background preloader

Faille informatique

Facebook Twitter

'JasBug' : une faille critique vieille de 15 ans corrigée par Microsoft. Cette faille critique a été corrigée par le patch mis en ligne hier par Microsoft, mais elle affecte aussi bien Windows 7, 8 ou Vista que les versions Windows Server.

'JasBug' : une faille critique vieille de 15 ans corrigée par Microsoft

Découverte en janvier 2014 par la société JAS Global Advisor, cette faille de sécurité affectait les machines utilisant Active Directory, un service d’annuaire qui permet aux utilisateurs de Windows d’obtenir des informations sur les autres ordinateurs connectés à leur réseau. Patch Tuesday - 41 failles corrigées dans Internet Explorer. On l'a vu, le début d'année a été particulièrement douloureux pour Internet Explorer en matière de sécurité.

Patch Tuesday - 41 failles corrigées dans Internet Explorer

Alors qu'une énième faille zero-day a été rendue publique la semaine dernière, Microsoft a profité de son traditionnel Patch Tuesday pour sa pencher sur son navigateur. Redmond n'a pas fait les choses à moitié avec la correction de 41 failles ! Toutes les versions (6 à 11) pour Windows 7, 8, 8.1, Server 2003, 2008, 2012, et RT sont concernées. Manque de chance ou de temps, l'éditeur ne corrigé pas la faille présente dans IE 11 sous Windows 7, 8 et 8.1 qui permet de détourner l’ensemble des informations sur un domaine piraté et également d’injecter n’importe quelle information dans ledit domaine. Le module Flash proposé avec IE 10 et 11 sous Windows 8, Windows 8.1, Windows Server 2012 et 2012 R2 est également corrigé, il contenait pas moins de 18 failles de sécurité.

Patch Tuesday février 2015 : Microsoft corrige 56 vulnérabilités. Microsoft a diffusé 9 bulletins de sécurité dont 3 sont classés comme critiques.

Patch Tuesday février 2015 : Microsoft corrige 56 vulnérabilités

(crédit : D.R.) Microsoft a livré une salve de patchs pour corriger 56 différentes vulnérabilités, dont 41 relatives à un problème de sécurité liée à la mémoire de son navigateur Internet Explorer. Windows et Office sont également concernés. Le Patch Tuesday de janvier avait attiré l'attention. D'une part car il signait la fin de la diffusion des bulletins de sécurité avancée (Advance Notification Service) mais également car c'était la première fois qu'Internet Explorer ne recevait pas de correctifs. Tous ces correctifs sont regroupés dans 9 bulletins de sécurité dont trois sont marqués comme étant critiques, signifiant que certaines failles peuvent être exploitées par des attaques malveillantes ne nécessitant pas d'intervention de la part des utilisateurs.

Chrome : 11 failles de sécurité corrigées. Google vient de mettre en ligne une mise à jour de son navigateur Chrome qui passe en version 40.0.2214.111 pour Windows, OS X et Linux.

Chrome : 11 failles de sécurité corrigées

Outre une amélioration des performances et de la stabilité, cette nouvelle mouture corrige 11 failles de sécurité. Aucune n'est considérée comme critique et trois sont classées comme importantes. Elles peuvent provoquer des problèmes de transferts de données sensibles entre sites et donc leur détournement par des pirates. Rappelons que our StatCounter, le premier navigateur dans le monde, en termes d'usage, est incontestablement Google Chrome. Depuis octobre 2014, l'adoption se porte bien et Chrome est ainsi passé au-dessus du seuil des 50%. En janvier 2015, Chrome poursuit sur sa lancée et atteint 51,7% des pages vues. Publicités malveillantes : Adobe corrige la faille zero-day dans Flash. Adobe a travaillé sur un correctif pour combler la vulnérabilité CVE-2015-0311 de son lecteur Flash.

Publicités malveillantes : Adobe corrige la faille zero-day dans Flash

(crédit : D.R.) Adobe a mis à jour son lecteur Flash afin de résoudre la vulnérabilité CVE-2015-0311. Internet Explorer 11 : nouvelle faille critique. Ca faisait longtemps : Internet Explorer est nouveau victime d'un trou béant de sécurité.

Internet Explorer 11 : nouvelle faille critique

La faille zero-day révélée est en effet plutôt inquiétante. Selon David Leo, expert chez Deusen, la vulnérabilité présente dans IE 11 sous Windows 7, 8 et 8.1 permet de détourner l’ensemble des informations sur un domaine piraté et également d’injecter n’importe quelle information dans ledit domaine. Internet Explorer : une faille ouvre la voie à du phishing vicieux. Sur Windows 7 et Windows 8.1, la version la plus à jour d'Internet Explorer est affectée par un bug de sécurité dont l'exploitation pourrait permettre à des individus mal intentionnés de commettre des attaques de phishing potentiellement très convaincantes.

Internet Explorer : une faille ouvre la voie à du phishing vicieux

Ce bug permet en effet de transformer un site parfaitement légitime en piège pour l'internaute via un effet similaire à une vulnérabilité de type cross-site scripting (XSS). Une telle vulnérabilité repose sur l'injection de code indirecte (un script côté client) dans des pages Web publiant du contenu de l'utilisateur sans l'avoir filtré. Ici, les sites Web ne sont pas hackés mais le contenu affiché par Internet Explorer peut être modifié en passant outre une restriction du navigateur. Intrusion dans un réseau WiFi grâce au WPS - Korben. Si vous êtes équipé d'une box ADSL comme 98% des Français, vous connaissez sans doute ce petit bouton présent à l'arrière ou à l'avant de celle-ci qui permet de connecter facilement n'importe quel ordinateur sans avoir à rentrer une clé WiFi.

