Reprise du message précédent :
Nouveau Bulletin US-CERT : http://www.us-cert.gov/cas/bulletins/SB04-280.html
 
les principales failles ont déja été données ici (ça me permet de tester si j'ai pas trop mal travaillé )
 
cette semaine il est rigolo de voir le grand nombre de failles linux par rapport aux failles Microsoft (ne vous méprenez pas, si j'avais le temps et le courage je serai entièrement sous linux )
 
et pas beaucoup de nouveaux virus
 
En conséquence seul le 2ème post est mis à jour avec les top 10 US-CERT et Sophos (mois de Septembre)

Faille dans Word :
 

 
http://www.k-otik.net/bugtraq/10082004.MSWord.php

oui merci Janfy
 
c'est dans un onglet sous FF depuis ce matin mais j'ai pas eu le temps de faire ça bien.
 
dois-je mettre un lien rapide et tout faire bien quand j'ai le temps ou dois-je attendre pour tout faire bien?
 
tout sera fait pour ce soir, promis
 
j'ai aussi dans les tiroir un patch pour le sp2 (pas pour sa sécurtié mais pour un problème d'adawara tv-media) et un trojan qui vire plusieurs spywares (et c'est tout ce qu'il fait )

un trojan qui vire des spyware,mais le voila l'avenir!

Voila pour le trojan
 
/!\ Petit trojan utile (pour une fois) /!\
Trojan.AdRmove (Symantec)
Ce trojan fouille sur le pc pour trouver et éliminer des fichiers et entrées de base de registre d'Adaware et spyware connus. Pas mal comme idée  

Pour les failles, tout d'abord pour info

Le SANS Institute publie son top 20 des vulnérabilités de l'année Article K-Otik 08/10/2004 et version anglaise http://www.sans.org/top20/

Et pour les failles, en voila 4 concernant toutes Microsoft
 
## Problème de vulnérabilité dans MS WORD ## MS Word multiple exceptions, at least one exploitable Bugtraq Security Focus 06/10/2004, Microsoft Word Parsing Flaw May Let Remote Users Execute Arbitrary Code Alerte Security Tracker 07/10/2004 et Microsoft Word Document Parsing Buffer Overflow Vulnerability Article K-Otik 08/10/2004

Logiciels concernés : Word 2002 (10.6612.6714) SP3 mais d'après K-Otik il y aurait Word 2000 et 2002 et carrément Office 2000 et XP
Solution : pas de solution pour le moment
 
 
## Problème de vulnérabilité dans IE ## Microsoft Internet Explorer Lets Remote Users Access XML Documents Alerte Security Tracker 07/10/2004

Version : non communiquée (bizarre)
Solution : pas de solution pour le moment, à part désactiver les scripts
 
 
## Problème de vulnérabilité dans Microsoft ASP.NET ## Microsoft ASP.NET canonicalization security bypass vulnerability Article K-Otik 08/10/2004

Versions concernées :  ASP.NET sous Windows 2000 & 2000 Server, ASP.NET sous Windows XP Professionnel et ASP.NET sous Windows Server 2003
Solution :

 
 
## Problème incompatibilité XP SP2 ## Microsoft publie un correctif pour une incompatibilité XP SP2 Article K-Otik 08/10/2004, Critical Update for Windows XP (KB885523) - Français et Adware T.V. Media Removal Tool (KB 886590) Articles Microsoft KB

Solution :

 
 
Voila , bonne soirée (les deux premiers posts ont été mis à jour avec tout ça)

dis minipouss, si je veux avoir le max de MAJ sécurité avant de me connecter au net apres un formatage, il existe un gros fichier regroupant toutes les MAJ? SP1 et SP2 c'est ce principe là,non? mais depuis la release de SP2 ils ont deja sortit des nouvelles MAJ, pas glop

non depuis la sortie du SP2 il n'y a pas de sortie de patch de sécu concernant le SP2 donc le SP2 suffit.
 
d'après des commentaires sur des newsletters (info ou intox?) c'est une politique MS décidée depuis un moment déja, ils ont incorporé au SP2 des patchs pour des problèmes non corrigés actuellement pour montrer que le SP2 est au top, mais bon les failles commencent à être annoncées pour lui aussi

ah,oki!
donc si je télécharge les deux SP, je serai à jour si je les mets apres un formatage,merci!!

le SP2 ne suffit pas? je sais plus

Il me semble aussi que le SP2 n'a pas besoin du SP1 ni du SP1a

ah....bon,jvais voir ça chez crosoft!
merci encore

troisième post mis à jour avec ce lien

 
bah y avait une histoire avec des images jpg... mais bon c'est pas une vulnérabilité du SP2 proprement parlé
 
