background preloader

Failles

Facebook Twitter

Samba corrige une faille critique d'exécution de code à distance. Samba est un protocole de partage de fichiers et d'imprimantes entre Linux et Windows. (crédit : D.R.) Les chercheurs en sécurité recommandent aux utilisateurs d'effectuer dès que possible les mises à jour de Samba disponibles pour leurs systèmes. Les mises à jour de sécurité de Samba corrigent une vulnérabilité critique qui permet aux pirates d'exécuter du code arbitraire avec des privilèges root.

Samba est une implémentation du protocole réseau SMB/CIFS qui permet aux systèmes Unix type Linux, BSD, Solaris et Mac OS X, de partager des fichiers et des imprimantes avec des ordinateurs Windows. Le protocole permet également à ces systèmes d'être intégrés à des environnements Microsoft Active Directory et de faire office de contrôleurs de domaine. Une solution de contournement manuelle est possible Les mises à jour de Samba sont disponibles pour plusieurs distributions Linux, dont Red Hat Enterprise Linux, Ubuntu, Debian, Fedora et Suse.

Linux et Mac OS X plus vulnérables que Windows en 2014. 01net le 24/02/15 à 17h26 Ceux qui pensent encore que Linux et Mac OS X sont beaucoup plus sécurisés que Windows risquent de tomber de leur chaise. Un tour dans la base de données National Vulnerability Database du NIST permet de s’en rendre compte. En compilant les failles de sécurité signalées durant l’année 2014, on constate que le système qui en a cumulé le plus est Linux, avec 233 vulnérabilités, contre 229 pour Mac OS X et 154 pour Windows. Si l’on se restreint aux vulnérabilités critiques, le système d’Apple passe même en tête, avec 140 brèches découvertes contre « seulement » 120 pour Windows et 104 pour Linux. A noter que ces vulnérabilités ne concernent pas seulement le système d'exploitation, mais aussi les logiciels qui s’y installent. Autre surprise : iOS accumule deux fois plus de vulnérabilités que son homologue Android.

Comme quoi les préjugés ont la vie dure... Lire aussi :

Failles Android

Failles Apple. Failles Linux. Failles Microsoft. Patch Tuesday - 41 failles corrigées dans Internet Explorer. On l'a vu, le début d'année a été particulièrement douloureux pour Internet Explorer en matière de sécurité. Alors qu'une énième faille zero-day a été rendue publique la semaine dernière, Microsoft a profité de son traditionnel Patch Tuesday pour sa pencher sur son navigateur. Redmond n'a pas fait les choses à moitié avec la correction de 41 failles ! Toutes les versions (6 à 11) pour Windows 7, 8, 8.1, Server 2003, 2008, 2012, et RT sont concernées. Manque de chance ou de temps, l'éditeur ne corrigé pas la faille présente dans IE 11 sous Windows 7, 8 et 8.1 qui permet de détourner l’ensemble des informations sur un domaine piraté et également d’injecter n’importe quelle information dans ledit domaine.

Le module Flash proposé avec IE 10 et 11 sous Windows 8, Windows 8.1, Windows Server 2012 et 2012 R2 est également corrigé, il contenait pas moins de 18 failles de sécurité. Chrome : 11 failles de sécurité corrigées. Google vient de mettre en ligne une mise à jour de son navigateur Chrome qui passe en version 40.0.2214.111 pour Windows, OS X et Linux. Outre une amélioration des performances et de la stabilité, cette nouvelle mouture corrige 11 failles de sécurité. Aucune n'est considérée comme critique et trois sont classées comme importantes. Elles peuvent provoquer des problèmes de transferts de données sensibles entre sites et donc leur détournement par des pirates. Rappelons que our StatCounter, le premier navigateur dans le monde, en termes d'usage, est incontestablement Google Chrome. Depuis octobre 2014, l'adoption se porte bien et Chrome est ainsi passé au-dessus du seuil des 50%.

En janvier 2015, Chrome poursuit sur sa lancée et atteint 51,7% des pages vues. Voir aussi notre pageChiffres clés : le marché mondial des navigateurs Internet. Publicités malveillantes : Adobe corrige la faille zero-day dans Flash. Adobe a travaillé sur un correctif pour combler la vulnérabilité CVE-2015-0311 de son lecteur Flash. (crédit : D.R.)

Adobe a mis à jour son lecteur Flash afin de résoudre la vulnérabilité CVE-2015-0311. Cette dernière était exploitée depuis plusieurs jours par des pirates par le biais de publicités malveillantes. Depuis quelques semaines, le vent des vulnérabilités souffle sur le lecteur Flash d'Adobe. Les personnes ayant activé la fonction automatique de mise à jour du lecteur Flash vont recevoir bientôt la mise à jour 16.0.0.305. Des publicités malveillantes pas toujours détectées Les chercheurs de Trend Micro et de Microsoft ont trouvé la faille après avoir vu qu'elle avait été utilisée dans des attaques. De nombreux sites web ne sont pas au courant qu'ils font tourner des annonces publicitaires malveillantes. Internet Explorer 11 : nouvelle faille critique.

