Bonjour toutes et tous,

Microsoft compte notifier les correctifs à venir
Microsoft veut renforcer sa politique de sécurité en diffusant des informations avant la mise à disposition effective des correctifs. IE est à nouveau affecté par une faille sans solution.
A l'occasion de la RSA Conference Europe 2004, qui s’est déroulée à Barcelone du 3 au 5 novembre, Rich Kaplan, vice-président et responsable sécurité de la division affaires et technologies chez Microsoft, a annoncé une modification de la politique de mise à jour des correctifs à travers le nouveau programme "Microsoft Security Bulletin Advance Notification".
Désormais, les correctifs publiés mensuellement (le deuxième mardi du mois sauf en cas d'urgence extrême) seront précédé de l'annonce des prochaines mises à jour (jours jours avant). Cette annonce, disponible pour les administrateurs comme pour les utilisateurs de base sur Technet, le site de l'éditeur dédié à la sécurité, présentera le nombre de correctifs à venir, le niveaux de dangerosité des failles et les produits affectés. Elle permettra avant tout aux administrateurs d'organiser leur planning de mise à niveau.
Nouvelle alerte autout d’une faille
La première notification avancée est datée du 4 novembre. Elle prévient qu'une faille, de niveau critique, affecte les serveurs ISA (Microsoft Internet Security and Acceleration). Et c'est tout. Rien sur Internet Explorer. Pourtant, selon le Computer Emergency Readiness Team (CERT), un service fédéral américain dédié aux questions de sécurité nationale, le navigateur de Windows est, une nouvelle fois, affecté par une sérieuse brèche.
Il s’agit en l'occurrence d’une vulnérabilité exploitée par un débordement de mémoire tampon. Elle peut permettre à une personne mal intentionnée de prendre le contrôle de la machine visée avec les mêmes privilèges que ceux de l'utilisateur du navigateur. D'autres programmes, notamment Outlook et Outlook Express mais aussi AOL et Lotus Notes, qui utilisent les ActiveX WebBrowser, pourraient être affectés par la faille. Pour le CERT, "il n'y a pas de solution complète au problème". Sauf à mettre à jour son système d'exploitation. L'organisme souligne en effet que les utilisateurs de Windows XP SP2 ne seraient pas affectés par la faille.

Un ver se cache dans la dernière vidéo de ben Laden
Un courriel qui prétend offrir le dernier message d'Oussama ben Laden sur vidéo contient en fait un ver informatique.
Le courriel qui transporte le ver Famus.F déclare dans son objet, en anglais et en espagnol, qu'il y aura davantage de terrorisme cette année. Le corps du message indique ensuite que le fichier joint contient le dernier discours de ben Laden et demande poliment aux internautes de bien vouloir transférer le courriel à tous les gens qu'ils connaissent. Une requête qui est toutefois superflue puisque la bestiole est en mesure de se dupliquer vers les adresses de courriel qu'elle trouve sur le PC qu'elle infecte.
Lorsqu'il contamine un PC, Famus.F s'installe sur le disque et assure son lancement au démarrage de Windows en ajoutant des clés à la base de registre. Il peut également installer des fichiers supplémentaires.
Sophos précise que le ver Famus.F semble se répandre faiblement sur Internet mais qu'il s'agit cependant d'une raison de plus de ne pas ouvrir les pièces jointes annexées aux courriels non sollicités. Il démontre également que «les pirates et les auteurs de virus cherchent tous les moyens possibles d'inciter les gens à se laisser infecter par leur code malveillant» explique Annie Gay, directrice générale de Sophos France.
Plus de détails sur Famus.F dans cette page et dans le communiqué de Sophos.

