La météo sécurité du 02 novembre 2011

Chaque lundi, retrouvez avec 01net et le Cert Devoteam les prévisions et les recommandations sécurité de la semaine.

R.A.S.
Insécurité habituelle
Actions préventives
Vulnérabilités
Risque majeur

Systèmes d'exploitation

Windows : mise à jour SP3 pour Office 2007
Diffusion du Service Pack 3 cumulatif pour Officev2007, avec intégration de toutes les mises à jour de sécurité. Pour le moment, pas d'impact découvert avec DuQu, mais il faut rester vigilant, au moins cette semaine.

Apple : R.A.S.

Linux : quelques vulnérabilités
Corrections de vulnérabilités sur Debian pour TOR et phpLDAPadmin.

 

Mobilité : attention aux mises à jour ... malveillantes
Découverte intéressante, par F-Secure, d'une application pour Android (DroidKungfu) qui est initalement inoffensive, mais requiert des privilèges, et dont les mises à jour font changer la nature de l'application, qui devient malveillante.

Infrastructure et applications

Malveillance internet : le ver DuQu et de fausses annonces de mise à jour de logiciels
L'analyse du ver se poursuit, une affaire à suivre ! Des campagnes d'e-mailing annoncent des nouvelles versions de logiciels à télécharger... ailleurs que sur les sites de référence, bien sûr !

Navigateurs web : mise à jour pour Chrome
Nouvelle version de Chrome 15, qui permet notamment de se prémunir contre les attaques SSL/TLS menées par Beast.

Plug in : penser aux récents correctifs Java
Des attaques exploitant certaines vulnérabilités Java, corrigées en octobre, sont en augmentation. A noter, un correctif pour Apple Quicktime.

Infrastructure : vulnérabilités SSL/TLS et Wordpress
Mesures conservatoires à prendre, suite à la diffusion d'un outil d'attaque susceptible de provoquer un déni de service sur des serveurs SSL/TLS. Regarder aussi les correctifs pour VMware, suite aux avis Java et openSSL. Enfin, la vulnérabilité affectant le module TimThumb de gestion des images pour Wordpress est de nouveau exploitée.