Les pirates exploitent de plus en plus les failles de sécurité dans la Java Runtime Environment (JRE) pour infecter les ordinateurs avec du code malveillant lorsque les utilisateurs visitent une page web spécialement conçue. Selon le célèbre blogueur spécialiste en sécurité Brian Krebs que je suis depuis un moment, la raison de cette augmentation de l'activité est que l'arsenal de l'exploit kit BlackHole a été étendu pour inclure un exploit approprié.

La faille qui a été corrigée par Oracle à la mi-Février était un code malveillant visant à contrôler la sandbox Java afin de s'ancrer dans un système. Divers types de logiciels malveillants ont été injectés. Par exemple cette faille a été exploitée pour déployer le malware Zeus.

Selon une analyse publiée par Microsoft, cette faille est répartie entre deux classes Java. La première classe exploite la vulnérabilité pour élever les privilèges lors du traitement des tableaux puis exécute une classe de chargement qui va télécharger et installer le malware choisit.

Les utilisateurs peuvent se protéger en installant ou en mettant à jour leur version de Java actuelle : Java SE 6 Update 31 ou Java SE 7 Update 3. Pour savoir quelle version est installée sur votre ordinateur, vous pouvez visiter la page de vérification de votre version de Java.

Cependant, même ceux qui utilisent la dernière version de Java peuvent s'inquiéter d'après Krebs. Des rumeurs disent qu'un nouvel exploit 0-day Java circule sur des forums underground. Pour être certains d'être tranquille, vous pouvez soit désinstaller complètement Java ou au moins désactiver le plugin sur votre navigateur. Comme l'utilisation de Java sur le web continue d'être sur le déclin, vous ne devriez pas ressentir trop d'impact.

Microsoft a annoncé la semaine dernière qu'il allait travailler en étroite collaboration avec les autorités américaines et des compagnies financières pour repérer et éliminer deux botnets Zeus.

Dans le cadre de sa campagne contre les botnets, Microsoft et la Police américaine ont effectué des recherches dans deux immeubles de bureaux en Pennsylvanie et dans l'Illinois. Ils ont réussi à trouver des serveurs sous contrôle de Zeus qui ont tout de suite été mis hors ligne. Dans le même temps, Microsoft a réussi à prendre le contrôle de 800 domaines qui faisaient apparemment parti du réseau de botnets après avoir eu une ordonnance du tribunal lui permettant d'entreprendre cette action directe.

Les deux réseaux zombies ont été impliqués dans le vol de données financières personnelles et étaient basés sur Zeus, Spyeye et Ice-IX qui sont tous propagés via spam. Une fois que l'un de ces malwares a infiltré un ordinateur, il enregistre les frappes dans le but de voler des mots de passe bancaires en ligne, les numéros de carte de crédit et d'autres informations personnelles.

Dans les documents déposés au tribunal, Microsoft accuse les pirates d'avoir causé des pertes totalisant 100 millions de dollars au cours des 5 dernières années. Il accuse également ces pirates de vendre ce malware à des prix variant entre 700 et 15.000 dollars.

Microsoft estime que 13 millions d'ordinateurs ont été infectés par Zeus dans le monde. Le projet ZeuS Tracker recense actuellement 321 serveurs dont 23 en pleine activité sans signe d'une diminution significative.

Si vous vous souvenez bien, ce n'est pas la première fois que Microsoft a été impliqué dans l'action contre les botnets. Il y a quelques semaines par exemples, il a entrepris la perturbation du réseau Rustock.

En parallèle aux opérations directes de ce genre, les entreprises semblent progressivement vouloir prendre des mesures contre les botnets et autres actes de cybercriminalité. Ce vendredi, les principaux FAI aux États-Unis ont souscrit à un code de conduite établi par la Federal Communications Commission. Les signataires, qui comprennent AT&T, Comcast et Verizon doivent communiquer à leurs clients les dangers avec les botnets et les aider à identifier et résoudre ces infections.

Je trouve que la mise en place de ce code de conduite est une bonne idée comme celle de d'ailleurs vouloir sensibiliser les gens sur la protection de leur réseau Wifi.

Par contre pédagogiquement parlant, il va falloir prémâcher tout ça pour Monsieur Toutlemonde...

Il y a quelques jours, @flexxpoint, un chercheur en sécurité, a découvert une vulnérabilité de type Cross-site Scripting (XSS) sur le site officiel de Microsoft.

Mais aujourd'hui une autre vulnérabilité similaire a été trouvée par le hacker Sony et Flexxpoint toujours chez Microsoft. La première faille commence à dater et Microsoft n'a toujours pas agi. Il semble qu'ils ne se soucient pas des vulnérabilités présentes sur leur site web...

L'équipe de Firefox a annoncé qu'elle reportait la sortie de Firefox 11, initialement prévue pour aujourd'hui, en raison d'un rapport de sécurité sur cette version que l'équipe souhaite évaluer pour s'assurer qu'il n'y aura pas de problème. Jonathan Nightingale, directeur principal de Mozilla Firefox, a choisi de reporter cette version car le mensuel Patch Tuesday de Microsoft est sorti aujourd'hui.

Il dit qu'il n'y a aucune raison de s'attendre à des problèmes mais il préfère sortir cette release après que l'équipe de Firefox est analysée les mises à jour de Microsoft. Les versions de Firefox sont généralement planifiées longtemps à l'avance, conformément aux changements que Mozilla a adopté à l'égard de son cycle de développement l'année dernière.

Il est à noter que Nightingale a décidé de sortir cette version 11 de Firefox dans pas très longtemps mais on ne sait toujours pas si le retard est aussi dû au hack de Firefox lors du concours Pwn2Own (même si la vulnérabilité reportée vient d'une faille de Zero Day Initiative ).

Donc pour conclure, pas de nouvelles dates pour cette release, mais toutefois les utilisateurs intéressés peuvent télécharger les versions de développement du navigateur sur le channel de dev.

C'est Secunia qui a reporté la faille sur son site en indiquant que si ce 0-day n'est pas vite patché, il peut être en mesure d'injecter et d'exécuter du code malveillant sur les versions 64 bits de Windows 7.

Apparemment cette vulnérabilité ne cause pour l'instant qu'un crash du système. Il est possible de déclencher une erreur de mémoire dans le fichier système win32k.sys en accédant à un fichier HTML conçu dans Safari. webDEViL, qui a découvert cette faille, a publié une preuve de cette faille sur son compte twitter.

La possibilité que cette faille vienne à être exploitée ailleurs que sur Safari n'est pas exclue. Selon webDEViL, la source de cette vulnérabilité serait due à la fonction NtGdiDrawStream. Et pour l'instant Microsoft n'a pas annoncé de correctif.

Wait & see...