background preloader

Une faille dans Java et Python fragilise les firewalls

Une faille dans Java et Python fragilise les firewalls
Deux chercheurs ont découvert une faiblesse de sécurité dans Java et Python. Le premier, Alexander Klink, a trouvé une faille dans la façon dont Java gère les liens FTP. Plus exactement, il ne vérifie par la syntaxe des noms d’utilisateurs dans le protocole FTP. Dans un blog, il précise que le bug est probablement ancien. Dans le détail, il indique « RFC 959 spécifie qu’un nom d’utilisateur peut se composer d’une séquence comprenant n’importe lequel des 128 caractères ASCII sauf <CR> (retour chariot) et <LF> (saut à la ligne). Un autre chercheur, Timothy Morgan de Blindspot Security, rajoute sa touche en découvrant que ce bug dans Java et aussi présent dans certaines librairies Python (urllib et urllib2). Pour l’exploit sur Java, les utilisateurs doivent avoir installés Java en local, même si les applest Java sont désactivées dans le navigateur, avertit le chercheur. A lire aussi : Oracle creuse la tombe du plugin Java pour les navigateurs crédit photo © shutterstock Related:  marc91

Oracle transfère le développement de la spécification MVC 1.0 à la communauté Java afin qu'elle évolue en tant que composant autonome de Java EE De septembre à octobre 2016, Oracle a conduit un sondage afin d’avoir un retour de la part de la communauté Java pour les futures améliorations de Java EE 8. Après dépouillement des résultats de vote pour les 21 technologies proposées, Management 2.0, JMS 2.1 et MVC 1.0 ont été classés respectivement 18e, 19e et 21e dans le classement. Pour Oracle, ces résultats confirment le retrait des JSR (Java Specification Requests) pour Management 2.0 (JSR 373) et JMS 2.1 (JSR 368) de Java EE que la firme avait déjà entamé. En plus du retrait de ces deux JSR de Java EE 8, Oracle a annoncé en novembre dernier qu’elle examinait la possibilité de transférer la spécification MVC (Modèle, Vue, Contrôleur) vers un autre membre ou une autre organisation de la communauté afin que la JSR 371 fonctionne en tant que composant autonome. Depuis le mois de janvier, Oracle est passée à une étape supérieure dans le transfert de la spécification MVC 1.0 à la communauté Java. Et vous ? Voir aussi

Java 9 : une nouvelle proposition d'Oracle pour résoudre l'un des problèmes évoqués par Red Hat sur le système de modules Java (Jigsaw) Comme nous l’avons rapporté récemment, Red Hat et IBM ont décidé de voter contre le projet Jigsaw qui vise à fournir un système de modules standardisé à la plateforme Java. Dans un billet de blog, un ingénieur de Red Hat a exposé les raisons de cette position. Il explique que de nombreux cas de déploiement d'applications largement implémentées aujourd'hui ne sont pas possibles sous Jigsaw, ou nécessiteraient une réarchitecture significative. Il pense également que l’écosystème Java sera perturbé, expliquant que dans certains cas, Jigsaw contredit des années de meilleures pratiques de déploiement d'applications modulaires qui sont déjà couramment utilisées par l'écosystème dans son ensemble. Dans les détails, Red Hat explique encore que les modules automatiques de Jigsaw ne sont pas bien accueillis par la communauté ; un problème qu’Oracle veut résoudre avec une nouvelle proposition. Sources : Proposition révisée de Mark Reinhold, Réponse de Brian Fox

Chrome 63 saura détecter les attaques man-in-the-middle L'une des futures mises à jour du navigateur Chrome de Google intégrera une fonctionnalité lui permettant de détecter les attaques « de l'homme du milieu » (man-in-the-middle) qui interceptent des échanges cryptés entre deux personnes ou deux ordinateurs espionnés ou dérobent des données. Chrome, le navigateur de Google, va s'enrichir d'une nouvelle fonction de sécurité. La version 63 du butineur sera dotée d'un système de blocage des attaques de type man-in-the-middle ou « attaque de l'homme du milieu ». Ce type de menace consiste à intercepter le trafic Web entre deux ordinateurs ou un ordinateur et un serveur pour espionner les échanges ou dérober des données personnelles (mots de passe, identifiants bancaires...). La nouvelle fonctionnalité de Chrome 63 a été développée par un étudiant de l'université Stanford en stage chez Google.

