Actualités :
L’ANSSI participe à l’exercice européen CYBER EUROPE 2012 (CE 2012)
http://www.ssi.gouv.fr/fr/menu/actualites/l-anssi-participe-a-l-exercice-europeen-cyber-europe-2012-ce-2012.html
Patrick PAILLOUX, Directeur général de l’ANSSI, ouvre les Assises de la sécurité 2012
http://www.ssi.gouv.fr/fr/anssi/publications/communiques-de-presse/patrick-pailloux-directeur-general-de-l-anssi-ouvre-les-assises-de-la-securite.html
Présence de l’ANSSI aux Assises de la sécurité et des systèmes d’information
http://www.ssi.gouv.fr/fr/menu/actualites/l-anssi-sera-presente-aux-assises-de-la-securite-et-des-systemes-d-information.html
Discours de Patrick Pailloux, directeur général de l’Agence nationale de la sécurité des systèmes d’information lors des Assises de la sécurité 2012
http://www.ssi.gouv.fr/fr/anssi/publications/discours-de-patrick-pailloux-directeur-general-de-l-agence-nationale-de-la.html
Appel à commentaires sur le guide : « L’hygiène informatique en entreprise – Quelques recommandations simples »
http://www.ssi.gouv.fr/fr/bonnes-pratiques/recommandations-et-guides/securite-du-poste-de-travail-et-des-serveurs/appel-a-commentaires-sur-le-guide-l-hygiene-informatique-en-entreprise-quelques.html
Recommandations de sécurité relatives à IPsec pour la protection des flux réseau
http://www.ssi.gouv.fr/fr/bonnes-pratiques/recommandations-et-guides/securite-des-reseaux/recommandations-de-securite-relatives-a-ipsec-pour-la-protection-des-flux.html
Recommandations de sécurité relatives à la télé-assistance
http://www.ssi.gouv.fr/fr/bonnes-pratiques/recommandations-et-guides/securite-du-poste-de-travail-et-des-serveurs/recommandations-de-securite-relatives-a-la-tele-assistance.html
Les services techniques de l’ANSSI vont s’installer dans de nouveaux locaux
http://www.ssi.gouv.fr/fr/menu/actualites/les-services-techniques-de-l-anssi-vont-s-installer-dans-de-nouveaux-locaux.html
13e édition de la conférence internationale des critères communs
http://www.ssi.gouv.fr/fr/menu/actualites/13e-edition-de-la-conference-internationale-des-criteres-communs-543.html
Bulletin d’actualité CERTA-2012-ACT-040
Révocation d’un certificat Adobe, windows invalide les certificats associés aux clés RSA inférieures à 1024 bits, gestion des données par un prestataire externe, discours du directeur général de l’ANSSI aux Assises de la sécurité 2012, guide d’hygiène informatique
http://www.certa.ssi.gouv.fr/site/CERTA-2012-ACT-040/index.html
Bulletin d’actualité CERTA-2012-ACT-039
Une porte dérobée dans le code source de phpMyAdmin, correctifs de sécurité et poupées russes, compromission d’un ordiphone par NFC, codes USSD – Vulnérabilités Samsung et Android
http://www.certa.ssi.gouv.fr/site/CERTA-2012-ACT-039/index.html
Bulletin d’actualité CERTA-2012-ACT-038
Vulnérabilité critique dans Internet Explorer, navigateurs Internet : prévention des attaques 0day, une mise à jour des antivirus Sophos sème le désordre
http://www.certa.ssi.gouv.fr/site/CERTA-2012-ACT-038/index.html
Avis :
+ Adobe
Multiples vulnérabilités dans Adobe Flash Player
De multiples vulnérabilités ont été corrigées dans Adobe Flash Player. Elles permettent entre autres une exécution de code à distance et un déni de service à distance.
http://www.certa.ssi.gouv.fr/site/CERTA-2012-AVI-553/index.html
+ Google
Multiples vulnérablilités dans Google Chrome
Quatre vulnérabilités ont été corrigées dans Google Chrome. Une d’entre elles a été considérée comme « Critique » par l’éditeur et concerne un accès concurrentiel (race condition) au pilote audio.
http://www.certa.ssi.gouv.fr/site/CERTA-2012-AVI-551/index.html
+ Microsoft
Vulnérabilités dans Microsoft Office
Deux vulnérabilités ont été corrigées dans Microsoft Office. Une concerne une exécution de code arbitraire au moyen d’un document Word ayant la section PAPX spécialement conçue. La seconde permet également une exécution de code arbitraire à distance au moyen d’une utilisation de données après libération (use-after-free) présente dans le format RTF.