Edit: Microsoft JPEG Processing (GDI+) Buffer Overrun Vulnerability (MS04-028)

exactement, tu peux avoir des logiciels vulnérables sur ton XP SP2 mais il n'ai pas lui même intrinsèquement vulnérable à cela, car Microsoft connaissait ce problème depuis un moment et ils ont donc inclus ce qu'il fallait dans le SP2

Nouveau Virus
 
/!\ Virus Funner pour MSN /!\
Alerte Secunia , W32.Funner (Symantec), W32/Funner.worm (Mac Afee), WORM_FUNNER.A (Trend) et Win32.Funner.A (Computer Associates)
Symptômes : Une fois exécuté il se copie en tant que  

• %System%\IEXPLORE.EXE
• %System%\EXPLORE.EXE
• %Windir%\rundll32.exe sous 98 et ME cela écrase la vraie version du fichier windows !!
• %System%\userinit32.exe
• c:\funny.exe

et s'inscrit dans le registre de la manière suivante :

• Ajoute la valeur "MMSystem"="%Windir%\rundll32.exe "%System%\mmsystem.dll"", RunDll32" à certaines des clés suivantes HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run pour que rundll32.exe démarre aussi avec Windows.
• Sous 2000 et XP il ajoute la valeur "Userinit"="userinit32.exe," à HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon pour que userinit32.exe se lance avec Windows.
• Sous 98 et ME il modifie la section [boot] du fichier SYSTEM.INI comme suit Shell = %System%\explorer.exe

Action : Il modifie le fichier host de manière à rediriger de très nombreux sites (plus de 900 !!!) vers une adresse IP pré-déterminée. Il peut aussi télécharger des composants à partir d'une adresse web
 
Propagation : Il essaye de s'envoyer par utilisation de MSN Messenger donc :

• Il vérifie la présence du Messenger et du fichier MSVBVM60.DLL, composant de Microsoft Visual Basic
• Il crée un fichier log dans le répertoire système de Windows %System%\bsfirst2.log
• Il essaye de propager c:\funny.exe aux personnes de la liste de contact MSN, en envoyant des séquences de touches et en activant des boutons dans la fenêtre du Messenger

ok,donc faut éviter le fichier funny.exe

oui, mais beaucoup risquent de cliquer dessus vu que ça viendra d'un de leur contact par MSN.
 
ce style de propagation va à mon avis se multiplier car les gens font quand même de plus en plus attention au nom de l'expéditeur.

un paquet d'updates XP US pour le 12 Octobre (peut etre le lendemain pour les XP en francais)
 
http://www.microsoft.com/technet/s [...] 4-oct.mspx
 
Au boulot

ouaip rendez-vous demain pour les détails de chacun des 10 articles (de MS04-029 à MS04-038), whoua j'ai du boulot moi
 
edit : en plus à part 2, c'est que des "critiques"

Et voila, 7 mises à jour de faîtes : 5 pour win2k SP4, une pour IE6 SP1 (même si je ne m'en sers quasiment jamais il vaut mieux le faire) et une pour Excell 2000 SP3
 
donc à demain pour plus de détails sur ces patchs

 
j'ai telechargé une grosse cinquantaine de MAJ sur le serveur SUS du taf. toute version de windows confondu

pas mal

Et voila le gros pavé à lire pour les 10 bulletins  Microsoft du mois d'Octobre  
 
## Nombreux Patchs pour les produits Microsoft 12/10/2004 ## Annonce K-Otik , Bulletin US-CERT et Microsoft Windows Security Updates for October 2004

 
## Cumulative Security Update for Internet Explorer (MS04-038) ## Article K-Otik 12/10/2004

Descriptif :

• Pb de gestion des fichiers CSS : possibilité d'exécution de commandes arbitraires via une page web malicieuse
• Cross Site Scripting : exécution possible d'un script arbitraire dans la zone locale de la machine
• Vulnérabilité de type Buffer Overflow au niveau de l'Install Engine (Inseng.dll) : exécution de commandes arbitraires via une page malicieuse
• Problème du Drag'n'Drop identifié en Août dernier (cf plus bas dans cette page) : injection d'exécutables malicieux dans le répertoire de démarrage de l'utilisateur connecté
• Deux failles de type Address Bar Spoofing : possibilité de cacher l'adresse réelle d'un site web sous une fausse adresse de confiance
• Vulnérabilité au niveau de la validation de scripts dans des tags Image : exploitation par un utilisateur local afin d'augmenter ses privilèges
• Problème au niveau du caching SSL : un attaquant distant pourrait spoofer le contenu d'un site web, normalement protégés par SSL

