Alerte

Il faut avouer qu’elles n’ont pas un patronyme facile à mémoriser, ces chères sa-20110330-nac et sa-20110330-acs. Mais elles ont au moins l’avantage de libérer la verve des spécialistes. La seconde (acs) concerne la possibilité, pour un utilisateur référencé dans l’identity store (quel que soient ses droits), de pouvoir modifier le mot de passe d’un compte […]

Une vulnérabilité du moteur Webkit,également utilisé par RIM, exposerait les utilisateurs de Blackberry à des risques d’attaques distantes. La faille, explique le bulletin d’alerte, possède un indice CVSS de 6.8 (catégorie critique) et a fait l’objet d’une preuve d’exploitation à l’occasion de la dernière CanSecWest, lors du concours P0wn20wn. La seule mesure de mitigation consiste, […]

Cette semaine est placée sous le signe du scorpion ascendant curare pour Adobe et Apple, les erreurs de l’un n’étant pas sans conséquence pour l’autre. Sept jours à peine après une chaude alerte à la faille Flash (exploitée via des feuilles Excel intégrant une applet Flash et expédiées en pièces attachées), Adobe publiait, 4 jours […]

« Le 21 mars, promis, ce sera le 21 mars » affirme le communiqué d’Adobe. La récente découverte d’une exploitation « active » d’une faille Acrobat et Flash force donc l’éditeur à « pousser » un correctif hors calendrier et émettre une alerte « monoCVE ». L’exploitation serait, aux dires de l’éditeur, relativement peu fréquente, […]

Peu de liège, mais du bouchon quand même pour les principaux éditeurs participants au « patch Tuesday de mars ». Mois « creux » pour Microsoft. La faille MHTML reste non corrigée, et les trois bulletins de ce mois ne sont qu’un énième épisode de la longue campagne de nettoyage visant à supprimer peu à […]

Patchera, patchera pas ? Les hackers du monde entier se posent, amusés, la question. L’on parle ici des véritables hackers, des techniciens confirmés, des chasseurs de failles de haut vol, des inventeurs d’exploits « éthiques » qui assisteront au prochain concours P0wn20wn qui se déroulera durant la prochaine CanSecWest, du 9 au 11 mars prochain […]

En mars, 3 bulletins, pas un de plus, nous promet la « notification préalable » du MSRC Microsoft. Une alerte jugée critique, les deux autres importantes. Le correctif critique concerne les stations XP à Seven, les serveurs n’étant pas affectés. Les deux autres alertes portent sur la « fuite d’information » MHTML, de fin janvier, […]

Le titre de l’alerte résume toute la dimension dramatique de l’information : « Vulnerability in Microsoft Malware Protection Engine Could Allow Elevation of Privilege ». En d’autres termes, le fait même d’utiliser ce moteur donnait à l’attaquant des armes facilitant l’intrusion sur un ordinateur distant. L’alerte CVE précise que le moteur vulnérable est utilisé dans […]

Il est enfin là, le premier service pack de la génération Windows 7, après une phase de « pré-version » relativement longue. Les usagers et administrateurs effectuant leur mise à jour via Windows Update ou WSUS Server doivent préalablement installer le SSU. Ce SSU, alias Service Stack Update, alias KB 976902, alias le « trou […]

Gavin Thomas, du Microsoft Response Team (MSRC) semble être un admirateur inconditionnel d’Ignace de Loyola. Et c’est avec un art consommé des circonvolutions jésuitiques qu’il nous explique pourquoi, y compris dans les rustines ne corrigeant officiellement qu’une seule faille référencée au CVE, il puisse se trouver un ou plusieurs autres correctifs non documentés. Ce sont […]