'JasBug' : une faille critique vieille de 15 ans corrigée par Microsoft. Cette faille critique a été corrigée par le patch mis en ligne hier par Microsoft, mais elle affecte aussi bien Windows 7, 8 ou Vista que les versions Windows Server.
Découverte en janvier 2014 par la société JAS Global Advisor, cette faille de sécurité affectait les machines utilisant Active Directory, un service d’annuaire qui permet aux utilisateurs de Windows d’obtenir des informations sur les autres ordinateurs connectés à leur réseau. Patch Tuesday - 41 failles corrigées dans Internet Explorer. On l'a vu, le début d'année a été particulièrement douloureux pour Internet Explorer en matière de sécurité.
Alors qu'une énième faille zero-day a été rendue publique la semaine dernière, Microsoft a profité de son traditionnel Patch Tuesday pour sa pencher sur son navigateur. Redmond n'a pas fait les choses à moitié avec la correction de 41 failles ! Toutes les versions (6 à 11) pour Windows 7, 8, 8.1, Server 2003, 2008, 2012, et RT sont concernées. Manque de chance ou de temps, l'éditeur ne corrigé pas la faille présente dans IE 11 sous Windows 7, 8 et 8.1 qui permet de détourner l’ensemble des informations sur un domaine piraté et également d’injecter n’importe quelle information dans ledit domaine. Le module Flash proposé avec IE 10 et 11 sous Windows 8, Windows 8.1, Windows Server 2012 et 2012 R2 est également corrigé, il contenait pas moins de 18 failles de sécurité.
Patch Tuesday février 2015 : Microsoft corrige 56 vulnérabilités. Microsoft a diffusé 9 bulletins de sécurité dont 3 sont classés comme critiques.
(crédit : D.R.) Microsoft a livré une salve de patchs pour corriger 56 différentes vulnérabilités, dont 41 relatives à un problème de sécurité liée à la mémoire de son navigateur Internet Explorer. Windows et Office sont également concernés. Chrome : 11 failles de sécurité corrigées. Google vient de mettre en ligne une mise à jour de son navigateur Chrome qui passe en version 40.0.2214.111 pour Windows, OS X et Linux.
Outre une amélioration des performances et de la stabilité, cette nouvelle mouture corrige 11 failles de sécurité. Aucune n'est considérée comme critique et trois sont classées comme importantes. Elles peuvent provoquer des problèmes de transferts de données sensibles entre sites et donc leur détournement par des pirates. Rappelons que our StatCounter, le premier navigateur dans le monde, en termes d'usage, est incontestablement Google Chrome. Depuis octobre 2014, l'adoption se porte bien et Chrome est ainsi passé au-dessus du seuil des 50%.
En janvier 2015, Chrome poursuit sur sa lancée et atteint 51,7% des pages vues. Voir aussi notre pageChiffres clés : le marché mondial des navigateurs Internet. Publicités malveillantes : Adobe corrige la faille zero-day dans Flash. Adobe a travaillé sur un correctif pour combler la vulnérabilité CVE-2015-0311 de son lecteur Flash.
(crédit : D.R.) Adobe a mis à jour son lecteur Flash afin de résoudre la vulnérabilité CVE-2015-0311. Internet Explorer 11 : nouvelle faille critique. Ca faisait longtemps : Internet Explorer est nouveau victime d'un trou béant de sécurité.
