Jean-Marc, XP Geek ! : Sécurité

Extended Security Update Inventory Tool

jeanmarc — Wed, 11 Nov 2009 17:35:25 GMT

The Extended Security Update Inventory Tool is used to detect security bulletins not covered by MBSA including MS04-028, February 2005 bulletins, and future security bulletins that are exceptions to MBSA.

Source et téléchargement : Download details: Extended Security Update Inventory Tool

Novembre 2009 - Image ISO de mise à jour de sécurité

jeanmarc — Wed, 11 Nov 2009 17:33:13 GMT

Ce fichier d'image ISO DVD5 contient les mises à jour de sécurité pour Windows publiées sur Windows Update le 10 novembre 2009.

Source et téléchargement : Détails du téléchargement : Novembre 2009 - Image ISO de mise à jour de sécurité

Rapport Microsoft sur les données de sécurité - janvier à juin 2009

jeanmarc — Mon, 02 Nov 2009 15:29:17 GMT

Le volume 7 du rapport Microsoft® sur les données de sécurité donne une perspective approfondie des logiciels malveillants et potentiellement indésirables, des codes malveillants visant l'exploitation logicielle, des violations de la sécurité et des vulnérabilités logicielles (dans les logiciels Microsoft comme dans ceux de tiers). Microsoft a mis au point ces perspectives basées sur l'analyse détaillée de ces dernières années, en mettant l'accent sur le premier semestre 2009.

Détails du téléchargement : Rapport Microsoft sur les données de sécurité - volume 7 (janvier à juin 2009)

Protection contre les virus, logiciels espions et logiciels malveillants : Microsoft Security Essentials

jeanmarc — Tue, 29 Sep 2009 15:32:43 GMT

Et voilà, MSE est disponible. Pour tous ceux qui n’aiment pas les usines à gaz…

Microsoft Security Essentials est disponible en téléchargement gratuit (WGA doit valider votre licence Windows) auprès de Microsoft. Il s'agit d'un composant simple à installer, facile à utiliser et toujours à jour pour que vous ayez la garantie que votre PC est protégé par les toutes dernières technologies. Vous pouvez facilement savoir si votre PC est sécurisé : lorsque le voyant est au vert, tout va bien. C'est aussi simple que cela.

Protection contre les virus, logiciels espions et logiciels malveillants | Microsoft Security Essentials

Mise à jour obligatoire vers la dernière version de Messenger

jeanmarc — Tue, 15 Sep 2009 17:29:12 GMT

A partir de demain, et pour des raisons de sécurité, tous les utilisateurs de Messenger 8.1 ou 8.5 seront obligés de mettre à jour leur vieille version de Messenger.

A partir de fin Octobre, ce sera au tour des utilisateurs de Messenger 14.0 (2009) de devoir mettre à jour leur version de Windows Live Messenger.

Si vous ne voulez pas ~~être bloqué dans le embouteillages~~ attendre, vous pouvez dès maintenant procéder à cette mise à jour.

Source : Upgrade your Windows Live Messenger Service - Windows Live

Mise à jour pour la fonctionnalité exécution automatique dans Windows

jeanmarc — Tue, 25 Aug 2009 21:10:14 GMT

Cette mise à jour de la fonctionnalité d’exécution automatique désactive la fonction d’autorun pour les supports USB sous Windows XP, Windows Server 2003, Windows Vista et Windows Server 2008.

Je vous la recommande chaudement !

Source : Mise à jour pour la fonctionnalité exécution automatique dans Windows

2 Bulletins de sécurité hors planning

jeanmarc — Tue, 28 Jul 2009 19:51:22 GMT

Microsoft vient de publier 2 bulletins de sécurité qu’il est conseillé d’installer au plus vite :

MS09-035 - Moderate: Vulnerabilities in Visual Studio Active Template Library Could Allow Remote Code Execution (969706)

MS09-034 - Critical: Cumulative Security Update for Internet Explorer (972260)

Le plus critique est bien sur le MS09-034, particulièrement à cause –AMHA- de la faille permettant le contournement de la sécurité “killbits”.

Plus d’infos sur le blog MSRC et SRD.

