faille F-secure 05/2004
Glacier Source silicon
F-Secure a fait état d'une faille sur plusieurs de ses produits anti-virus. C'est l'éditeur lui-même qui le révèle. Ceci démontre une nouvelle fois que les experts en sécurité ne sont pas exempts de faiblesses, plus ou moins sérieuses.
La vulnérabilité peut être exploitée à distance afin de "crasher" le programme anti-virus. Une mauvaise manipulation sur certaines archives LHA et le module en vérifiant le contenu entraîne une saturation de la mémoire tampon (buffer overflow) et provoque des interruptions avec déni de service.
Toutes les plates-formes sur lesquelles fonctionnent les versions de cet anti-virus fragilisé assument un risque, dont l'échelle varie de moyen à critique. Les 'patchs' sont proposés sur le site de l'éditeur :
http://www.f-secure.com/security/fsc-2004-1.shtml
technologies 05/2004
Glacier Après le lancement récent d'un nouveau type de stockage sur disque appelé Blue-Ray (1) jusqu'ici réservé aux professionnels, le constructeur japonais Sony s'attaque au secteur grand public et annonce avoir développé une tête de lecture optique capable d'enregistrer et de lire non-seulement les disques Blu-ray, mais aussi les DVD actuels et les CD-ROM, une compatibilité que n'assuraient pas les précédents lecteurs. Cette technologie prometteuse permettra de répondre aux nouveaux besoins de stockage issus notamment de l'apparition des téléviseurs haute définition.
(1) Un DVD Blu-ray (rayon bleu en français) permet de stocker plus de 20 Go sur disque contre moins de 5 Go aujourd'hui pour un DVD classique.
virus et chevaux de troie 05/2004
Glacier source sophos
Troj/SdBot-BI est un cheval de porte dérobée IRC qui permet d'accéder via des canaux IRC et de manière non autorisée à un ordinateur et d'en prendre le contrôle.
Lors de son exécution, Troj/SdBot-BI affiche le faux message d'erreur suivant :
"'Error-38427 A valid dll file was not found, Windows is now deleting file."
Pour se lancer automatiquement au démarrage de Windows, le cheval de Troie se copie dans le fichier mmsnmessengerupdate.exe présent dans le dossier système Windows et, pour assurer son démarrage à l'ouverture de session, ajoute dans le registre l'entrée suivante :
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\
svshostdriver = msnmessengerupdate.exe
Si elle existe, cette clé est à supprimer de votre base de registre.
sécurité des systemes 05/2004
Glacier Un nouveau ver, appelé Dabber, exploite -et c'est nouveau- une faille présente dans le code du ver Sasser.
Si vous avez pris le soin de protéger votre poste contre Sasser, ce nouveau ver n'a rien de menaçant : Dabber ne peut se déployer que sur les postes encore infestés par Sasser. Le risque le plus sérieux provient de l'installation d'une 'back door' sur le poste infecté ce qui pourrait donner le contrôle de votre machine à un 'hacker'.
Pour vous en protéger, suivez les mêmes recommandations que pour Sasser.
Pas de nouveau message jusqu'au Lundi 24 Mai pour cause de week-end d'ascension. D'ici là, restez vigilants !
Failles dans les produits Norton
Glacier Source silicon
Quatre vulnérabilités sont signalées qui touchent les produits de Symantec.
Permettant des attaques par deni de services (DoS), ces failles sont jugées extrêmement critiques.
Les produits concernés sont: Norton Antispam 2004, Norton Internet Security 2002, 2003, Norton Internet Security 2003 Professional, Norton Internet Security 2004, Norton Internet Security 2004 Professional, Norton Personal Firewall 2002, 2003, 2004.
Certains produits Entreprises sont également vulnérables: Symantec Client Firewall 5.x, Symantec Client Security 1.x, Symantec Client Security 2.x.
Leur exploitation par un pirate permettrait de rendre le système cible inopérable et/ou d'exécuter des codes sur la machine touchée.