Intrusion dans un réseau WiFi grâce au WPS - Korben

La techno magique qui permet ceci s'appelle le WPS (WiFi Protect Setup) et la méthode du petit bouton s'appelle PBC pour Push Button Configuration. Donc en gros, un ami arrive chez vous, il allume son laptop et vous réclame une connexion. Vous levez vos fesses du canapé, vous appuyez sur le bouton magique de la box et vous lui dites "C'est bon, tu peux te connecter". Mais que se passerait-il à votre avis, si un petit pirate planqué dans la maison d'à côté se connectait avant votre ami ? Bingo, ce sera lui qui sera connecté à votre précieux WiFi. En aurez-vous conscience ? Ghost, la faille critique qui permet de prendre le contrôle des systèmes Linux. Adobe corrige une 2ème faille zero-day dans Flash. Le premier malware qui infecte les drones. Le chercheur en sécurité Rahul Sasi a découvert après 5 mois de reverse engineering, une faille dans le logiciel embarqué de l'AR Drone de Parrot, lui permettant de prendre le contrôle d'un drone à distance.

Le premier malware qui infecte les drones

Suite à ça, il a carrément mis au point un malware baptisé Maldrone qu'il présentera lors de la Nullcon le mois prochain. En gros, son programme est capable de "tuer" le contrôleur du drone, puis de reprendre immédiatement la main. Comme les moteurs s'arrêtent à l'instant où le contrôleur est dégagé, le logiciel Maldrone les relance quasi immédiatement, évitant alors le crash si le drone est assez haut dans le ciel.

Voici une démo par le monsieur : Combinée avec SkyJack, cette méthode pourrait être redoutable pour détourner ou faire tomber des drones dans une zone donnée, mais aussi pour discrètement s'inviter à bord et faire un peu de surveillance. Toutes les infos techniques sont ici. Les drones aussi ont des failles de sécurité. Les drones, comme à peu près tout ce qui repose de près ou de loin sur les technologies numériques, ne sont pas exemptés de failles de sécurité.

Les drones aussi ont des failles de sécurité

VLC exposé à des failles. Prudence pour les très nombreux utilisateurs du célèbre lecteur multimédia VLC. Le chercheur en sécurité Veysel Hatas vient de publier le détail de plusieurs vulnérabilités touchant le player qui permettent notamment la corruption de mémoire et l'exécution de code à distance, à travers un fichier FLV ou M2V piégé. Une de ces failles permet une violation du module DEP (Data Execution Prevention) qui analyse les programmes exécutés pour garantir l'utilisation sécurisée de la mémoire de l’ordinateur. Failles de sécurité : le silence n'est pas la solution pour Linus Torvalds. Le débat autour du "full disclosure" ne date pas d'hier. Mais Microsoft et Google l'ont remis, une fois encore, au goût du jour après que la firme de Mountain View ait divulgué plusieurs failles de Windows dans le cadre de son programme Project Zero. Faille SSL d'OS X : une erreur grossière pour une théorie du complot.

Critiqué, Google dévoile une autre faille de Microsoft. Une faille de sécurité dans Snapchat. Le groupe de hackers a détaillé son attaque sur Snapchat. Crédit Photo: D.R. Heartbleed, la faille SSL qui fait mal. Fort justement baptisée Heartbleed, la dernière vulnérabilité découverte au sein de la librairie Linux OpenSSL a de quoi, effectivement, faire saigner le coeur des administrateurs systèmes. Certains n’hésitent d’ailleurs pas à la comparer à la grande faille des clés OpenSSL sous Debian de 2008, en pire… La faille CVE-2014-0160 permet à un attaquant de récupérer jusqu’à 64k de la mémoire du serveur vulnérable. Et dans ces 64k, l’on peut y trouver en vrac la clé privée du serveur (le saint des saints qui protège les échanges chiffrés par SSL), ainsi que des morceaux d’informations entrains d’être échangés avec des clients et que l’on pense évidemment être à l’abris des regards indiscrets (des mots de passe, le contenu de conversations en cours, etc…).

Les informations contenues dans les 64k renvoyés par le serveur sont aléatoires : il est impossible de « demander » spécifiquement à obtenir la clé privée du certificat serveur, par exemple. Faille SSL d'OS X : une erreur grossière pour une théorie du complot. Sécurité: la mégafaille «Shellshock» secoue le monde Linux et Mac OS. 01net le 25/09/14 à 12h58 Vous avez aimé « Heartbleed » ? Failles dans le protocole NTP, Mac OS X n’est pas le seul affecté... Mégafaille USB : même les webcams et les souris sont vulnérables.

01net le 13/11/14 à 19h09. Faille WebView dans Android 4.3 : Google ne corrigera pas. On le sait, la fragmentation d'Android qui a pour conséquence la multiplication des versions en circulation, amplifie les problèmes de sécurité de l'OS. Une importante faille de sécurité touchant les clés USB rendue publique. L'existence d'une faille informatique majeure touchant l'ensemble des clés USB n'est pas nouvelle : elle avait été révélée fin juillet. Mais jusqu'à présent son découvreur avait gardé en grande partie secrète la manière dont fonctionne cette faille, baptisée « BadUSB ». Google révèle une faille Windows 2 jours avant son correctif. Pour Chris Betz, directeur senior au MSRC (Microsoft Security Response Center), la décision de Google de révéler une faille dans Windows juste avant l'Update Tuesday relève d'une démarche de type « je vous ai bien eus », préjudiciable d'abord aux clients.