Source RSS : Microsoft Security Bulletins

Autoruns v9.52 et procmon v2.5

jeanmarc — Fri, 24 Jul 2009 11:00:36 GMT

Ces excellents outils viennent d’être mis à jour. Rechargez vos clés USB !

Autoruns v9.52: Autoruns v9.52 fixes some minor bugs including one where Ctrl+C didn’t copy the entire entry to the clipboard.

Procmon v2.5: This significant update to Process Monitor adds a number of enhancements, including new by-extension and by-directory views in the File Summary dialog, a new Network Summary view, quick filtering in all the summary views, additional IOCTL and error result decoding, and a number of bug fixes.

Source : Sysinternals Site Discussion : Updates: Autoruns v9.52, VMMap v2.2, procdump v1.2, procmon v2.5 | Marks Blog: Pushing the Limits of Windows: Processes and Threads

0-Day Flash et Acrobat Reader

jeanmarc — Thu, 23 Jul 2009 20:57:12 GMT

C’est une faille d’importance qui frappe le composant flash d’Adobe ainsi qu’Acrobat Reader, même lorsque l’exécution du javascript est désactivée dans A.R…

L’exploit est actuellement utilisé (in the wild) et le malware ainsi déposé/exécuté récupère les droits de l’utilisateur (vive UAC !).

Adobe a publié un bulletin sur cette vulnérabilité.

Source : ISC via Communauté SecurityVibes - Flash troué, navigateurs (aussi) affaiblis

Mozilla Firefox 3.5 Unicode Data Remote Stack Buffer Overflow Vulnerability

jeanmarc — Sun, 19 Jul 2009 10:56:13 GMT

Mozilla Firefox is prone to a remote stack-based buffer-overflow vulnerability.

Cet exploit, si il est correctement effectué, peut permettre à l’attaquant d’exécuter du code avec les droits de l’utilisateur utilisant firefox. Les tentatives échouées peuvent déclencher un crash ou un freeze de firefox.

Firefox 3.5 est vulnérable et il est probable que les versions antérieures le soient également.

Source : Mozilla Firefox 3.5 Unicode Data Remote Stack Buffer Overflow Vulnerability via ISC

Double 0-day dans Acrobat Reader

jeanmarc — Wed, 29 Apr 2009 06:55:26 GMT

Comment ? Encore ? Hé oui…

This is an update on the Adobe Reader vulnerability first discussed on the Adobe PSIRT blog on April 27 (“Potential Adobe Reader Issue”). All currently supported shipping versions of Adobe Reader and Acrobat (Adobe Reader and Acrobat 9.1, 8.1.4, and 7.1.1 and earlier versions) are vulnerable to this issue. Adobe plans to provide updates for all affected versions for all platforms (Windows, Macintosh and Unix) to resolve this issue. […] To mitigate the issue disable JavaScript in Adobe Reader and Acrobat using the following instructions below:
1. Launch Acrobat or Adobe Reader.
2. Select Edit>Preferences
3. Select the JavaScript Category
4. Uncheck the ‘Enable Acrobat JavaScript’ option
5. Click OK

Source et suite : Adobe Product Security Incident Response Team (PSIRT): Update on Adobe Reader Issue

Rapport Microsoft sur les données de sécurité volume 6 (juillet – décembre 2008)

jeanmarc — Sun, 12 Apr 2009 11:23:25 GMT

A lire :

Le volume 6 du Rapport Microsoft sur les données de sécurité se concentre sur le deuxième semestre de l'année 2008 (juillet à décembre) et consolide les données publiées dans les volumes précédents. En utilisant les données fournies par plusieurs centaines de millions d'utilisateurs Windows et par certains services en ligne les plus fréquentés, ce rapport fournit une perspective approfondie sur les tendances liées à la divulgation des vulnérabilités, à leur exploitation ainsi qu'un panorama des logiciels malveillants ou indésirables.

Détails du téléchargement : Rapport Microsoft sur les données de sécurité volume 6 (juillet – décembre 2008)

Download details: IE App Compat VHD

jeanmarc — Mon, 23 Mar 2009 21:31:47 GMT

Voici quelques VHD pré-configurés pour tester IE 6 / 7 / 8… et accessoirement quelques exécutables à risque si vous aimez jouer avec le feu…

This download page contains different VPC images, depending on what you want to test.

IE6-XPSP3.exe contains a Windows XP SP3 with IE6 VHD file. Expires April 30, 2009
IE7-XPSP3.exe contains a Windows XP SP3 with IE7 VHD file. Expires April 30, 2009
IE8-XPSP3.exe contains a Windows XP SP3 with IE8 VHD file. Expires April 30, 2009
IE7-VIS1.exe+IE7-VIS2.rar+IE7-VIS3.rar contain a Vista Image with IE7 VHD file. Expires 120 days after first run.

Download details: IE App Compat VHD

A utiliser avec Microsoft Virtual PC 2007 SP1, évidemment… ;-)

Safari, IE8 et Firefox dans le même panier…

jeanmarc — Sat, 21 Mar 2009 10:10:19 GMT

Il n’a fallu que quelques secondes à Charlie Miller, l’un des participants au concours Pwn2Own organisé par Tipping Point, pour prendre le contrôle complet d’un MacBook par l’intermédiaire du navigateurs Safari qui y était installé.

Dans la même journée, c’est “Nils” qui nous gratifie d’une attaque “drive by download” sur la dernière version du navigateur Internet Explorer, la 8, prenant le contrôle total de Windows 7 sur la machine visée… ainsi que d’une seconde attaque réussie sur le MacBook via Safari..

C’est également ce même participant qui exploite, plus tard dans la journée, un “zero day” sur firefox, signant alors une triple infection de trois navigateurs et deux OS différents.

Heureusement, ces exploits sont maintenant aux mains de la société “Tipping Point”, qui travaille en collaboration avec les différents éditeurs afin de résoudre ces failles.

Sources :

Security Garden: Pwn2Own Trifecta: Safari/MacBook, IE8 and Firefox

http://blogs.technet.com/ecostrat/archive/2009/03/18/cansecwest-caution-community-at-play.aspx

http://dvlabs.tippingpoint.com/blog/2009/02/25/pwn2own-2009

Spybot et IE8 : attention aux ralentissements

jeanmarc — Sat, 21 Mar 2009 09:30:52 GMT

C’est Donna qui nous met en garde (en anglais) contre l’association d’IE8 et du module résident de Spybot : lorsque la liste des sites restreints est importante, il peut se produire de forts ralentissements dans IE8, à la fois dans XP et Vista.

Source et liens complémentaires : IE8 issues if immunization by Spybot-S&D is enabled - Donna's SecurityFlash

Flash Player 10.0.22.87

jeanmarc — Wed, 25 Feb 2009 12:00:06 GMT

APSB09-01 - Flash Player update available to address security vulnerabilities

"Adobe recommends all users of Adobe Flash Player 10.0.12.36 and earlier
versions upgrade to the newest version 10.0.22.87..."

http://www.adobe.com/support/security/bulletins/apsb09-01.html

Si vous n’arrivez pas à faire la mise à jour, rendez-vous ici :

C:\Windows\System32\Macromed\Flash\

et lancez le programme “flashutil…” en ayant pris soin de fermer I.E. avant…

Conficker : une compilation de liens utiles

jeanmarc — Fri, 13 Feb 2009 11:53:05 GMT

C’est là :

SANS Internet Storm Center; Cooperative Network Security Community - Internet Security - isc

Compte désactivé ? naaaaaannnnnnn !

jeanmarc — Mon, 09 Feb 2009 20:17:50 GMT

Sans quelques “légers” détails, on pourrait presque y croire…

Ah, au fait, c’est plus Wanadoo, c’est Orange…

Same player, shoot again ? :-)

[mailbag] Messages RUNDLL et Application Error

jeanmarc — Thu, 05 Feb 2009 21:39:34 GMT

Bonsoir à tous et bonsoir à Yvon qui m’écrit :

[snip]

J'ai 2 fenêtre de messages à l'ouverture de mon ordinateur
1-RUNDLL
Erreur de chargement de C:\PROGRA-1\MYWEBS-1\bar\1.bin\M3PLUGIN.DLL
Le module spécifié est introuvable

Ici, il s’agit d’une barre de recherche MyWebSearch, considérée comme un malware et qui a certainement été nettoyée incomplètement par un anti-virus ou un anti-malware.

