Alerte

Pâle copie, d’ailleurs, puisque le dernier « jour de patch » que nous offre Apple ne compte « que » 21 trous colmatés, à comparer aux 28 (30 en comptant les ZDE) revendiqués par Microsoft. Les détails sur les probabilités d’exploitation –hormis peut-être un vol de cookies- sont assez maigres. Remarquons toutefois dans le lot […]

Eclipsé par les foudroyantes annonces du ZDE I.E. 7.0 (voir 6.x et 8.0 nous apprend le Sans), un tout autre zéro day touchant un produit Microsoft était annoncé durant la journée du 11. Le PoC, publié par les chercheurs de l’entreprise Australienne SEC Consult, ne semble pas aussi facile à exploiter que son frère siamois. […]

Il pleut du ZDE comme il neige en Savoie : par brassées entières. Comme annoncé lors du précédent article de CNIS consacré au « Patch Tuesday » Microsoft, l´exploit Zero Day Chinois est sur le point de devenir international. Revue de détail des vecteurs de développement et d´information. Prélude à l´après-midi d´un fauve du code […]

Conformément aux annonces de la semaine passée, le dernier « Patch Tuesday » de l´année est pléthorique : 8 bulletins concernant aussi bien les noyaux Windows qu´Internet Explorer, les outils de développement ou les outils serveurs, pour un total de 28 failles détectées. Comme il est de coutume, la liste complète des correctifs est dressée […]

Deux petites alertes marginales dans le domaine du sans fil. En premier lieu RIM, contraint de mettre à jour sa base logicielle en raison d´un trou de sécurité situé dans… un programme de mise à jour. Plus exactement dans le « Roxio media manager » chargé de la synchronisation du téléphone avec les données d´une […]

La nouvelle s´est répandue aussi rapidement qu´un ver Koobface : un groupe de hackers « noirs » met en vente les identités de 21 millions de comptes en banque soit, très grossièrement, les données d´un Allemand sur quatre en âge d´utiliser un compte. L´affaire est révélée par deux journalistes du WirtschaftsWoche, alias WiWo, qui se […]

Un vent mauvais souffle sur les téléphones un peu trop intelligents. Avec un coup de noroit glacial qui vient refroidir les ardents défenseurs de l’iPhone d’Apple. Un développeur, cherchant à effectuer un changement dynamique d’image de fond d’écran, est tombé sur une faille assez intéressante : la non vérification de la signature d’un lien symbolique, […]

Des failles entrant dans la catégorie « exploitable à distance » : le web de NetDev en serait presque rouge de confusion. Il s’agit là du tout dernier lot trimestriel de correctifs en date du 14 novembre, bouchons logiciels dont l’origine est en grande partie située du côté de AppSecInc, alias Shatter. Rappelons aux administrateurs […]

Les meilleurs crus, parfois, ne sont pas les plus abondants. La correction de faille « hors calendrier » MS08-067 et la vulnérabilité MS08-068 publiée à l’occasion d’un « Patch Tuesday » étique mériteraient qu’on leur dresse une stèle : une origine antédiluvienne, une exploitation garantie à toute épreuve, une médiatisation inégalée… le tonnerre de leur […]

Passionnante étude que celle de ces chercheurs de l’UCSD et de Berkeley. Durant des mois, ces universitaires ont étudié, disséqué, reconstruit, adapté toute une chaîne de spams destinée à attaquer trois fronts : acheteurs de pseudo-viagra, amateurs de cartes de vœux en ligne et canulars du premier avril. Et attaquer non pas de manière livresque, […]