Dix des failles logicielles présentes au Top 25 de MITRE il y a quatre ans le sont encore aujourd'hui... et à un rang plus élevé.
Actualités Mitre
D’ATT@CK à D3FEND : un framework de cybersécurité en appelle un autre
À son framework ATT@CK lancé en 2013, MITRE a ajouté, l'an dernier, D3FEND, axé sur les techniques de défense.
Mobile et systèmes industriels : les chantiers du framework ATT@CK
Passé en v11, le framework MITRE ATT@CK renforce sa matrice Mobile. Il en sera de même à l'automne pour celle dédiée aux ICS.
Cybersécurité : quelle base pour caractériser les menaces internes ?
MITRE, l'organisation qui porte le framework ATT&CK, tente de l'adapter à la caractérisation des menaces internes sur les réseaux informatiques.
Logiciels : le top 25 des problèmes de sécurité
MITRE a actualisé son top 25 CWE. L'écriture hors limites et le XSS y apparaissent comme les plus dangereuses catégories de faiblesses logicielles.
Programmation : 5 erreurs à éviter pour la sécurité des logiciels
MITRE vient d'actualiser sa liste des erreurs de programmation susceptibles d'engendrer les failles de sécurité les plus graves.
Le Dark Web et les médias premiers au courant des nouvelles failles
Une étude montre que les failles de sécurité sont d’abord connues sur les médias ou sur le Dark Web avant d’être référencées dans une base officielle.
Une faille zero day repérée dans l’antivirus de Microsoft
Windows Defender est touché par une faille qui le rend totalement contre-productif, le scan des fichiers permettant de lancer des malwares.
600 000 serveurs Web Microsoft IIS 6.0 menacés par un exploit zero day
Deux chercheurs publient le code d’exploitation d’une faille zero day du serveur Web ISS 6.0. Une version que Microsoft ne supporte plus et qu’il ne va donc pas patcher.
Un Patch Tuesday massif après un mois d’absence
Après un mois de vacances, Microsoft a enfin livré son Patch Tuesday. Il compte 17 bulletins pour panser 134 vulnérabilités, dont des failles Zero Days exploitées.
Google corrige 95 vulnérabilités Android dont 10 critiques
Parmi les 10 vulnérabilités critiques, Google met l'accent sur l'une d'eux qui permet l'exécution de code à distance à partir d'un fichier multimédia.
Android en tête des vulnérabilités de sécurité référencées en 2016
Si Android arrive en tête du nombre de CVE en 2016, Oracle s'inscrit comme le premier éditeur touché par les vulnérabilités référencées.
Télégrammes : Ecouteurs sans fil pour Galaxy S8, Des DRM made in Facebook, CVE à 5 chiffres, Taxe Google sanctionnée
Dernière ligne droite avant de basculer dans l'année 2017, il reste encore un peu de temps pour lire les derniers télégrammes de 2016.
Une faille dans OpenSSH âgée de 12 ans fragilise l’IoT
Akamai a découvert que les attaques DDoS IoT utilisaient une faille dans OpenSSH existant depuis 12 ans.
Le FBI a recruté chez Tor pour démasquer les utilisateurs
Selon la presse américaine, le FBI aurait obtenu l’aide d’un ancien développeur du projet Tor pour désanonymiser les utilisateurs du réseau.
Sécurité : sous pression, Mitre poussé à réformer les CVE
Mitre, l'organisme en charge des CVE, a pris du retard dans le processus d'identification des failles. Une solution alternative, DWF, pointe son nez.
Le mediaserver d’Android : un nid de failles de sécurité
Après Stagefright, une nouvelle faille a été découverte dans le composant mediaserver, chargé de traiter les fichiers multimédia sur Android. La quatrième en quelques semaines.
Hacking Team : la résurgence de RCS Android inquiète les experts
Avec le piratage de Hacking Team, du code source du malware RCS Android a été divulgué. Les spécialistes en sécurité s’inquiètent de cette menace polymorphe et très aguerrie.
Faille critique dans le firmware UEFI de plusieurs constructeurs
L'exploitation d'une faille critique du système de démarrage UEFI d'un PC pourrait permettre de compromettre l'intégrité de la plate-forme.
Coorpacademy, spécialiste du MooC en entreprise, lève 3,2 millions €
La jeune pousse helvétique dirigée par Jean Marc Tasseto, spécialisée dans les MooC en entreprise séduit les investisseurs et glane 3,2 millions d’euros pour son expansion.
Une faille de sécurité vieille de 5 ans corrigée dans le noyau Linux
La communauté Linux vient de corriger une faille qui touche le noyau de l'OS open source. Cette vulnérabilité de corruption de mémoire existe dans le kernel depuis 2009.
Chiffrement : il suffirait d’écouter le processeur pour décoder les clefs
Une équipe de chercheurs de l’Université de Tel-Aviv dévoile une méthode inédite pour déchiffrer les clefs de cryptage : l’enregistrement au microphone puis l’analyse de l’activité du processeur de la machine utilisée pour déchiffrer l ...
Les erreurs de codage sont la cause de nombreux exploits
Une trentaine de grandes firmes ont listé les 25 erreurs de codage les plus sérieuses. Résultat, la plupart des exploits réalisés par de hackers utilisent des "failles courantes"
Un exploit 0 day vise Internet Explorer
L'exploitation d'une faille récemment découverte dans le navigateur est désormais possible. Ses conséquences pourraient être désastreuses
Virus : CME, CVE, CXE, alea jacta est !
Zotob.E, Tpbot-A, Rbot.CBQ , IRCbot.worm : sous ces charmantes appellations diverses se cachent en fait le même ver qui a exploité la faille uPnP de Windows 2000 Server le mois dernier. Parmi toutes les dénominations possibles, il en e ...
Une vulnérabilité critique dans la librairie ‘zlib’ impacte Windows, Explorer…
La librairie Zlib est à nouveau au coeur d'une importante faille de sécurité affectant aussi bien les systèmes Unix que Microsoft Windows. De nombreux programmes exploitant cette librairie sont concernés. Une avalanche de patch est à p ...
Les noms de virus pourraient être standardisés
Le « Computer Emergency Response Team » (CERT) et le « US Department of Homeland Security » sont à l'origine d'une initiative qui tend à normaliser le nom des vers, virus et autres 'malwares'. Une base de données «référence» du même ty ...
Red Hat Linux Enterprise mise sur la sécurité
La sécurité devient la priorité de Red Hat. Au programme, certifications, partenariats et SELinux