Versions vulnérables :

• IE 5.01 SP3 sous Win 2000 SP3
• IE 5.01 SP4 sous Win 2000 SP4
• IE 5.5 SP2 sous Win Me
• IE 6 sous XP, IE 6 SP1 sous Win 2000 SP3/SP4, XP et XP SP1
• IE 6 SP1 sous Win NT Server 4.0 SP6a, NT Server 4.0 Terminal Service Edition SP6, Win 98, SE et Me
• IE 6 sous XP SP1 (64-Bit Edition)
• IE 6 sous Win Server 2003
• IE 6 sous Win Server 2003 64-Bit Edition et XP 64-Bit Edition Version 2003
• IE 6 sous XP SP2

Solution : appliquer le patch MS04-038
 
## Microsoft Windows Shell Remote Code Execution (MS04-037) ## Article K-Otik 12/10/2004

Descriptif :

• Erreur au niveau de la fonction Shell qui ne gère pas correctement certaines requêtes : exécution de commandes arbitraires via une page/email malicieux
• Faille dans le Program Group Converter qui ne gère pas correctement certaines requêtes : exécution de commandes arbitraires via une page/email malicieux.

Versions vulnérables : XP SP2 n'est pas vulnérable

• Win NT Server 4.0 SP6a et Win NT Server 4.0 TS Edition SP6
• Win 2000 SP3/SP4
• XP et XP SP1
• XP 64-Bit Edition SP1 et XP 64-Bit Edition Version 2003
• Win Server 2003 et Win Server 2003 64-Bit Edition
• Win 98, SE et ME

Solution : appliquer le patch MS04-037
 
## Vulnerability in NNTP Could Allow Remote Code Execution (MS04-036) ## Article K-Otik 12/10/2004

Versions vulnérables :

• Win NT Server 4.0 SP6a
• Win 2000 Server SP3/SP4
• Win Server™ 2003
• Win Server 2003 64-Bit Edition
• Exchange 2000 Server SP3
• Exchange Server 2003 et SP1

Versions non vulnérables :

• Win NT Server 4.0 TS Edition SP6
• Win 2000 Professional SP3/SP4
• XP SP1 et SP2
• XP 64-Bit Edition SP1
• XP 64-Bit Edition Version 2003
• Win 98, SE et ME
• Exchange Server 5.0 SP2
• Exchange Server 5.5 SP4

Solution : appliquer le patch MS04-036 et bloquer les ports UDP/TCP 119 et 563 s'ils ne sont pas nécessaires
 
## Vulnerability in SMTP Could Allow Remote Code Execution (MS04-035) ## Article K-Otik 12/10/2004

Versions vulnérables :

• XP 64-Bit v.2003
• Win Server 2003 et 64-Bit
• Exchange Server 2003 et Exchange Server 2003 SP1 si installés sous Win Server 2003
• Exchange Server 2003 si installé sous Win 2000 SP3/SP4  

Versions non vulnérables :

• Win NT Server 4.0 SP6a
• Win NT Server 4.0 TS SP6
• Win 2000 SP3/SP4
• XP, XP SP1, et SP2
• XP 64-Bit Edition SP1
• Win 98, SE et ME
• Exchange Server 5.0 SP2
• Exchange Server 5.5 SP4
• Exchange 2000 Server SP3
• Exchange Server 2003 SP1 si installé sous Win 2000 SP3/SP4

Solution : appliquer le patch MS04-035
 
 
## Vulnerability in Compressed (zipped) Folders Could Allow Remote Code Execution (MS04-034) ## Article K-Otik 12/10/2004

Versions vulnérables :

• XP et XP SP1
• XP 64-Bit Edition SP1
• XP 64-Bit Edition Version 2003
• Win Server 2003
• Win Server 2003 64-Bit Edition

Versions non vulnérables :

• Win NT Server 4.0 SP6a
• Win NT Server 4.0 TS SP6
• Win 2000 SP3/SP4
• XP SP2
• Win 98, SE et ME

Solution :  
1/ Désactiver la fonction "Dossier Compressé" :  Démarrer/Exécuter puis taper "regsvr32 /u zipfldr.dll" et OK
2/ Appliquer le patch MS04-034
 
## Vulnerability in Microsoft Excel Could Allow Remote Code Execution (MS04-033) ## Article K-Otik 12/10/2004

Versions vulnérables :

• Office 2000 SP3 (Excel 2000)
• Office XP SP2 (Excel 2002)
• Office 2001 pour Mac (Excel 2001)
• Office v. X pour Mac (Excel v. X)

Versions non vulnérables :

• Office XP SP3
• Office Excel 2003
• Office 2003 SP1
• Excel 2004 pour Mac

Solution : Appliquer le patch MS04-033
 
## Security Update for Microsoft Windows (MS04-032) ## Article K-Otik 12/10/2004

Descriptif :

• Problème au niveau des Window Management APIs : un utilisateur local pourrait augmenter ses privilèges
• Vulnérabilité au niveau de la Virtual DOS Machine (VDM) : un utilisateur local pourrait augmenter ses privilèges
• Faille critique au niveau du Graphics Rendering Engine qui ne manipule pas correctement certaines images au format Windows Metafile (WMF) ou Enhanced Metafile (EMF) : un attaquant distant pourrait compromettre un système vulnérable via une image forgée (reçue par email ou hébergée sur un page web)
• Problème de type Déni de Service au niveau du Kernel Windows (Win NT 4.0, Win 2000 et XP ne sont pas vulnérables à cette dernière faille).

Versions vulnérables : XP SP2 n'est pas vulnérable

• Win NT Server 4.0 SP6a
• Win NT Server 4.0 TS SP6
• Win 2000 SP3/SP4
• XP et XP SP1
• XP 64-Bit Edition SP1
• XP 64-Bit Edition Version 2003
• Win Server 2003 et 64-Bit Edition
• Win 98, SE et ME

Solution : appliquer le patch MS04-032
 
## Vulnerability in NetDDE Could Allow Remote Code Execution (MS04-031) ## Article K-Otik 12/10/2004

Versions vulnérables : XP SP2 n'est pas vulnérable

• Win NT Server 4.0 SP6a
• Win NT Server 4.0 TS SP6
• Win 2000 SP3/SP4
• XP et XP SP1
• XP 64-Bit Edition SP1
• XP 64-Bit Edition Version 2003
• Win Server 2003 et 64-Bit Edition
• Win 98, SE et ME

Solution : appliquer le patch MS04-031
 
## Vulnerability in WebDAV XML Message Handler Could Lead to a Denial of Service (MS04-030) ## Article K-Otik 12/10/2004

Composants et OS vulnérables :

• Internet Information Services (IIS) 5.0, 5.1 et 6.0
• sous les systèmes Win 2000 SP3/SP4, XP et XP SP1, XP 64-Bit Edition SP1, XP 64-Bit Edition Version 2003, Win Server 2003 et 64-Bit Edition

Composants et OS non vulnérables :

• IIS 4.0
• sous les systèmes XP SP2, Win NT Server 4.0 SP6a, Win NT Server 4.0 TS SP6, Win 98, SE et ME

Solution : appliquer le patch MS04-030
 
## Vulnerability in RPC Runtime Library Could Allow Information Disclosure and Denial of Service (MS04-029) ## Article K-Otik 12/10/2004

Versions vulnérables :

• Win NT Server 4.0 SP6a
• Win NT Server 4.0 TS SP6

versions non vulnérables :

• Win 2000 SP3/SP4
• XP et XP SP1/SP2
• XP 64-Bit Edition SP1
• XP 64-Bit Edition Version 2003
• Win Server 2003 et 64-Bit Edition
• Win 98, SE et ME

Solution :
1/ Appliquer le patch MS04-029
2/ Bloquer les ports UDP 135, 137, 138, 445 et TCP ports 135, 139, 445, 593
3/ Si CIS ou RPC over HTTP sont activés, filtrer les ports 80 et 443
 
bonne journée

et hop Symantec réagi en détectant les fichiers .grp malformés qui peuvent utiliser la faille 037
 
/!\ Détection pour les .grp malformés (cf bulletin MS04-037) /!\ Bloodhound.exploit.15

dis moi minipouss, j'utilise Sygate Personnal Firewall et je controle toutes les entrées et sorties donc si jamais meme avec les correctifs ya un probleme,je pourrai bloquer les ports dont tu parles,non?

