janvier 16th, 2013

Nos confrères du HNS révèlent que des chercheurs de DefenseCode (des spécialistes du Pentest) ont publié une alerte accompagnée d’une séquence vidéo diffusée via YouTube montrant, sans le moindre détail technique, comment « rooter » un routeur Linksys/Cisco WRT54GL (un modèle déjà ancien mais très répandu en raison de ses capacités à recevoir des firmwares open source). Les auteurs du hack ne précisent pas quel type de noyau et quelle édition est vulnérable à ce genre d’attaque. La majorité des utilisateurs de WRT54GL (ainsi que de certains modèles G et GS) n’emploie précisément pas le micrologiciel d’origine et lui préfèrent en général OpenWRT.

« Certes, dit le Cert , la toute dernière faille Java a été colmatée par la version « 7u11 », mais cette mise à jour ne fait que résoudre le problème posé par l’alerte CVE-2013-0422, mais le colmatage de la CVE-2012-3174 demeure en suspens ». Et d’ajouter en substance « A moins que ce soit absolument nécessaire, et ce même si vous avez déployé la dernière version de Java, nous vous recommandons de le désactiver afin d’écarter les risques de nouvelles vulnérabilités qui pourraient être découvertes dans le futur ». C’est la première fois que le Cert US conseille d’éviter l’usage d’un programme sine die. Par le passé, des avis comparables, concernant notamment Internet Explorer, avaient été émis pour des périodes indéterminées mais limitées dans le temps.

La faille CVE-2012-4792 qui frappait Internet Explorer a été corrigée grâce à une rustine « out of band » immatriculée MS13-008. Cette faille avait fait l’objet d’une mesure de contournement par « fix-it » qui s’était révélée elle-même contournable.

Messenger vivrait ses derniers jours. Certains usagers de MSN Messenger, logiciel d’IM conçu par Microsoft, ont été encouragés par l’éditeur à adopter Skype, qui deviendrait l’unique outil de messagerie instantané de la Windows Company