Oracle corrige la vulnérabilité Java qui a ciblé l'OTAN Combinée à un code d'exécution, la vulnérabilité Java découverte par les chercheurs de Trend Micro peut servir à mener des attaques furtives dites « drive-by ». (crédit : D.R.) La vulnérabilité Java qui avait permis à un groupe de cyberespions russes de mener en début d'année plusieurs attaques furtives contre des institutions militaires et gouvernementales de plusieurs pays membres de l'OTAN a été corrigée. Signalée à Oracle par les chercheurs en sécurité de Trend Micro, la vulnérabilité Java qui avait ciblé début 2015 plusieurs institutions militaires et gouvernementales des pays de l’OTAN est à présent corrigée. Les chercheurs de Trend Micro avaient repéré la vulnérabilité au mois de juillet dernier dans des attaques lancées par un groupe de hackers russes surnommé Pawn Storm, connu pour cibler des institutions militaires et gouvernementales de pays membres de l'OTAN. En soi, cette vulnérabilité ne peut pas faire beaucoup de dégâts.

Le phishing aussi migre vers le HTTPS, grâce à Let’s Encrypt Entre mars 2016 et mars 2017, Let’s Encrypt a émis 15 270 certificats SSL contenant le terme PayPal dans le nom de domaine ou dans l’identité du certificat. Mais 14 766 d’entre eux ont été émis pour des domaines hébergeant des services de phishing, si on se fie à une analyse menée sur un échantillon par Vincent Lynch, expert en chiffrement de l’autorité de certification The SSL Store. Ce résultat tend à confirmer certaines craintes d’experts en sécurité qui, dès 2015, redoutaient de voir l’initiative Let’s Encrypt, visant à offrir des certificats SSL gratuits, récupérée par les cybercriminels. Via cette autorité de certification, ces derniers peuvent déplacer leurs services de phishing, de malvertising ou d’hébergement de malwares vers des sites HTTPS, vus comme plus sûrs par les navigateurs. En janvier 2016, l’éditeur Trend Micro mettait d’ailleurs en lumière l’existence d’une campagne de malvertising utilisant des certificats Let’s Encrypt. A lire aussi :

Écosystème Java : découvrez les résultats de l'enquête « State of Java » 2017, réalisée par Baeldung Comme à ses habitudes, Baeldung vient de publier les résultats de son enquête intitulée « State of Java » pour l'édition 2017. Il convient de préciser que Baeldung effectue chaque année cette enquête en interrogeant de nombreux développeurs, cela afin d'avoir une meilleure lecture de l'écosystème Java. Dans le cadre de cette enquête « State of Java » en 2017, Baeldung soutient avoir interrogé 4439 développeurs qui ont bien voulu répondre à ses questions, soit presque le double de l'édition 2016 ou le nombre de développeurs interrogés se chiffrait à 2250. Les résultats de l'enquête sont présentés ci-dessous. Adoption de JavaBaeldung a tenu à rappeler que les résultats de l'enquête de 2016 montraient que Java 7 a été adopté à 29,5 % alors que Java 8 était adopté à 64,3 %. L'exploitation du graphique montre que la plus haute marche est occupée par Maven avec près de 76 % de part de marché. Source : Baeldung Et vous ? Que pensez-vous des résultats de cette enquête ?

