La météo sécurité du 04 septembre 2012

Chaque lundi, retrouvez avec 01net et le Cert Devoteam les prévisions et les recommandations sécurité de la semaine.

R.A.S.
Insécurité habituelle
Actions préventives
Vulnérabilités
Risque majeur

Systèmes d'exploitation

Windows : Correctifs mensuels de juillet et d'août
 Microsoft a été prolixe cet été : 9 bulletins de sécurité publiés en juillet pour corriger 16 vulnérabilités, et 9 autres bulletins en août. Les plus critiques doivent être appliqués aux composants réseaux et contrôles communs de Windows, aux XML Core Services, Internet Explorer, au Bureau à distance, MDAC, et le WebReady Document Viewing de Microsoft Exchange Server. Les prochains avis de Microsoft seront publiés... la semaine prochaine.

Apple : RAS
RAS

Linux : deux mois de correctifs
Plusieurs vulnérabilités corrigées (une trentaine pour Debian, une quarantaine pour Mandriva, une cinquantaine pour RedHat, une soixantaine pour Ubuntu...) dont les principales affectent bien entendu Java, Firefox et Thunderbird, mais aussi Bind, DHCP, LDAP, Kerberos, Open Office, et le noyau.

Mobilité : Mises à jour des navigateurs et malware
Outre de nouvelles versions de navigateurs, plusieurs malwares ont tiré profit du contexte estival pour tenter de s'introduire dans les mobiles : « jeux de plage », suivi en temps réel des événements sportifs...
Tous les indicateurs des chercheurs en sécurité, et il est vrai aussi des éditeurs de solutions antimalware sur mobiles, sont au rouge. L'Asie reste un indicateur particulièrement intéressant pour dégager des tendances de ce qui nous attend en Europe.

Infrastructure et applications

Malveillance internet : L'arnaque, le(s) jeu(x) de l'été, le Vi(g)a(g)ra...
Avec l'été, les courriels avec arnaque à la clé ont encore été nombreux, sans parler des fausses factures à payer en urgence. En matière de phishing, EDF a été particulièrement visé, et cela devrait malheureusement continuer : on demande aux futures victimes d'envoyer des scans de documents permettant ensuite de monter une usurpation d'identité. Les Jeux olympiques et le Tour de France (et les déclarations des uns et des autres sur les affaires de dopage) ont aussi servi de prétexte pour rediriger vers des sites pour voir des vidéos ou des interviews « exclusives »... avec en prime un soi-disant nouveau codec plus performant ou une soi-disant nouvelle version de Flash Player.
On assiste surtout depuis le mois d'août à un déluge de spams vantant certains produits « pharmaceutiques » aux prix super compétitifs... Bref, les étés se suivent et se ressemblent... Une preuve de plus qu'il faut rester méfiant !

Navigateurs web : Nouvelles versions pour tous !
Passez directement aux dernières versions si vous n'avez pas effectué vos mises à jour au fil de l'été... malgré les sages conseils qui vous sont prodigués dans cette rubrique tout au long de l'année : il s'agit donc de Chrome 21.0.1180.89, Firefox et ThunderBird 15.0, Internet Explorer 9 avec les dernier correctifs installés, Opera 10.02...

Plug in : Adobe, mais surtout Java !
Adobe a publié un total de cinq avis de sécurité en août pour : Adobe Reader et Acrobat, Shockwave Player, deux pour Flash Player, et Photoshop. Mais l'événement sécurité de cette fin d'été aura sans doute été la divulgation d'une vulnérabilité critique Java déjà évoquée sur ce site. Pour savoir si vous êtes à jour, suivez le lien sur le site de Java. Et pour ne plus douter de la pertinence de supprimer les vieilles versions de Java, lisez ceci.

Infrastructure : RAS
RAS