Alerte

A lire cet article de 6 pages , six !, de nos confrères d’InfoWorld, qui nous explique que le monde Oracle a failli disparaître dans un formidable champignon numérique. En cause, un numéro d’identification de transaction, le SCN (System Change Number) qui effectue une sorte d’horodatage des opérations effectuées sur une base de données. Sans […]

Le site Zero Day Initiative de Tipping Point publie deux alertes concernant une possibilité d’exploitation distante sur du matériel et logiciel HP. La première concerne HP Diagnostics server et la seconde une baie de stockage. Il y a près d’un mois, les imprimantes HP avaient eu les honneurs d’une démonstration de hack par des chercheurs […]

Chez Microsoft, 7 bouchons pour 8 trous : la fièvre des cumulatifs faiblit un peu, probablement en raison de la publication, avant le saut de l’an, du seul « out of band » de 2011. Un « hors calendrier » qui fait encore parler de lui car, comme l’explique brièvement Manuel Humberto Santander Peláez du […]

Ce sera le seul et dernier correctif « out of band ». Les derniers correctifs devrait-on préciser. Car ce cadeau attendu colmate en fait 4 trous : le redoutable défaut « HashDos », mais également d’autres problèmes détectés sur la plateforme .NET. Plus exactement les bugs répertoriés CVE-2011-3414, CVE-2011-3415 CVSS, CVE-2011-3416 et CVE-2011-3417. La rustine […]

Encore un « zero day » Microsoft, affectant cette fois asp.net. L’attaquant pourrait provoquer un déni de service en expédiant une requête http POST forgée. Les « facteurs de mitigation » de Microsoft signalent que IIS n’est pas actif par défaut, ce qui rend cette attaque moins critique, puisque ne visant pas des configurations par […]

Une personne répondant à l’alias Twitter « w3bd3vil » vient de publier, à l’heure où nous rédigeons ces lignes, un lien raccourci dont l’activation sous Safari provoque un Ecran Bleu de la Mort. Le problème serait lié non pas au navigateur mais à un défaut dans win32k.sys. Secunia qualifie l’attaque de « hautement critique ». […]

« Elle » est enfin bouchée, la faille Duqu. Après deux mois d’existence officielle (mais peut-être plus de manière clandestine), cette vulnérabilité exploitée par un espionniciel est corrigée alors que les administrateurs dudit virus ont déjà plié bagage. Un résumé des fonctions de DuQu est toujours disponible sur le site de Dell/Secureworks. Mais le « […]

Mardi des rustines intéressant, que celui de ce mois (impair) de novembre. Si la vulnérabilité Duqu* n’a pas été bouchée, comme il était prévu d’ailleurs, Microsoft nous a tout de même offert, parmi les rustines mensuelles, le CVE qui a le plus généré de Tweets et de remarques fielleuses depuis l’intégration de WinSock première édition […]

Il est des lendemains de patch Tuesday qui font mal aux cheveux. C’est le cas de la dernière livraison d’Apple et de Microsoft. Côté Apple, le « cumulatif » ne concerne qu’un seul programme, Itunes pour Windows. 75 trous sont bouchés à cette occasion, dont une belle collection de failles liées à Webkit. On notera […]

5 rustines, 15 vulnérabilités : le mardi des rustines de la rentrée est relativement calme. Calme relatif toutefois, puisque les correctifs MS11-071 et MS11-074 doivent si possible être appliqués avec rapidité, les failles qu’ils corrigent ayant déjà fait l’objet de publications. Il s’agit respectivement d’un risque d’exploitation à distance d’un défaut Windows et d’une possibilité […]