JDK 9 : Mark Reinhold fait une proposition pour faciliter la migration vers la plateforme, mais prévient qu'il s'agit d'une solution temporaire Pour répondre aux craintes des développeurs qui s’inquiètent du fait que le code qui fonctionne sur JDK 8 aujourd’hui puisse ne pas fonctionner sur JDK 9 notamment à cause de la forte encapsulation des API internes de JDK, Mark Reinhold, l’architecte en chef de Java d’Oracle, a fait une proposition qui pourrait « aider l'ensemble de l'écosystème à migrer vers la plateforme Java modulaire à un rythme plus décontracté » : autoriser par défaut la réflexion illegal-access. Pour rappel, la réflexion consiste à faire de l’introspection de classe, c’est-à-dire découvrir de façon dynamique des informations relatives à une classe ou à un objet en chargeant une classe, créant une instance et accédant aux membres statiques ou non sans connaître la classe par avance. Qu’est ce que cela signifie concrètement ? L’architecte en chef a expliqué que « big kill switch » existant de l’option permit-illegal-access va devenir le comportement par défaut du runtime JDK 9, mais sans autant d'avertissements.

BlueBorne : le Bluetooth serait une aubaine pour les pirates La société Armis a détecté pas moins de huit failles de sécurité zero day dans le protocole de communication sans fil Bluetooth. Celles-ci ont été baptisées BlueBorne et menacent potentiellement plus de 8 milliards de terminaux mobiles, ordinateurs et objets connectés sous Android, Windows, iOS et Linux. Ce qu'il faut retenir D’autres failles encore inconnues existent probablement.La complexité du standard Bluetooth est son talon d’Achille.Des chercheurs en sécurité ont identifié huit failles qui pourraient permettre à des pirates de prendre le contrôle de n’importe quel terminal Bluetooth à distance par la voie des ondes.Les éditeurs des principaux systèmes d’exploitation concernés ont été prévenus et ils ont réagi.D’autres failles encore inconnues existent probablement.La complexité du standard Bluetooth est son talon d’Achille. Des experts en sécurité de la société Armis viennent de rendre publique leur découverte de huit failles de sécurité majeures dans le standard Bluetooth.

Ransomware : les pièces jointes de Gmail se passeront désormais de JavaScript - ZDNet Gmail bloquera à partir du 13 février prochain les pièces jointes en extension .js. Les script JavaScript représentent un danger trop important en matière de sécurité informatique juge Google. L'extension .js rejoint donc la longue liste des des fichiers interdits de transports par pièce jointe sur ce service de webmail. Et Gmail peut détecter des fichiers .js, même lorsqu’ils sont envoyés dans un fichier zip, un .tgz, un .gz ou un .bz2. Voici pour mémoire la liste des extensions déjà prohibées : .ADE, .ADP, .BAT, .CHM, .CMD, .COM, .CPL, .EXE, .HTA, .INS, .ISP, .JAR, .JSE, .LIB, .LNK, .MDE, .MSC, .MSP, .MST, .PIF, .SCR, .SCT, .SHB, .SYS, .VB, .VBE, .VBS, .VXD, .WSC, .WSF, .WSH. Concrètement, il deviendra impossible de déposer en pièce jointe des fichiers .js. Un phénomène en croissance De cas de téléchargement de ransomware par fichier .js ont déjà été détectés par le passé. Pour aller plus loin sur ce sujet

Etre plus réactif face aux attaques informatiques grâce au big data En poursuivant votre navigation sur ce site, vous acceptez nos CGU et l'utilisation de cookies afin de réaliser des statistiques d'audiences et vous proposer une navigation optimale, la possibilité de partager des contenus sur des réseaux sociaux ainsi que des services et offres adaptés à vos centres d'intérêts. Pour en savoir plus et paramétrer les cookies... beau temps Vent : 5km/h - UV : 1 Clôture veille : 4551.46 Ouverture : 4548.98 Newsletter BFM Business | Les + vues Replay Emissions Newsletter BFM Business L’analyse des données liées à l’activité du système d’information permet aux équipes IT d’en améliorer la sécurité. En 2013, des pirates informatiques se sont introduits dans le réseau informatique de l’enseigne de grande distribution américaine Target et ont dérobé 40 millions de numéros de cartes bancaires. Les risques cyber se multiplient sous l’effet de la transformation numérique Les risques cyber se multiplient sous l’effet de la transformation numérique. Eddye Dibar Tweeter

Related: