juillet 2009

La quatrième vulnérabilité 0-day (après celle-là et celles-ci) en seulement deux semaines vient de tomber et elle touche un des plugins les plus installés sur les navigateurs : le lecteur Flash d’Adobe qui est utilisé pour rendre les sites Web visuellement plus attractifs, pour voir les vidéos sur YouTube, pour jouer en ligne, …

A quoi faisons nous face :

• Une vulnérabilité critique dans le lecteur Flash (au moins versions 9 et 10) pouvant être exploitée depuis tous les navigateurs et tous les systèmes d’exploitation en navigant sur un site web compromis (drive-by attack) ou par la lecture d’un fichier PDF malicieux avec Adobe Acrobat Reader ;
• Les deux méthodes d’exploitation ont déjà été observées sur Internet ;
• Aucune méthode de protection mis à part la desinstallation du lecteur ou de certains de ces composants ;
• La désactivation de Javascript ne protège pas totalement contre une exploitation ;
• Adobe ne fournira par des versions correctives avant le 30 Juillet.

Que faites vous ?

La plupart des navigateurs sont impactés par des problèmes de sécurité en ce début de mois de Juillet.

• Après la vulnérabilité dans le composant Video Control qui n’est toujours pas corrigée par Microsoft, c’est au tour du composant Office Web Components Control d’être activement exploité sur Internet pour prendre le contrôle d’Internet Explorer… [Microsoft Security Advisory 973472]
• Mozilla a publié très rapidement une version 3.5.1 de Firefox pour corriger une vulnérabilité critique dans le moteur Javascript pouvant permettre l’execution de code. Depuis, une nouvelle vulnérabilité a été découverte mais Mozilla se défend en indiquant qu’elle n’est pas exploitable, il s’agit juste d’une vulnérabilité DoS…
• Google prend les devants en sortant une version 2.0.172.37 de Google Chrome qui corrige deux vulnérabilités critiques découvertes en interne (et donc pas encore publiques). Sur les deux vulnérabilités, la technologie de sandbox mise en avant par Google ne permet de minimiser l’impact que d’une seule…
• Apple a corrigé deux vulnérabilités critiques dans Safari 4.0.2 : possibilité de cross-site scripting, déni de service et execution de code…

On ne parle que de ça : cette semaine, Google a annoncé son OS, le Google Chrome OS. C’était prévisible quand on se souvient de la présentation du navigateur Chrome qui employait nombre de termes issus du système d’exploitation (Process Manager, Adress Space, Garbage Collector,…). Ce n’est pas très étonnant non plus par rapport à la stratégie de Google de pousser les applications vers le Web : une fois qu’on a son mail et son agenda sur GMail, qu’on travaille ses documents bureautiques sur Google Apps, qu’on retouche ses photos avec Picasa et (évidemment) qu’on surfe sur Internet avec Google Chrome, à quoi sert l’OS local si ce n’est à faire tourner le navigateur Web ? D’où cette tentation très (trop ?) forte pour Google de développer son ‘propre’ OS (d’après le communiqué de presse, un système Linux avec une interface utilisateur spécifique).

Est-ce que Google est le premier à avoir cette idée ? Evidemment non, on peut par exemple citer Good OS ou jolicloud. Mais Google a évidemment beaucoup plus de moyens que tous les autres d’imposer son OS client d’accès au cloud…

Que pensons-nous chez commonIT de cette annonce ? Vous l’aurez compris, nous ne sommes absolument pas surpris. Cela nous conforte dans l’idée que nous sommes à l’aube d’une révolution dans le domaine de l’architecture des systèmes d’information : recentralisation des applications et des données, accès depuis un navigateur Web. Et nous ouvre de nombreuses perspectives… mais nous en reparlerons plus tard

Cette semaine commonIT est devenu partenaire du revendeur Insight. Virtual Browser est donc une des nouvelles marques poussées par Insight sur le marché français.

Insight est un des fournisseurs majeurs de produits informatiques, logiciels et services avancés. Le groupe américain, placé à la 484e place dans la liste Fortune 500 (du magazine Fortune), aide les sociétés du monde entier (plus de 170 pays) à gérer et à sécuriser leur environnement informatique.

Pour nous, le référencement de Virtual Browser chez Insight représente une force supplémentaire pour adresser les marchés sensibles et les grands comptes français avec lesquels Insight a su construire des accords commerciaux solides. C’est aussi la reconnaissance de tout le potentiel de Virtual Browser qu’Insight placera dans son catalogue au coté des principaux éditeurs leaders du marché.

Une nouvelle vulnérabilité dans le composant ActiveX Video Control de Microsoft met à nouveau la pression sur le navigateur. En effet, des milliers de sites web (compromis pour la plupart) sont déjà utilisés pour exploiter cette faille et prendre le contrôle de la machine.

Du côté des correctifs, Microsoft a publié un bulletin de sécurité et une analyse sur son blog sécurité mais pas encore de version corrective. Le seul moyen de contournement étant d’utiliser le fameux Kill-bit pour désactiver l’ActiveX (ou bien sûr de ne pas utiliser IE pour surfer sur Internet…). Microsoft mérite tout de même un carton rouge car le numéro de CVE (CVE-2008-0015) et sa date d’enregistement montre qu’ils avaient connaissance de la vulnérabilité depuis 18 mois.

Du côté de commonIT, notre solution de navigateur virtualisé Virtual Browser permet de protéger, par construction, le poste de l’utilisateur de ce genre d’attaque. En effet, même en utilisant le moteur de rendu d’Internet Explorer, l’exploitation de cette vulnérabilité ne permettra la prise de contrôle, ni du poste de l’utilisateur, ni du réseau de l’entreprise, ni même des applications web de confiance. Tout code malveillant téléchargé sera détruit automatiquement lors de la fermeture de la fenêtre. Stress-free Internet ?