à mon avis ils sont bloqués avec les règles de base mais faut vérifier ton Firewall.
 
en fait c'est les ports netbios et 135, 445 qui sont connus et bloqués depuis blaster and co et le 593 je vois pas pourquoi il serait ouvert.
 
pour le reste je sais pas ce que sont CIS et RPC over Htpp

moi non plus
sous SPF il autorise et bloque sur ma demande,donc je devrais pas avoir de probleme.
merci bcp pour tes updates minipouss,jvais installer les correctifs apres un ptit coup de DOOM

[HS]ça fait un bail que j'y ai pas joué, 1996 [/HS]
 
au moins ça sert à un peu de personnes  
 
c'est chiant un topic comme ça, car j'ai surtout l'impression de faire un monologue sans savoir si cela est vraiment utile aux gens

bah, suffit de regarder les consultations!

bah, 44000 Luts, ça devrait te rassurer,non?
je parlais de DOOM3 en fait
le probleme avec ce jeu c'est que ça me donne une raison de remonter un nouveau pc

 
Et ben minipouss, on déprime ? Il est diablement utile ton topic !
Bravo à toi

Merci
 
Vanloque : 44000 lus à 22h45 alors que losr de la mise à jour à 12h c'était 43985 ça fait que 15 personnes en 10h, de plus tu as dû venir 2-3 fois et moi aussi
 
mais bon là on est à 44160 c'est déja ça de toute façon je ne sais pas combien de personnes fréquentent cette section donc pas possible de savoir en pourcentage si ça sert vraiment beaucoup ou pas

Deux nouvelles failles : Adobe Acrobat (complet et juste le Reader car c'est un problème de lecture) et Java de Sun
 
## Vulnérabilité dans Adobe Acrobat ## Adobe Acrobat Embedded Flash Capability Lets Remote Users Access Files on the Target User's System Alertes Security Tracker 13/10/2004 et Adobe acrobat / Adobe Reader 6 can read local files Bugtraq SecutiyFocus 12/10/2004
Versions affectées : Adobe reader 6 et Adobe acrobat 6
Description : La version 6 a modifié la manière de gérer les animations dans un pdf. Ce n'est plus un lien vers un fichier externe, mais une vidéo directement dans le fichier pdf. Mais lors de la lecture, le Reader extrait l'animation swf (Flash) et la sauve dans le répertoire Temp de Windows. De cette manière le code Flash s'exécute dans un context Local (sur le pc de l'utilisateur) ; le code contenu dans l'animation a ainsi un accès direct à tous les fichiers du disque dur. Un pdf distant sur un site web donnera donc accès à votre pc.
Solution : Aucune pour le moment
 
## Problème dans SUN JRE ## Sun JRE XSLT Processor Error Lets Remote Applets Gain Elevated Privileges Alertes Security Tracker 13/10/2004 et Java Runtime Environment May Allow Untrusted Applets to Escalate Privileges Bulletin Sécurité SUN 02/08/2004
Versions affectées : SDK et JRE =<1.4.2_04 , =<1.4.1_07 et =<1.4.0_04
Description :  
Solution : passer aux nouvelles versions SDK et JRE 1.4.2_05 (ou suivantes car 1.4.2_06 est sortie) téléchargeables à l'adresse http://java.sun.com/j2se/

Et hop un nouveau Netsky :
 
/!\ Nouvelle version de Netsky /!\ W32.Netsky.AD@mm (Symantec), W32/Netsky.ag@MM (Mac Afee), WORM_NETSKY.AF (Trend), W32/Netsky-AD (Sophos) et Win32.Netsky.AE (Computer Associates)
Propagation :

• Par mail avec sujet, message et fichier attaché (.pif .com .scr .bat .zip) en portugais
• Par copie sous différents noms de fichiers .scr dans les répertoires contenant les mots "Share" ou "Sharing", donc aussi bien les répertoires partagés sous réseau local que P2P

Symptômes :

• Affiche une boite d'erreur avec le message "File Corrupted replace this!!"
• Se copie en tant que Msnmsgrs.exe dans le répertoire de Windows
• Toujours dans %Windir% il se copie sous tous les noms suivants : Agradou.zip agua!.zip AIDS!.zip aqui.zip banco!.zip bingos!.zip botao.zip brasil!.zip carros!.zip circular.zip contas!!.zip criancas!.zip diga.zip dinheiro!!.zip docs.zip email.zip festa!!.zip flipe.zip grana!!.zip grana.zip imposto.zip impressao!!.zip jogo!.zip lantrocidade.zip LINUSTOR.zip loterias.zip lulao!.zip massas!.zip missao.zip revista.zip robos!.zip sampa!!.zip sorteado!!.zip tetas.zip vaca.zip vadias!.zip vips!.zip voce.zip war3!.zip Zerado.zip
• Ajoute la valeur "MsnMsgr" = "%Windir%\MsnMsgrs.exe -alev" à la clé de registre HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run pour se lancer automatiquement avec Windows

Action : il essaye d'effacer les clés de registre suivantes (pouvant appartenir à certains virus connus)

ya jamais de répit didonc

pour les virus ça se tasse quand même depuis un moment

bon bah je vais faire un tour sur Winupdate alors

voui y a un peu de temps à y passer ce mois-ci