Ca faisait longtemps : Internet Explorer est nouveau victime d'un trou béant de sécurité. La faille zero-day révélée est en effet plutôt inquiétante. Selon David Leo, expert chez Deusen, la vulnérabilité présente dans IE 11 sous Windows 7, 8 et 8.1 permet de détourner l’ensemble des informations sur un domaine piraté et également d’injecter n’importe quelle information dans ledit domaine. Selon nos confrères de Magsecurs, la vulnérabilité liée à Universal Cross-site scripting permet de contourner l’une des fonctions clés d’IE, "Same-Origin-Policy" laquelle permet d’éviter les injections de scripts pour l’exécution de code malicieux.

La faille permet également de bypasser les restrictions http-vers-https et d’autres éléments sensés assurer la sécurité des pages visitées sous IE. Pire, le hacker a publié une « proof of concept » démontrant une attaque contre le site du DailyMail qui a effectivement été modifié. Faille zero day : évitez d'utiliser Internet Explorer jusqu'à nouvel ordre.

01net. le 05/02/15 à 14h47 Alerte générale : n'ouvrez plus Internet Explorer jusqu’à nouvel ordre ! David Leo, chercheur en sécurité de la société Deusen, a découvert une faille zero-day particulièrement dangereuse dans ce navigateur. Elle permet de piéger les internautes sur de faux sites et de leur voler des informations sensibles. Elle a été testée sur IE 11 et IE 10, et n'épargne même pas le tout nouveau moteur de rendu expérimental de Spartan. Si cette vulnérabilité est considérée comme tellement critique, c’est parce qu’elle permet de contourner dans le navigateur les règles dites de « Same-Origin », qui restreignent les interactions entre différents domaines web sur une même page. Injection de code néfaste Concrètement, cette faille permet de créer des liens malicieux qui donnent l’impression à l’internaute d’arriver sur une page web authentique (un site bancaire par exemple), alors que le code de la page a été changé en douce par un tiers.

Internet Explorer : une faille ouvre la voie à du phishing vicieux. Sur Windows 7 et Windows 8.1, la version la plus à jour d'Internet Explorer est affectée par un bug de sécurité dont l'exploitation pourrait permettre à des individus mal intentionnés de commettre des attaques de phishing potentiellement très convaincantes. Ce bug permet en effet de transformer un site parfaitement légitime en piège pour l'internaute via un effet similaire à une vulnérabilité de type cross-site scripting (XSS). Une telle vulnérabilité repose sur l'injection de code indirecte (un script côté client) dans des pages Web publiant du contenu de l'utilisateur sans l'avoir filtré. Ici, les sites Web ne sont pas hackés mais le contenu affiché par Internet Explorer peut être modifié en passant outre une restriction du navigateur.

En l'occurrence, Same-Origin Policy qui " restreint la manière dont un script chargé depuis une origine peut interagir avec une autre ressource chargée depuis une autre origine (ndlr : définition donnée sur Mozilla Developer Network). " Intrusion dans un réseau WiFi grâce au WPS - Korben. Si vous êtes équipé d'une box ADSL comme 98% des Français, vous connaissez sans doute ce petit bouton présent à l'arrière ou à l'avant de celle-ci qui permet de connecter facilement n'importe quel ordinateur sans avoir à rentrer une clé WiFi.

La techno magique qui permet ceci s'appelle le WPS (WiFi Protect Setup) et la méthode du petit bouton s'appelle PBC pour Push Button Configuration. Donc en gros, un ami arrive chez vous, il allume son laptop et vous réclame une connexion. Vous levez vos fesses du canapé, vous appuyez sur le bouton magique de la box et vous lui dites "C'est bon, tu peux te connecter". Mais que se passerait-il à votre avis, si un petit pirate planqué dans la maison d'à côté se connectait avant votre ami ? Bingo, ce sera lui qui sera connecté à votre précieux WiFi. En aurez-vous conscience ? Non. Comment ça je suis alarmiste ? Bah oui, combien y a-t-il de chance qu'un méchant soit plus rapide que vous pour se connecter à votre WiFi ? Quasi-nul ? [Oups] Le très sécurisé Blackphone a une faille de sécurité.

Coup dur pour le Blackphone, ce smartphone qui promet une sécurité optimale des données et des conversations de ses utilisateurs. Il semble qu’il y ait quelques trous dans la cuirasse… D’après l’expert en sécurité Mark Dowd, le smartphone ne serait pas aussi sécurisé que ses promoteurs le prétendent. Il a en effet découvert une vulnérabilité au sein de l’application de messagerie texte, qui permet à un pirate de subtiliser messages, contacts et informations de localisation. Un hacker suffisamment dégourdi peut même potentiellement exécuter du code nocif pour obtenir le plein contrôle de l’appareil. Pas terrible quand on vante un mobile ultra-sécurisé… L’app en question, pré-installée dans le Blackphone (et disponible sur Google Play) prend des vessies pour des lanternes, à savoir des données pour d’autres, permettant ainsi au pirate de saturer la mémoire de l’engin pour la remplacer par du code malicieux.

