Alerte

Linux et autres Unix-like sont menacés par une faille du Bourne Shell (faiblesse dans la gestion des variables d’environnement référencée CVE-2014-6271). L’alerte qualifie le problème de critique. Red Hat détaille les différents aspects techniques du problème. Lequel semble si préoccupant qu’il a attisé la verve de Robert Graham et provoqué la rédaction de trois articles […]

C’est la Quinzaine du trou dans le Cloud.Et l’on commence avec le moins profond, découvert par B.FL7.DE (prononcer bfl7de) qui a découvert une faille en cross-site scripting via le mécanisme de commande d’ebook Kindle, faille qui pourrait offrir un accès au compte Amazon de la victime. Un code de démonstration est fourni par l’auteur. Chez […]

Une seule vulnérabilité MS14-053 (non exploitée) dans .Net, un petit défaut MS14-054 dans le Task Scheduler (également non exploitée), trois CVE isolés relatifs à Lync Server… le patch Tuesday aurait pu discrètement se limiter à ces annonces. C’était sans compter le lot de rustines Internet Explorer qui, ce mois-ci, est frappé d’une inflation digne de […]

97 000 identités (email et mot de passe chiffré) de personnes actives sur la plateforme de suivi de failles et défauts de la fondation Mozilla étaient accessibles sur une ressource serveur dénuée de protection, et ce durant une période de 30 jours. C’est la seconde fois en l’espace de deux mois qu’un tel problème est […]

Selon Rob Williams, de Hot Hardware, le dernier lot de correctifs Microsoft contiendrait quelques défauts, notamment le MS14-045 (mise à jour de sécurité concernant les pilotes de type « kernel drivers ») et quelques patchs publiés dans la kBase est destiné aux plateformes Windows RT. L’auteur conseille de désinstaller les rustines portant sur les articles […]

Ils sont 9, ce mois-ci. 9 correctifs Microsoft dont la majorité risque fort de passer dans l’indifférence générale. Exception faite de l’habituel, du nécessaire, de l’indispensable patch Internet Explorer qui colmate certains trous et remplace quelques vieux bouchons au passage. Au total, ce sont 26 CVE qui sont ainsi éliminés. Notons que c’est là probablement […]

L’Internet des objets est un tonneau des Danaïdes : un immense réservoir aussi troué que le « méchant » d’un Western série B, affirment Andrei Costin, Jonas Zaddach, Aurélien Francillon et Davide Balzarotti (Eurecom). Ces quatre chercheurs viennent de publier le résultat d’une étude technique aussi succincte (16 pages) que ravageuse. Ils ont, pour ce […]

Une attaque en élévation de privilège via le logiciel Symantec Endpoint Security serait possible affirment les chercheurs de la société Offensive Security. C’est au cours d’un audit que la faille aurait été découverte. La proximité de la prochaine BlackHat Conference semble avoir fait ressortir cette faille. Offensive Security ne donne, pour l’instant aucun détail technique, […]

La règle définissant les mois pairs comme mois « fastes » en matière de correctifs I.E. est en passe de devenir lettre morte. Juin en apporte la preuve, avec ce colmatage de tellement de failles affectant Internet Explorer qu’il faut au bas mot 9 « pages écran » pour couvrir tous les CVE concernés. Dire […]

Deux communiqués successifs préviennent d’un grave défaut l’un dans OpenSSL, l’autre dans la bibliothèque de fonction GnuTLS. La première, portant l’immatriculation CVE-2014-0224, ouvre la voie à une possible attaque « man in the middle ». Ce problème serait endémique et remonterait au moins aux éditions datant de 1998. Le second trou, concernant GnuTLS, est référencé […]