.66.199.10])
 by mwinf0501.wanadoo.fr (SMTP Server) with ESMTP id 3E8DA180018A
 for <**************>; Wed,  7 Apr 2004 06:46:52 +0200 (CEST)
From: gib.bol@free.fr
To: ********************
Subject: screensaver
Date: Wed, 7 Apr 2004 06:46:51 +0200
MIME-Version: 1.0
Content-Type: multipart/mixed;
 boundary="----=_NextPart_000_0016----=_NextPart_000_0016"
X-Priority: 3
X-MSMail-Priority: Normal
Message-Id: <20040407044652.3E8DA180018A@mwinf0501.wanadoo.fr>
X-NAS-Bayes: #0: 0.0213102; #1: 0.97869
X-NAS-Classification: 0
X-NAS-MessageID: 138
X-NAS-Validation: {4C95E2DF-1CB0-49EC-864C-E0BEE306F2CC}
 
This is a multi-part message in MIME format.
 
------=_NextPart_000_0016----=_NextPart_000_0016
Content-Type: text/plain;
 charset="Windows-1252"
Content-Transfer-Encoding: 7bit
 
I have received your document. The corrected document is attached.
 
++++ Attachment: No Virus found
++++ F-Secure AntiVirus - www.f-secure.com
 
 
------=_NextPart_000_0016----=_NextPart_000_0016
Content-Type: plain/text;
 name="Suppression de Norton AntiVirus1.txt"
Content-Transfer-Encoding: base64
Content-Disposition: attachment;
 filename="Suppression de Norton AntiVirus1.txt"
 
Tm9ydG9uIEFudGlWaXJ1cyBhIHN1cHByaW3pIGxhIHBp6GNlIGpvaW50ZSBzdWl2YW50ZSA6
IHNjcmVlbnNhdmVyX2luY29ubnU4LnNjci4NCkVsbGUgY29udGVuYWl0IGxlIHZpcnVzIFcz
Mi5OZXRza3kuUEBtbS4=
------=_NextPart_000_0016----=_NextPart_000_0016--
 
 
 
 
 
 
 
 
 
 
 
 
IL y a vraiment des questions a se poser.
 
la derniere fois c'etait pour Mcafee.
 
et une autre fois le lien etait pour www.symantec.de


Message édité par F18 le 07-04-2004 à 12:44:34
n°1520792
Janfy
Observateur
Posté le 08-04-2004 à 18:02:30  profilanswer
 

Citation :

RealPlayer/RealOne R3T File Handling Buffer Overflow Vulnerability
 
 Date de Publication : 2004-04-07 © K-OTik.COM - Voir Notice Légale  
 Titre: RealPlayer/RealOne R3T File Handling Buffer Overflow Vulnerability
 K-OTik ID : 0569
 Risque : Critique
 Exploitable à distance : Oui
 Exploitable en local : Oui  
 
   
 
 * Description Technique - Exploit *
 
Une vulnérabilité critique a été identifiée dans RealPlayer/RealOne, elle pourrait être exploitée par un attaquant distant afin de compromettre une machine vulnérable. Cette vulnérabilité résulte d'une erreur de type buffer overflow présente dans le processus de gestion des fichiers R3T (RealText 3D), ce qui pourrait être exploité par un attaquant distant afin d'exécuter des commandes arbitraires sur le système de la victime, via un fichier R3T spécifique. (Cette vulnérabilité n'existe que si le plugin R3T est installé).
 
 
 
 * Versions Vulnérables *
 
RealPlayer 8
RealOne Player
RealOne Player v2 pour Windows uniquement (toutes langues)
RealPlayer 10 Beta (anglais uniquement)
RealPlayer Enterprise (toutes versions)


 
Plus d'infos : http://www.k-otik.net/bugtraq/04.07.Real.php

n°1520822
minipouss
un mini mini
Posté le 08-04-2004 à 18:27:05  profilanswer
 

@F18 : ce n'est pas parce que dans les en-têtes tu as telle ou telle société que c'est eux qui t'envoient les mails.
 
regarde ce que disait Darthvad sur la 1ère page de ce topic ;)

n°1520853
Nirgal_Eve​ntide
Posté le 08-04-2004 à 18:56:34  profilanswer
 
n°1524954
darxmurf
meow
Posté le 13-04-2004 à 08:04:31  profilanswer
 

Msieurs Dames bonjour :D
 
Après ce petit week-end de pâques on revient à la charge avec un trou chez notre pote Kerio ...
 
http://www.k-otik.net/bugtraq/04.09.Kerio.php
 
Moi j'aime bien la solution proposée... "Aucune solution officielle pour l'instant." ... :D hu hu enfin bon c'est pas grave !
 
Bizoux sur le nez et à bientôt !
 
Darx


---------------
Des trucs - flickr - Instagram
n°1524972
karoli
Posté le 13-04-2004 à 08:39:18  profilanswer
 

salut Darx  :)  
Bonjour aux autres
 
Ce week-end, une vieille connaissance à refait son apparition, il s'agit de Bugbear, dans sa version C
 
Nous avons un p'tit nouveau qui s'attaque aux plates-formes Mac, MP3 Concept.A, à priori pas très virulent ni dangereux, mais il existe alors parlons-en !
 
Plusieurs variantes de vieux vers apparaissent aussi (cf 2ème post du topic)...
 
Un autre, Anig.B a fait son apparition, d'ou sort-il ? (Ah si ca y est ca me revient : les fameuse sucettes à l'Anig  :D )
Trêve de plaisanteries, il se propage via les partages accessibles sur le reseau, a des fonctionnalités de Trojan et de keylogger(il remplace l'interface Windows de saisie des Logins par la sienne et recupere ainsi ces infos...)
 
Bon, sur ce...
Bonne journée et bonne semaine  :hello:

mood
Publicité
Posté le   profilanswer
 

 Page :   1  2  3  4  5  ..  65  66  67  68  69  70
Page Précédente

Aller à :
Ajouter une réponse
  FORUM HardWare.fr
  Windows & Software
  Sécurité

  [Veille Sécurité] : Actualité Virus et Failles [INFOS 15/08/07 14h58]

 

Sujets relatifs
[Virus] Désinfection d'un LANMais quel est donc mon virus ???
Virus et systeme de transmission[XP] Processus svchost.exe à 100% en admin, mais pas de virus...
Gros souci de virus "W32.Welchia.B.Worm"Pb de Securité sous Visuel Studio ! Need HELP !
Help, j'ai un virus et je n'arrive pas à formater sous DOS !!!!!Mise en veille impossible ?
Erreur securité IE 6 et active x ??Virus que je n'arrive pas à éradiquer...
Plus de sujets relatifs à : [Veille Sécurité] : Actualité Virus et Failles [INFOS 15/08/07 14h58]


Copyright © 1997-2022 Hardware.fr SARL (Signaler un contenu illicite / Données personnelles) / Groupe LDLC / Shop HFR