http://www.certa.ssi.gouv.fr/site/CERTA-2012-AVI-554/index.html
Vulnérabilité dans Kerberos de Microsoft
Une vulnérabilité de type déréférencement de pointeur Null dans Kerberos a été corrigée. Elle permet à un attaquant de réaliser un déni de service à distance au moyen d’une requête de session spécialement conçue.
http://www.certa.ssi.gouv.fr/site/CERTA-2012-AVI-559/index.html
Vulnérabilité dans le noyau Microsoft Windows
Une vulnérabilité a été corrigée dans le noyau de Microsoft Windows. Elle permet à un attaquant une élévation de ses privilèges en exécutant une application spécialement conçue.
http://www.certa.ssi.gouv.fr/site/CERTA-2012-AVI-558/index.html
Multiples vulnérabilités dans FAST Search Server
De multiples vulnérabilités ont été corrigées dans Microsoft FAST Search Server 2010. Elles permettent entre autres une exécution de code arbitraire à distance.
http://www.certa.ssi.gouv.fr/site/CERTA-2012-AVI-557/index.html
Vulnérabilité dans le composant de nettoyage HTML de Microsoft
Une vulnérabilité a été corrigée dans le composant de nettoyage HTML de Microsoft. Elle permet à un attaquant une élévation de ses privilèges en envoyant du contenu spécialement conçu.
http://www.certa.ssi.gouv.fr/site/CERTA-2012-AVI-556/index.html
Vulnérabilité dans Microsoft Works
Une vulnérabilité a été corrigée dans Microsoft Works. Elle permet à un attaquant d’exécuter du code arbitraire à distance au moyen de fichiers Word spécialement conçus.
http://www.certa.ssi.gouv.fr/site/CERTA-2012-AVI-555/index.html
Vulnérabilité dans Microsoft SQL Server
Une vulnérabilité de type injection de code indirecte à distance (XSS) est corrigée dans Microsoft SQL Server sur les systèmes exécutant SQL Server Reporting Services (SSRS).
http://www.certa.ssi.gouv.fr/site/CERTA-2012-AVI-560/index.html
+ Autre
Vulnérabilité dans Joomla!
Une vulnérabilité a été corrigée dans Joomla! version 3.0.1. Il s’agit d’une injection de code indirecte à distance (XSS) dans le composant de recherche de langage.
http://www.certa.ssi.gouv.fr/site/CERTA-2012-AVI-565/index.html
Vulnérabilité dans RSA Adaptative Authentication
Une vulnérabilité a été corrigée dans RSA Adaptative Authentication. Elle concerne une atteinte à la confidentialité des données lors d’appels spécifiques à des composants internes à l’application.
http://www.certa.ssi.gouv.fr/site/CERTA-2012-AVI-562/index.html
Multiples vulnérabilités dans les produits Mozilla
De multiples vulnérabilités ont été corrigées dans les produits Mozilla. La majorité d’entre elles sont considérées comme « Critiques » par l’éditeur. Parmi elles plusieurs utilisations de données après libération (use-after-free) sont présentes et peuvent mener à des exécutions de codes arbitraires à distance.
http://www.certa.ssi.gouv.fr/site/CERTA-2012-AVI-561/index.html
+ Cisco
Multiples vulnérabilités dans Cisco WebEx
Six vulnérabilités ont été corrigées dans Cisco WebEx. Elles concernent des débordements de mémoire tampon dans le format de stockage des enregistrements vidéos. Un attaquant peut les utiliser pour exécuter du code arbitraire à distance.
http://www.certa.ssi.gouv.fr/site/CERTA-2012-AVI-568/index.html
Multiples vulnérabilités dans Cisco Firewall Services Module
Trois vulnérabilités ont été corrigées dans des produits Cisco. Elles concernent le protocole DCERPC et peuvent mener un attaquant à exécuter du code arbitraire à distance.
http://www.certa.ssi.gouv.fr/site/CERTA-2012-AVI-567/index.html
Multiples vulnérabilités dans Cisco ASA
De multiples vulnérabilités ont été corrigées dans Cisco ASA. La plus critique permet une exécution de code arbitraire à distance au moyen de paquets DCERPC spécialement conçus.
http://www.certa.ssi.gouv.fr/site/CERTA-2012-AVI-564/index.html
+ SCADA :
Vulnérabilité dans le système SCADA Siemens SIMATIC S7-1200
Une vulnérabilité a été corrigée dans Siemens SIMATIC S7-1200. Elle concerne une injection de code indirecte à distance (XSS) pouvant mener un utilisateur privilégié à exécuter des commandes arbitraires.
http://www.certa.ssi.gouv.fr/site/CERTA-2012-AVI-550/index.html