La faille zero-day révélée est en effet plutôt inquiétante. Selon David Leo, expert chez Deusen, la vulnérabilité présente dans IE 11 sous Windows 7, 8 et 8.1 permet de détourner l’ensemble des informations sur un domaine piraté et également d’injecter n’importe quelle information dans ledit domaine. Selon nos confrères de Magsecurs, la vulnérabilité liée à Universal Cross-site scripting permet de contourner l’une des fonctions clés d’IE, "Same-Origin-Policy" laquelle permet d’éviter les injections de scripts pour l’exécution de code malicieux. La faille permet également de bypasser les restrictions http-vers-https et d’autres éléments sensés assurer la sécurité des pages visitées sous IE. Résultat, il est possible de piéger des sites sans que l'url soit modifiée (même en HTTPS), pour détourner des données personnelles des internautes. Internet Explorer : une faille ouvre la voie à du phishing vicieux. Sur Windows 7 et Windows 8.1, la version la plus à jour d'Internet Explorer est affectée par un bug de sécurité dont l'exploitation pourrait permettre à des individus mal intentionnés de commettre des attaques de phishing potentiellement très convaincantes.
Ce bug permet en effet de transformer un site parfaitement légitime en piège pour l'internaute via un effet similaire à une vulnérabilité de type cross-site scripting (XSS). Une telle vulnérabilité repose sur l'injection de code indirecte (un script côté client) dans des pages Web publiant du contenu de l'utilisateur sans l'avoir filtré. Ici, les sites Web ne sont pas hackés mais le contenu affiché par Internet Explorer peut être modifié en passant outre une restriction du navigateur. Intrusion dans un réseau WiFi grâce au WPS - Korben. Si vous êtes équipé d'une box ADSL comme 98% des Français, vous connaissez sans doute ce petit bouton présent à l'arrière ou à l'avant de celle-ci qui permet de connecter facilement n'importe quel ordinateur sans avoir à rentrer une clé WiFi.
La techno magique qui permet ceci s'appelle le WPS (WiFi Protect Setup) et la méthode du petit bouton s'appelle PBC pour Push Button Configuration. Donc en gros, un ami arrive chez vous, il allume son laptop et vous réclame une connexion. Vous levez vos fesses du canapé, vous appuyez sur le bouton magique de la box et vous lui dites "C'est bon, tu peux te connecter". Mais que se passerait-il à votre avis, si un petit pirate planqué dans la maison d'à côté se connectait avant votre ami ?
Bingo, ce sera lui qui sera connecté à votre précieux WiFi. En aurez-vous conscience ? Ghost, la faille critique qui permet de prendre le contrôle des systèmes Linux. Adobe corrige une 2ème faille zero-day dans Flash. Déjà diffusée vers certains utilisateurs, la mise à jour 16.0.0.296 du lecteur Flash d'Adobe est également disponible au téléchargement.
(crédit : D.R.) En quelques jours, Adobe corrige une 2ème faille zero-day sur son lecteur Flash. Le premier malware qui infecte les drones. Le chercheur en sécurité Rahul Sasi a découvert après 5 mois de reverse engineering, une faille dans le logiciel embarqué de l'AR Drone de Parrot, lui permettant de prendre le contrôle d'un drone à distance.
Suite à ça, il a carrément mis au point un malware baptisé Maldrone qu'il présentera lors de la Nullcon le mois prochain. En gros, son programme est capable de "tuer" le contrôleur du drone, puis de reprendre immédiatement la main. Comme les moteurs s'arrêtent à l'instant où le contrôleur est dégagé, le logiciel Maldrone les relance quasi immédiatement, évitant alors le crash si le drone est assez haut dans le ciel. Voici une démo par le monsieur : Combinée avec SkyJack, cette méthode pourrait être redoutable pour détourner ou faire tomber des drones dans une zone donnée, mais aussi pour discrètement s'inviter à bord et faire un peu de surveillance.
Les drones aussi ont des failles de sécurité. Les drones, comme à peu près tout ce qui repose de près ou de loin sur les technologies numériques, ne sont pas exemptés de failles de sécurité. Le chercheur indien Rahul Sasi s’est lancé le défi de prendre le contrôle à distance d’un drone fabriqué par Parrot et pense y être parvenu, à l’aide d’un malware conçu par ses soins et sobrement baptisé Maldrone. Rahul Sasi n’a pas encore publié de prototype détaillé de sa méthode, mais explique sur une page web la façon dont il a procédé et accompagne le tout d’une petite vidéo de son programme en action. VLC exposé à des failles.