Le premier malware qui infecte les drones. Le chercheur en sécurité Rahul Sasi a découvert après 5 mois de reverse engineering, une faille dans le logiciel embarqué de l'AR Drone de Parrot, lui permettant de prendre le contrôle d'un drone à distance. Suite à ça, il a carrément mis au point un malware baptisé Maldrone qu'il présentera lors de la Nullcon le mois prochain.

En gros, son programme est capable de "tuer" le contrôleur du drone, puis de reprendre immédiatement la main. Comme les moteurs s'arrêtent à l'instant où le contrôleur est dégagé, le logiciel Maldrone les relance quasi immédiatement, évitant alors le crash si le drone est assez haut dans le ciel. Voici une démo par le monsieur : Combinée avec SkyJack, cette méthode pourrait être redoutable pour détourner ou faire tomber des drones dans une zone donnée, mais aussi pour discrètement s'inviter à bord et faire un peu de surveillance. Toutes les infos techniques sont ici. Source Rejoignez les 49181 korbenautes et réveillez le bidouilleur qui est en vous. Google ne corrigera pas une faille exposant 60% des utilisateurs. VLC exposé à des failles. Prudence pour les très nombreux utilisateurs du célèbre lecteur multimédia VLC. Le chercheur en sécurité Veysel Hatas vient de publier le détail de plusieurs vulnérabilités touchant le player qui permettent notamment la corruption de mémoire et l'exécution de code à distance, à travers un fichier FLV ou M2V piégé.

Une de ces failles permet une violation du module DEP (Data Execution Prevention) qui analyse les programmes exécutés pour garantir l'utilisation sécurisée de la mémoire de l’ordinateur. Considérées comme sévères, ces failles ont été découvertes dans VLC 2.1.5 pour Windows XP SP3. Rappelons que l'OS n'est plus mis à jour par Microsoft. Elles ont été communiquées à VideoLAN le 26 décembre dernier mais n'ont toujours pas donné lieu à un patch. Mégafaille USB : même les webcams et les souris sont vulnérables. 01net le 13/11/14 à 19h09 Les chercheurs en sécurité de SRLabs qui avaient découvert l’énorme faille USB en août dernier ont continué leurs recherches. Et les conclusions ne sont pas rassurantes. Au départ, Karsten Nohl et ses collègues s’étaient contentés de prouver leur scénario d’attaque avec des clés USB. Les hackers ont, par exemple, ouvert trois souris Logitech. . © SRLabs Les fabricants de microcontrôleurs USB sont nombreux.

Mais alors, comment savoir à l’achat qu’un périphérique USB est vulnérable ? Il n’y a pas non plus beaucoup de solutions pour se protéger. Lire aussi: Une faille de sécurité dans Snapchat. Le groupe de hackers a détaillé son attaque sur Snapchat. Crédit Photo: D.R Des hackers australiens ont publié un document montrant comment accéder au numéro de téléphone et aux paramètres de confidentialité des utilisateurs de Snapchat. Il y a quelques semaines le service d'échange de photos Snapchat avait fait parler de lui en refusant une offre de 2 à 3 milliards de dollars de Facebook. Aujourd'hui, c'est un groupe de hackers australiens, Gibson Security, qui publie un document sur une faille de sécurité dans Snapchat qui permet à un pirate d'accéder au numéro de téléphone des utilisateurs.

Le rapport est détaillé en décrivant la méthode point par point. Vulnérabilité dans la fonction « trouver des amis » Un porte-parole de Gibson Security a décrit le problème. « Snapchat dispose d'une fonction où il va récupérer tous les numéros de votre carnet d'adresses, les télécharger sur ses serveurs et vous suggère des amis. Les données personnelles de 800 000 clients Orange piratées. L’opérateur téléphonique et fournisseur d'accès à Internet Orange a confirmé dimanche soir que ses services avaient été la cible d’une intrusion, il y a une quinzaine de jours. Orange a semble-t-il été la cible d'une intrusion informatique le 16 janvier 2014 à partir de la page "Mon Compte" de son espace client en ligne. Les assaillants ont ainsi pu récupérer un certain nombre de données personnelles. L'opérateur précise que 800 000 de ses clients Internet ont été ciblés lors de l’attaque.

Les données subtilisées incluraient les « nom, prénom, adresse postale, adresse mail de contact et numéro de téléphone (fixe ou mobile) ». Les mots de passe n’ont en revanche pas été piratés, précise le groupe dans un communiqué. Les utilisateurs dont les données ont été récupérées au cours de l’attaque pourraient être prochainement visés par des tentatives de « phishing », avertit cependant Orange.

Régulièrement, les entreprises de télécommunication font l’objet de cyberattaques de grande envergure. Plusieurs routeurs Asus affectés par un bug de sécurité. Cartes bancaires NFC : une faille permet de voler des millions d’euros. Des failles dans les réseaux 3G permettent d’écouter tous les appels. Failles dans le protocole NTP, Mac OS X n’est pas le seul affecté... Google révèle une faille Windows 2 jours avant son correctif.