Alerte

« Loin de moi l’idée de vouloir empoisonner l’atmosphère, mais, cher confrère, avez-vous remarqué combien votre système de certification était faisandé ? » dit en substance le communiqué public émis par Comodo à l’attention des ingénieurs de Verisign. Une vulnérabilité (dont les détails techniques n’ont pas été divulgués) mettrait en danger les usagers des certificats […]

Chez Opera, le nouvel opus est numéroté 10.54 et colmate, vivace, quelques vacuités pouvant offrir le flanc aux attaques en cross site scripting. Les grands traits des améliorations sont publiées mezzo voce par l’équipe de sécurité. A noter que, par deux fois, piano, les failles en question sont qualifiées « d’extremely severe » et de […]

Un total de 28 alertes CVE, 23 rustines : le dernier lot de correctifs émis par Apple, qui concerne essentiellement les services gravitant autour du noyau Leopard (kerberos, les serveurs SMB, Wiki…), fait suite aux quelques 48 défauts récemment rectifiés dans Safari. L’une des failles concernant Cups, l’interface Windows, avait déjà fait l’objet d’une signalisation […]

Le regard fixé sur la ligne bleue du bug flash (et plus particulièrement sur les échos qui pourraient s’échapper des communications de iDefense), le Responsable Sécurité Sachant Patcher sans sommation aura rapidement aperçu l’orage de correctifs émis par Adobe. Si la faille Flash, qui fait les gros titres de la presse sécurité depuis une semaine, […]

Le blog du MSRC titre « Mise en ligne du bulletin 2219475». Cette reconnaissance officielle de la faille « online help » de Travis Ormandy déclenche également une réaction pavlovienne chez plusieurs spécialistes de l’analyse sécurité. Et notamment Secureworks, qui explique en termes simples l’importance technique de ce ZDE, et le Sans, qui fournit également […]

L’on se souvient de la faille Win32hlp (https://www.cnis-mag.com/pour-pirater-appuyez-sur-f1.html) découverte il y a trois mois par Maurycy Prodeus. Celle dévoilée par le talentueux Tavis Ormandy est tout aussi savoureuse, voire même plus subtile, puisqu’elle repose sur un défaut d’interprétation du protocole hcp, le Help Center Protocol, reconnaissable grâce à l’url « hcp:// ». « Aurais-je signalé […]

Patch Tuesday en juin, si t’en loupes un, çà fera du foin (proverbe de RSSI). 10 rustines, 34 vulnérabilités, 6 exploitations à distance et 3 élévations de privilèges. Le dernier mardi des rustines signé Microsoft a un côté Omaha Beach assez spectaculaire. Sans faire de sensationnalisme, l’on ne peut qu’inciter les administrateurs à déployer dans […]

Cisco publie probablement le premier bulletin d’alerte Scada de son histoire, en signalant l’existence d’une faille dans NBM, le Cisco Network Building Mediator. Ce NBM est en fait l’évolution d’une gamme de produits provenant du rachat de Richards-Zeta, entreprise spécialisée dans les systèmes de commande et de contrôle des fluides dans un bâtiment (air conditionné, […]

Il semblerait que cette faille de sécurité affectant Java SE et Java for Business n’ait pas fait l’objet de beaucoup de publicité, si ce n’est sur le Bugtraq et sur le quotidien du Sans. Le trou de sécurité n’en est pas moins dangereux car exploitable à distance, comme l’explique Peter Vreugdenhil sur son blog au […]

Jerry Bryant du MSRC explique, dans un billet d’avertissement, que les versions 64 bits de Windows 7 et de 2008 R2 sont frappées d’un bug affectant cdd.dll. Il s’agit d’un pilote d’affichage « canonique », autrement dit nécessaire à la compatibilité ascendante des moteurs graphiques de Windows XP, dont l’exploitation pourrait conduire à un déni […]