Prudence pour les très nombreux utilisateurs du célèbre lecteur multimédia VLC. Le chercheur en sécurité Veysel Hatas vient de publier le détail de plusieurs vulnérabilités touchant le player qui permettent notamment la corruption de mémoire et l'exécution de code à distance, à travers un fichier FLV ou M2V piégé. Failles de sécurité : le silence n'est pas la solution pour Linus Torvalds. Le débat autour du "full disclosure" ne date pas d'hier. Mais Microsoft et Google l'ont remis, une fois encore, au goût du jour après que la firme de Mountain View ait divulgué plusieurs failles de Windows dans le cadre de son programme Project Zero. A l'occasion d'une séance de questions-réponses lors de la Linux.conf.au, le créateur du kernel Linux, Linus Torvalds s'est exprimé à son tour sur le sujet - mais pas spécifiquement sur le différend opposant Google et Microsoft.
Et pour lui, pas de doutes, il est nécessaire de rendre publics ces problèmes de sécurité. Faille SSL d'OS X : une erreur grossière pour une théorie du complot. Critiqué, Google dévoile une autre faille de Microsoft. Une faille de sécurité dans Snapchat. Heartbleed, la faille SSL qui fait mal. Fort justement baptisée Heartbleed, la dernière vulnérabilité découverte au sein de la librairie Linux OpenSSL a de quoi, effectivement, faire saigner le coeur des administrateurs systèmes.
Certains n’hésitent d’ailleurs pas à la comparer à la grande faille des clés OpenSSL sous Debian de 2008, en pire… La faille CVE-2014-0160 permet à un attaquant de récupérer jusqu’à 64k de la mémoire du serveur vulnérable. Et dans ces 64k, l’on peut y trouver en vrac la clé privée du serveur (le saint des saints qui protège les échanges chiffrés par SSL), ainsi que des morceaux d’informations entrains d’être échangés avec des clients et que l’on pense évidemment être à l’abris des regards indiscrets (des mots de passe, le contenu de conversations en cours, etc…). Les informations contenues dans les 64k renvoyés par le serveur sont aléatoires : il est impossible de « demander » spécifiquement à obtenir la clé privée du certificat serveur, par exemple. Faille SSL d'OS X : une erreur grossière pour une théorie du complot. Sécurité: la mégafaille «Shellshock» secoue le monde Linux et Mac OS. En poursuivant votre navigation sur ce site, vous acceptez nos CGU et l'utilisation de cookies afin de réaliser des statistiques d'audiences et vous proposer une navigation optimale, la possibilité de partager des contenus sur des réseaux sociaux ainsi que des services et offres adaptés à vos centres d'intérêts.
Pour en savoir plus et paramétrer les cookies... Accueil. Failles dans le protocole NTP, Mac OS X n’est pas le seul affecté... Mégafaille USB : même les webcams et les souris sont vulnérables. Faille WebView dans Android 4.3 : Google ne corrigera pas. On le sait, la fragmentation d'Android qui a pour conséquence la multiplication des versions en circulation, amplifie les problèmes de sécurité de l'OS. Ainsi, d'anciennes versions du robot vert sont vulnérables à des failles qui ne sont pas corrigées comme Pileup, découverte en mars dernier.
Une importante faille de sécurité touchant les clés USB rendue publique. L'existence d'une faille informatique majeure touchant l'ensemble des clés USB n'est pas nouvelle : elle avait été révélée fin juillet. Google révèle une faille Windows 2 jours avant son correctif. Pour Chris Betz, directeur senior au MSRC (Microsoft Security Response Center), la décision de Google de révéler une faille dans Windows juste avant l'Update Tuesday relève d'une démarche de type « je vous ai bien eus », préjudiciable d'abord aux clients.