Dans la boue des logiciels espions
L’article n’est pas signé, mais il y a fort à parier que c’est là encore une œuvre de Matthew Fordahl de l’A.P. : « Qui se cache derrière les spywares » (publié par CNN). L’auteur s’est livré à une enquête –quasiment vaine d’avance- visant à savoir qui se cachait derrière les spywares, qui les utilise, qui en profite, quel est la complexité de leurs mécanismes et la guerre technologique que se livre auteurs d’espionniciels et de contre-espionniciels. Sombre tableau, sombre bilan, où les frontières entre le bien et le mal semblent très fluctuantes, où les mécanismes de financement paraissent colossaux, où les « clients » faisant appel à ces margoulins du code ont pour nom Yahoo, Dell, Orbitz, FTD… les récentes propositions de loi votées par les sénateurs républicains US, les diverses actions de la FTC font que ces collusions sentent de plus en plus le souffre, et que l’on est de moins en moins enclin à reconnaître le recours à de pareilles pratiques. Que voilà une saga passionnante. Mais, avec un tel éclairage, l’on peut deviner que la lutte contre ce fléau est perdue d’avance. Ni les politiques, ni les professionnels de l’informatique ne peuvent lutter contre une pratique qu’encouragent des sites douteux ou que supportent des industriels dénués de scrupules. Combattre les spywares avec efficacité nécessiterait peut-être de renouer avec certains principes oubliés d’Internet : celui d’un réseau non-marchand.

Des experts incitent à changer de navigateur après une nouvelle faille dans IE
Décrite en détails sur internet, la énième vulnérabilité critique repérée dans le navigateur de Microsoft ne possède encore aucun antidote. Des experts en sécurité conseillent à nouveau l'emploi d'un autre navigateur.
Une nouvelle faille de sécurité qualifiée de «critique» par les principaux observateurs vient d'être décelée dans Internet Explorer (IE 6 pour Windows 2000 et XP SP1). Une faille nouvelle mais susceptible de provoquer toujours les mêmes effets: elle pourrait être exploitée par une personne mal intentionnée pour prendre le contrôle du système à distance.
Elle a d'abord été rapportée le 2 novembre par la société danoise de recherche en sécurité Secunia. Le lendemain, elle a fait l'objet d'un avis du centre d'alerte officiel du gouvernement américain (US-Cert). Et en France, le 4 novembre, c'était au tour du Cert-IST, un centre de veille réservé à quelques grandes entreprises ou administrations françaises, d'enfoncer le clou. Tous l'ont classée au sommet ou presque de leurs échelles de risque respectives.
Si le danger est plus sensible aujourd'hui, c'est parque que des détails de cette faille (un programme de démo) ont été diffusés sur un site internet prônant la transparence sur les bugs de logiciels.
Il est à signaler que les utilisateurs de Windows XP SP2 ne sont pas concernés; leur version d'IE 6 est en effet déjà immunisée.
Cette vulnérabilité se situe au niveau de la gestion de certaines balises HTML par Internet Explorer. Il s'agit des balises "frame" et "iframe" qui permettent d'insérer des cadres dans une page web ou un e-mail écrit en HTML.
D'autres programmes susceptibles d'être touchés
Elle pourrait être exploitée pour créer un dépassement de la mémoire tampon (buffer overflow). Une défaillance qui survient lorsqu'un programme demande davantage de mémoire qu'il n'en dispose. Le programme accède alors à des zones qui ne lui sont pas destinées. Une situation qui permet d'exécuter du code à distance sur la machine-cible, afin d'en prendre le contrôle.
Désactiver les comportements dynamiques dans Internet Explorer, comme les contrôles ActiveX, et les scripts JavaScripts comme l'indique Microsoft sur son site (...) peut «protéger contre les programmes d'exploitation actuels» de la faille mais ne la «supprime pas», indique le Cert-ITS.
L'US-Cert précise dans son alerte du 3 novembre que, outre IE, d'autres programmes permettant de lire des pages HTML sont susceptibles d'être affectés, tels que Outlook, Outlook Express ou Lotus Notes.
Pour ceux qui ne souhaitent pas passer à XP SP2, il n'y a hélas encore aucun patch disponible chez Microsoft. L'éditeur pourrait changer d'avis, a-t-il déclaré à notre bureau de San Francisco. Pourtant il avait affirmé qu'il ne mettrait plus jamais à jour son navigateur pour les OS autres que XP SP2.
Secunia conseille donc, dans ces conditions, «d'utiliser un autre produit». Même chose chez les experts français: «Tant que l'éditeur ne fournit pas de correctif, nous recommandons d'utiliser un autre navigateur», indique un porte-parole. C'est la seconde fois depuis le début de l'année que le Cert-IST recommande d'utiliser des alternatives à IE.

Des experts incitent à changer de navigateur après une nouvelle faille dans IE

C'est clair, vive Mozilla!

Lotus Notes

Moi je ne connais qu'un seul Lotus : le papier toilette.

Ok je sors =>[].