Symantec, qui confirme ces failles, recommande à ses utilisateurs de mettre à jour leurs logiciels via le "live update". L'éditeur recommande même d'effectuer cete mise à jour manuellement afin d'être certain d'être bien protégé.
Sécurité des systèmes 05/2004
Glacier Un nouveau ver, le ver Wallon est apparu mardi 11 mai sur les réseaux, il est classé niveau 2 par l'éditeur F-secure.
Le virus se propage via les e-mails, mais Wallon ne contient pas de fichier attaché : Il contient un faux lien Yahoo qui prend la forme suivante:
http://drs.yahoo.com/nom de domaine connu/NEWS
En suivant ce lien, l'utilisateur active un script qui charge et execute le virus.
Fw: articles presse 05/2004
Glacier source silicon
A partir de ce mardi, les entreprises qui demanderont un nom en ".fr" l'obtiendront automatiquement. Jusqu'à présent, obtenir un nom de domaine de ce type relevait du parcours du combattant: contrôles préalables, "droit au nom"... autant d'obstacles qui décourageaient beaucoup de candidats.
La règle est désormais celle du "premier arrivé, premier servi", à l'image de la procédure qui régit depuis toujours les principaux domaines utilisés sur le Web (.com, .net...).
Il ne sera plus exigé de "droit au nom" (que le nom ait un lien avec l'entreprise): chaque personne morale pourra déposer le nom qu'elle souhaite, s'il est disponible.
Néanmoins, une restriction doit éviter le "cybersquatting" (des personnes peu scrupuleuses qui spéculent sur des noms de domaine: elles les déposent pour les monnayer ensuite): seules les entités ou les personnes ayant une existence légale en France pourront réserver un nom de domaine. Elles doivent être enregistrées auprès dun tribunal de commerce, dans les bases de lInsee ou de lINPI (Institut national de la propriété industrielle). La vérification du demandeur sera donc maintenue, mais a posteriori. En cas de fraude, l'Afnic bloquera le nom de domaine.
Les particuliers et les associations non enregistrées à l'Insee devront attendre le premier semestre 2005.
articles presse 05/2004
source silicon
Le fait est sans précédent dans l'histoire des virus. En moins d'une semaine, l'auteur du ver Sasser, qui a infecté un nombre considérable de PC depuis le 1er mai dernier, a été arrêté. Confondu par la police, le jeune suspect a avoué.
Ce samedi, la police allemande a interpellé un adolescent de 18 ans, qui se nommerait Sven J. qui "a fait ses aveux à la police", a déclaré Frank Federau, porte-parole de la police de Basse-Saxe.
La police et le parquet allemands avaient effectué une perquisition au domicile de ses parents vendredi soir, à Rotenburg an der Wuemme, une petite ville, près de Brême, dans l'Etat régional de Basse-Saxe (nord de l'Allemagne). Ils y ont saisi un très grand nombre de preuves, dont son ordinateur. Le jeune homme a été remis en liberté provisioire après son interrogatoire.
sécurité des systemes 05/2004
Un nouveau ver est à signaler depuis le 01 Mai : W32-SASSER
Sasser peut infecter un ordinateur (sous Windows 2000, Windows Server 2003 et Windows XP) simplement s'il est branché sur internet, et non pas par le biais d'un courrier électronique. Il provoque des redémarrages intempestifs du PC connecté (Cf. Blaster) mais n'attaque pas les données de la machine.
Pour se protéger de cette attaque, il est fortement conseillé de mettre à jour son anti-virus et d'installer le dernier patch (publié le 13 avril) de Microsoft pour Windows.
Sasser est facile a repérer : Outre le fait de redémarrer l'ordinateur (en donnant même le nom du composant mis en cause : lsass.exe), il ne se cache pas dans la liste des tâches en cours. Un simple appel au gestionnaire des tâches de Windows (ctrl+alt+suppr) permettra de découvrir le processus du ver, appelé avserv.exe ou avserv2.exe.
