Actualités

50 alertes CVE colmatées, dont un « zero day » ( CVE-2018-8453 ) pouvant concourir à une élévation de droits, et affectant Windows serveur et station depuis la version 7, et un trou ayant déjà fait l’objet d’une publication, CVE-2018-8423. Ce dernier concerne un défaut dans le moteur de base de données Jet, lequel est […]

Le « mois de la cybersécurité »a démarré officiellement le 1er octobre, 31 jours durant lesquels se succèderont petits films d’incitation et de propos volontaristes, dessins humoristiques thématiques, dossiers de presse truffés de statistiques, le tout agrémenté de manifestations, tables rondes, colloques, débats, réunions de sensibilisation, conférences, journées -et nuits- cyber. Autant d’actions coordonnées par […]

Une belle collection de failles a été collectée dans les systèmes d’exploitation des équipements sous IOS et IOS XE. Le bulletin publié par l’équipementier classe la quasi-totalité des trous dans la catégorie « critique, à corriger immédiatement ». Et notamment, une possibilité d’accès sans authentification nécessaire dans OSPF v3, un risque de déni de service […]

Un défaut dans la fonction « Aperçu du profil en tant que » a permis à des gastronomes de la donnée personnelle de générer des « jetons d’accès », sortes de clefs numériques qui offrent à chaque usager la possibilité de demeurer connecté à leur compte sans avoir à saisir à nouveau leurs identifiants/mots de […]

2 millions d’enregistrements médicaux accessibles en ligne sur les serveurs d’un service hospitalier de Mexico… largement de quoi faire les gros titres de iBuzzNews ou Securereading. Las, aucun pirate à l’horizon… mais le fruit du travail de Volodymyr « Bob » Diachenko , Directeur de la Communication de Kromtech et passionné d’analyse du moteur de […]

Las Vegas, BlackHat Conference : La traditionnelle étude « BH » publiée à l’occasion de la conférence BlackHat affirme que 65% des responsables sécurité travaillant en entreprise (sur un panel d’environ 300 personnes) estiment ne pas avoir assez de personnel qualifié pour assurer les défenses numériques des infrastructures dont ils ont la charge. Outre cette […]

Reddit alerte ses abonnés que les comptes informatiques appartenant à des membres du personnel ont été compromis, malgré une authentification à double facteur basée sur un envoi de SMS. Cette compromission aurait mis en danger les données de certains des usagers. Les méthodes de détournement de SMS sont nombreuses, et vont de la simple attaque […]

Encore un vol en formation de trous IoT. Ceux-ci nous sont gracieusement offerts par l’équipe Talos, qui a relevé la bagatelle d’une vingtaine de défauts de sécurité dans le hub d’IoTs de Samsung, dénommé SmartThings Hub. La saga, ainsi que l’interminable liste de CVEs qui l’accompagne, est à lire sur le blog de l’équipe de […]

C’est l’histoire totalement éculée d’un firmware de caméra associé à une « application » de surveillance à distance sous Android, elle-même incapable de différencier lesdites caméras les unes des autres. Rien de très nouveau, à un détail près : le bug a affecté une journaliste de la BBC, qui s’est émue de pouvoir, à son […]

Une marque Chinoise d’aspirateurs autonomes, affirme l’équipe de recherche de Positive Technologies est faillible soit à une attaque distante via le réseau local (à condition que l’authentification par défaut n’ait pas été modifiée), soit à une attaque nécessitant un « accès console » si l’on peut dire, attaque se limitant à l’insertion d’une carte SD […]