La solution pour supprimer ce message consiste à utiliser un utilitaire comme Autoruns afin d’effacer simplement la ligne rundll32 qui fait appel à ce fichier manquant.

Le problème c’est que ce malware a surement laissé d’autres traces que l’on peut découvrir sur cette page (en anglais).

2-Application Error
Exception EFOpenError in module 1600232252.exe at 0026B93.
Cannot open file"C:\Documents and Setting\All Users\Application Data\1398180795\Langs.udb". Le fichier spécifié est introuvable.

Dès le premier abord, ce second message est suspect. En effet, le nom de l’exécutable est un nombre qui semble aléatoire et destiné à embrouiller un utilisateur novice. Logiquement, on peut penser avoir affaire à un malware qui aurait du mal à se lancer (heureusement) et la désactivation par Autoruns me semble toute indiquée.

Ces 2 erreurs n’augurent rien de bon pour la santé de l’ordinateur et il me semble souhaitable de faire un scan anti-virus complet ainsi qu’un scan avec un bon logiciel anti-malware (un vrai, pas un “rogue” !!!) tel que MBAM.

Dernier petit conseil, reste méfiant avec les installations de logiciels gratuits, certains sont des malwares camouflés.

UAC & Windows : Une fausse impression de sécurité.

jeanmarc — Mon, 02 Feb 2009 21:56:56 GMT

Le problème avec Windows est que Microsoft a toujours voulu privilégier la facilité d’utilisation au détriment de la sécurité.

Un grand pas en avant a été fait avec Vista et l’UAC et contribuait à éduquer les Windowsiens à utiliser leur ordinateur en mode “utilisateur” (par opposition au mode “administrateur”).

Cet apprentissage ne se faisant pas en 5 minutes, j’espérais que Microsoft confirme ce réglage, certes contraignant, mais tellement éducatif.

Malheureusement, Microsoft fourni le bâton pour se faire battre (et je vois d’ici quelques linuxiens mort de rire… à raison !) avec cette nouvelle voie royale vers l’élévation de privilèges des malwares qui auraient réussi à se lancer en mode “administrateur réduit”, tel que défini par UAC dans son mode par défaut sous Windows 7.

Selon un porte-paroles de Microsoft :

This is not a vulnerability. The intent of the default configuration of UAC is that users don’t get prompted when making changes to Windows settings. This includes changing the UAC prompting level.
Microsoft has received a great deal of usability feedback on UAC prompting behavior in UAC, and has made changes in accordance with user feedback.
UAC is a feature designed to enable users to run software at user (non-admin) rights, something we refer to as Standard User. Running software as standard user improves security reduces TCO.
The only way this could be changed without the user’s knowledge is by malicious code already running on the box.
In order for malicious code to have gotten on to the box, something else has already been breached (or the user has explicitly consented)

Ce raisonnement me semble faussé : on affaiblit UAC par une volonté de rendre la sécurité du système moins intrusive.

“This includes changing the UAC prompting level.” : Justement, c’est CE point qui pose problème. Si il n’est plus possible, en terme de ressources, de faire marche arrière, il serait sage de faire surveiller cette valeur par Windows Defender.
La sécurité ne s’accorde pas toujours de petits arrangements, c’est clairement le cas ici.
“Running software as standard user improves security”. Oui, sauf si le dit software est miné par un malware, ou exploité par une faille, qui va désactiver UAC…
Oups… voir “3.”
Hé oui, c’est vrai, alors pourquoi ne pas faire en sorte que l’infection n’aille pas plus loin en acquérant les droits d’administration grâce à cette faille d’UAC ?

Mon conseil ? Une fois votre système installé et de préférence avant de commencer à utiliser “véritablement” votre PC, passez UAC en mode “always notify” afin de verrouiller ce défaut de conception.

Autre possibilité : utiliser un compte “utilisateur”, ce qui revient à ignorer les avantages d’UAC…

Lire l’histoire complète (en anglais) :

Microsoft dismisses Windows 7 UAC security flaw, continues to insist it is “by design” - istartedsomething