Cinq bouchons seulement pour ce mois de mars ? Oui, mais des bouchons tellement denses qu’ils seraient bien incapables de flotter à la surface des déploiements. Le traditionnel « cumulatif Internet Explorer » bouche 18 trous, parmi lesquels beaucoup sont exploitables et jugés critiques. Au total, sont ainsi éliminées 23 vulnérabilités, dont 19 exploitables à […]
Après la faille « double Goto » d’Apple qui fragilisait l’un de ses principaux mécanismes de chiffrement, c’est au tour de Linux de se découvrir un défaut très proche affectant un outil semblable. La faille existe depuis au moins 2003. Immatriculé CVE-2014-0092, ce trou GnuTLS porte également sur une erreur de programmation dans la partie […]
Apple vient de corriger son noyau iOS qui était affecté par une erreur de programmation (CVE-2014-1266). Cette faille concernait la gestion des communications chiffrées SSL qui devenait susceptibles d’être interceptées et modifiées par un attaquant situé sur le même réseau que celui utilisé par la machine-victime. Le problème concerne les liaisons établies avec le navigateur […]
Le second mardi du mois, jour d’ouverture des Tech’Days Parisiens de Microsoft, a vu la publication d’un lot de correctifs relativement important. C’est le lot de la majorité des mois pairs. 31 trous, 24 d’entre eux exploitables à distance, deux possibilités d’élévation de privilège, deux risques de fuites d’information, deux probabilités d’attaques en dénis de […]
Ce trou Flash porte l’immatriculation CVE-2014-0497, se pare d’une pourpre cardinalice dénotant une probable (mais non divulguée) exploitation dans la nature, et touche les trois plateformes : Windows, Linux, OS/X. Mise à jour urgente recommandée. Microsoft publie derechef une alerte. Le fait qu’Adobe rompe avec la tradition du « mardi des rutines » prouve à […]
Il est rare qu’un patch Tuesday parvienne à combiner, dans un seul exploit « in the wild », un double trou concernant deux éditeurs différents. Trustwave décrit par le menu le mélange carburant-comburant (Microsoft/Adobe, CVE-2013-3346/CVE-2013-5065 ) camouflé sous la forme d’un fichier pdf. Exploit dans la nature, rustine MS14-002 obligatoire. MS14-001 est également jugé critique, […]
…et préférez leur TLS1.2, écrit William Peteroy du Microsoft Response Team. Son court billet de blog rappelle l’histoire de RC4, précise que TLS 1.2 est activé par défaut dans Internet Explorer 11, et explique comment, en trois coups de Regedit dans KLM/Sys, éliminer toute trace de cet algorithme de chiffrement.
Le « patch Tuesday » Microsoft de Novembre ne compte que 8 rustines et colmate 19 trous. Mais des trous mémorables, des trous d’anthologie. Trois correctifs sont considérés comme critiques. Les bouchons les plus importants seront probablement le MS13-088, traditionnelle réparation d’Internet Explorer (10 vulnérabilités « signalées confidentielles ») et une faille ActiveX MS13-090 (utilisant […]
Le bulletin d’alerte 2896666 prévient d’une vulnérabilité dans l’un des composants graphiques de Windows (http://technet.microsoft.com/en-us/security/advisory/2896666). Une mesure ce contournement automatisée grâce à un « fix it » (https://support.microsoft.com/kb/2896666), permet de désactiver le codec Tiff. Plus d’informations sur le blog du MSRC (http://blogs.technet.com/b/srd/archive/2013/11/05/cve-2013-3906-a-graphics-vulnerability-exploited-through-word-documents.aspx).
Lorsque, au début du mois, Adobe avouait avoir été victime d’une intrusion et s’être fait dérober un nombre important de comptes d’accès clients, il n’était question « que » de 3 millions de victimes potentielles. Mais peu de temps après, anonnews.org publiait un fichier de plus de 150 millions d’identités numériques, dont une partie du […]
lun | mar | mer | jeu | ven | sam | dim |
---|---|---|---|---|---|---|
« Déc | ||||||
1 | ||||||
2 | 3 | 4 | 5 | 6 | 7 | 8 |
9 | 10 | 11 | 12 | 13 | 14 | 15 |
16 | 17 | 18 | 19 | 20 | 21 | 22 |
23 | 24 | 25 | 26 | 27 | 28 | 29 |
30 | 31 |