Threatcon - Symantec Corp.

The ThreatCon is currently at Level 1: Normal.

On January 10, 2012, Microsoft released its scheduled patch update for January 2012. This January's update covers vulnerabilities in the Microsoft Windows operating system, its components, as well as vulnerabilities in Windows Media Player, Windows Object Packager, and the Microsoft Anti-Cross Site Scripting Library. Seven security bulletins have been released to address these issues.

Exploitation of the patched vulnerability in Windows Media Player (BID 51292, CVE-2012-0003) is occurring in the wild on malicious websites for remote code execution. Attacks are currently not widespread.

Customers are advised to install all applicable updates as soon as possible.

Microsoft Security Bulletin Summary for January 2012
http://technet.microsoft.com/en-us/security/bulletin/ms12-jan

Malware Leveraging MIDI Remote Code Execution Vulnerability Found
http://blog.trendmicro.com/malware-leveraging-midi-remote-code-execution-vulnerability-found/

More Information on MS12-004
http://blogs.technet.com/b/srd/archive/2012/01/10/more-information-on-ms12-004.aspx

Microsoft Security Bulletin MS12-004 - Vulnerabilities in Windows Media Could Allow Remote Code Execution (2636391)
http://technet.microsoft.com/en-us/security/bulletin/ms12-004

Advanced Exploitation of Internet Explorer Heap Overflow Vulnerabilities (MS12-004)
http://www.vupen.com/blog/20120117.Advanced_Exploitation_of_Windows_MS12-004_CVE-2012-0003.php

Microsoft Windows Media Player 'winmm.dll' MIDI File Parsing Remote Buffer Overflow Vulnerability
http://www.securityfocus.com/bid/51292

ThreatCon niveau 1
Faible : stratégie réseau de base
S'applique lorsqu'il n'y a aucun incident réseau notable ni aucune activité liée à du code malveillant dont le risque est moyen ou grave. Dans de telles conditions, seule une stratégie de sécurité de routine conçue pour éviter les menaces réseau normales est garantie. Des systèmes automatisés et des mécanismes d'alerte devraient être utilisés.

ThreatCon niveau 2
Moyen : alerte accrue
S'applique en cas d'attaque anticipée ou réelle sans élément déclencheur spécifique ou lorsque du code malveillant atteint un niveau de risque moyen. Dans de telles conditions, il convient de vérifier soigneusement les systèmes vulnérables et exposés, de mettre à jour les applications de sécurité avec de nouvelles signatures et/ou règles en fonction de leur disponibilité et de surveiller attentivement les fichiers journaux. Il n'est pas nécessaire de modifier l'infrastructure de sécurité.

ThreatCon niveau 3
Elevé : menace connue
S'applique lorsqu'une menace isolée ciblant l'infrastructure informatique est prévue ou lorsque du code malveillant atteint un niveau de risque grave. Dans de telles conditions, il est nécessaire d'augmenter la surveillance, de mettre à jour les applications de sécurité avec de nouvelles signatures et/ou règles en fonction de leur disponibilité. Il est conseillé de redéployer et de reconfigurer les systèmes de sécurité. Les responsables des systèmes doivent pouvoir maintenir ce niveau d'alerte pendant quelques semaines en fonction de la diffusion de la menace.

ThreatCon niveau 4
Exceptionnel : alerte maximale
S'applique lorsqu'un incident réseau généralisé et exceptionnel survient. La mise en oeuvre des mesures liées à ce niveau de menace pendant un certain temps risque d'affecter le fonctionnement normal de l'infrastructure réseau.