Alerte

Le traditionnel mardi des rustines qui unit en une fraternité correctrice Microsoft et Acrobat fera ce mois-ci parler de lui longtemps. Pourtant, chez Microsoft, le bulletin récapitulatif du mois de mai ne compte que deux rustines, mais deux rustines dont le niveau de criticité est élevé. Il s’agit en premier lieu de la MS10-030, faille […]

Signalé par Secunia et découvert par Krystian Koskowski, cette faille dans la gestion de la fermeture d’une fenêtre de navigation « parente » a fait l’objet d’une preuve de faisabilité. Compte tenu de la dangerosité de cette faille (exploitable dans le cadre d’une attaque distante via une page Web forgée), le Cert US recommande aux […]

Il n’est plus nécessaire d’imaginer une attaque en DNS spoofing pour détourner de sa fonction première le mécanisme de mise à jour des signatures d’un antivirus : certains éditeurs s’en chargent eux-mêmes. Ainsi McAfee, qui, en « poussant » sa mise à jour DAT 5958, a intégré à sa liste de virus à bloquer impérativement… […]

Après les 25 derniers bouchons Microsoft, la semaine des diffuseurs de correctifs a pris des allures de tour de France, séquence « montée du col de la Colombière ». Le MS-Virage une fois dépassé (appelé « le reposoir », le bien nommé), le peloton a attaqué la longue montée des patchs Oracle : 47 injections […]

Pas ou peu de surprises pour ce « mardi des rutines » du 13 avril : la liste est pléthorique comme prévu, les colmatages SMB sont présents, comme prévu… mais il faut remarquer que les abonnés aux Mailing List de Microsoft France ont, pour la première fois, reçu dès mardi à 19H30 un email de […]

Après la superbe et pourtant antique faille VDM, voici que Tavis Ormandy dévoile un nouveau trou de sécurité affectant cette fois le composant Java Web Start de Sun/Oracle, dans sa version destinée à « tous les environnements Windows ». Devant le peu de réaction de la part d’Oracle qui estimerait que le trou de sécurité […]

11 bulletins, 5 « critiques », 25 failles au total : Microsoft renoue avec les « patch Tuesday » gras et fournis nous apprend le bulletin du MSRC. L’on remarquera au passage la promesse de « clôture » des bulletins 981169 et surtout 977544, un DoS possible par protocole SMB. Ces « failles SMB » […]

La faille « par défaut » (ou de conception) du format PDF mise à jour par Didier Stevens la semaine dernière continue à faire couler beaucoup d’encre. L’exploit fonctionne aussi bien sur Acrobat Reader que sur Foxit et permet de lancer n’importe quel exécutable. Adobe de son côté envisage d’éliminer rapidement cette « feature » […]

Un seul serait mortel, pour I.E. 6 et 7. Les rustines « out of band » concernent généralement les failles ayant fait l’objet d’une publication d’exploit et d’une utilisation active par des malwares… ce qui est précisément le cas de l’alerte 981374. Alerte qui, par la magie des transmutations des failles en rustine, prend l’immatriculation […]

Ce Patch Tuesday hors calendrier pour Microsoft semble avoir déclenché une véritable épidémie. Le Sun Developer Network signale l’existence d’une nouvelle version de Java répondant au nom transparent de 1.6.0_19-b04 (b signifiant « build » nous précise le bulletin). Chez Apple, le nombre de défauts que corrige Mac OS X v10.6.3 est tel qu’il faudrait […]