Après la débâcle de janvier, Intel diffuse de nouveaux correctifs stabilisés contre les failles Spectre à destination de ses processeurs Core de 6ème, 7ème et 8ème génération.
Actualités failles
Pour la seconde fois cette semaine, Google dévoile une faille non corrigée sur Edge
A deux reprises cette semaine, Microsoft a manqué la deadline imposée par Google entraînant la divulgation de vulnérabilités non corrigées autour de son navigateur Edge.
Près de 9 applications Java sur 10 vulnérables
Selon Veracode, l'utilisation des composants Open Source Java entraine des risques de sécurité pour des milliers d'applications déployées.
100% des sites web français restent vulnérables aux mêmes failles
Comme en 2016, l'ensemble des sites audités par Wavestone présentent au moins une faille de sécurité. Dont une grave dans plus de la moitié des cas.
Cinq failles de sécurité majeures dans des modem-routeurs Arris
Selon la firme de sécurité Nomotion, les failles de plusieurs modem-routeurs Arris permettent à des attaquants d'en prendre le contrôle à distance.
90% des entreprises attaquées par des failles de plus de 3 ans
Et 60% des entreprises subissent des tentatives d'intrusion à base de vulnérabilités vielles de 10 ans.
Sécurité : Microsoft automatise la recherche de bugs
Microsoft lance Security Risk Detection, outil de recherche de bugs, agrémenté d’IA, afin d’aider les développeurs à diminuer le nombre de failles dans leurs logiciels.
Sécurité : plus de 300 vulnérabilités à combler chez Oracle
L’ERP E-Business Suite concentre à lui seul 120 vulnérabilités, dont 118 sont exploitables à distance. Les administrateurs vont avoir du pain sur la planche s’ils veulent éviter d’être pris de vitesse par des assaillants potentiels !
Des failles critiques affectent les logiciels embarqués des stations Dell
Les failles découvertes par Talos affectent des logiciels de sécurité et d'optimisation embarqués par défaut dans des stations Dell.
Plusieurs trous de sécurité pour OpenVPN
Un chercheur a audité OpenVPN et découvert plusieurs failles de sécurité critiques provoquant des crashs ou l’exécution de code à distance.
Open Source : avec OSS-Fuzz, Google paye les développeurs qui testent leurs projets
Le programme OSS-Fuzz, qui vise à améliorer la sécurité et la stabilité de l’Open Source via des tests automatisés, a déjà débusqué plus de 1 000 défauts. Google veut accélérer en payant les développeurs pour identifier bugs et failles ...
Intel corrige une faille sur les puces serveurs commercialisées depuis 2008
Intel vient de corriger un bug critique dans le logiciel de management des puces. Petit hic, il touche les puces serveurs en service depuis 2008.
Hervé Lemaitre, Red Hat : « Avec l’Open Source, les entreprises doivent changer de modèle opérationnel »
Selon Red Hat, les entreprises peinent à s'adapter au modèle Open Source qui assure pourtant une sécurisation rapide de ses composants.
Les cybercriminels s’emparent des outils de hacking de la NSA
Les experts en sécurité s’inquiètent des vulnérabilités SMB de Windows, mises au jour via la divulgation d’outils de hacking de la NSA promptement récupérés par les cybercriminels. Une menace du niveau du tristement célèbre Conficker ?
L’Open Source fait peser des risques sur la sécurité de l’entreprise
Plus des deux tiers des applications Open Source utilisées en entreprises et analysées par l'éditeur Black Duck contiennent des vulnérabilités élevées.
Windows protégé des outils de hacking de la NSA
Les exploits dévoilés par Shadow Brokers relatifs à Windows et Windows Server seraient corrigés, explique Microsoft. Et certains depuis des années.
Shadow Brokers : des outils de hack pour Solaris dans la nature
Les dernières révélations des Shadow Brokers renferment deux exploits permettant de mettre la main sur la plupart des systèmes Solaris. Une menace in the wild contre laquelle les administrateurs sont pour l’instant démunis.
Le chiffrement de bout en bout de Signal comporte lui aussi des failles
Même les technologies les plus sécurisées comportent des bugs, expliquent deux chercheurs qui ont déniché une demi-douzaine de failles dans le chiffrement de Signal. Une technologie clef puisqu’elle sécurise aussi WhatsApp, Facebook Me ...
Un composant WiFi expose iOS et Android à un piratage à distance
Un chercheur de Google découvre des failles critiques dans un composant WiFi Broadcom embarqué dans les iPhone et Samsung Galaxy notamment. Le bug permet de prendre à distance le contrôle d’un smartphone. En toute discrétion.
Sécurité : Tizen, l’OS de Samsung, plus troué que l’emmental
40 failles de sécurité zero-day auraient été découvertes dans Tizen, dont une touchant directement l’application TizenStore. Du pain béni pour les pirates.
Apple corrige plus de 300 failles dans ses systèmes et applications
Les corrections de failles de sécurité sont nombreuses chez Apple, qui renouvelle l’ensemble de ses systèmes d’exploitation et plusieurs de ses applications.
SAP corrige une faille critique de Hana, donnant un accès total aux données
Alerté par Onapsis, SAP bouche une série de vulnérabilités affectant un composant de sa base In-Memory. Un bug qui permet de bypasser l'authentification et d'accéder à toutes les données.
Plus de vulnérabilités pour Windows 10 que Windows 7 en 2016
Microsoft a corrigé plus de failles de sécurité pour Windows 10 que pour Windows 7 en 2016. Le dernier OS de Redmond est-il pour autant plus vulnérable aux attaques ?
Le machine learning a-t-il oublié sa sécurité ?
Des chercheurs ont testé différentes solutions de machine learning et ont découvert plusieurs failles de sécurité.
Comment Windows 10 Anniversary Update a détourné deux attaques zero day
Les experts en sécurité de Microsoft reviennent sur deux exploits pour démontrer l'efficacité de Windows 10 à prévenir les attaques zero day. Certaines en tous cas.
Google corrige 95 vulnérabilités Android dont 10 critiques
Parmi les 10 vulnérabilités critiques, Google met l'accent sur l'une d'eux qui permet l'exécution de code à distance à partir d'un fichier multimédia.
Wavestone tente de privatiser le Bug Bounty
Le Bug Bounty privé : c’est en somme l’offre que lance le cabinet de conseil Wavestone, avec des concours de recherche de failles réservés à ses spécialistes de l’audit de sécurité.
Télégrammes : Une base clients dépouillée ; Le SDN rassemblé ; 24h de roaming pour Bouygues ; Déluge de failles pour Oracle
Contrairement à l'Education Nationale, pas question de vous envoyer le code source de nos télégrammes du soir via un courrier papier.
Le site web d’une grande entreprise française sur deux frappé d’une grave faille de sécurité
Selon le cabinet Wavestone, 100 % des sites externes et internes des grandes entreprises françaises présentent des failles de sécurité. Et, dans un cas sur deux, ces vulnérabilités sont sévères.
Une faille Shadow Brokers exploitée par des hackers : Cisco a-t-il bâclé le boulot ?
Des hackers ont récupéré un code d’exploitation de la NSA, mis en ligne par les Shadow Brokers, pour attaquer de nombreux matériels de Cisco. Un Cisco qui semble réagir tardivement à une menace soulevée dès la mi-août.
