L'importance d’une vulnérabilité dépend de trois critères principaux : la gravité en cas d’utilisation, l’existence ou non d’un exploit public et le taux d’application des correctifs relatifs à cette vulnérabilité.
Actualités vulnérabilité
Savez-vous vraiment ce qui se passe dans votre environnement informatique ?
L'affaire du piratage d'entreprises américaines par des espions chinois montre combien chaque entreprise a désespérément besoin d'une meilleure visibilité sur l'inventaire de ses actifs informatiques.
Pour la seconde fois cette semaine, Google dévoile une faille non corrigée sur Edge
A deux reprises cette semaine, Microsoft a manqué la deadline imposée par Google entraînant la divulgation de vulnérabilités non corrigées autour de son navigateur Edge.
Microsoft : prêt pour le dernier Patch Tuesday de l’année ?
Pour son dernier bulletin de sécurité de 2017, Microsoft prévoit une soixantaine de correctifs. Dont «seulement» 38 critiques.
5 langages informatiques qui introduisent des vulnérabilités de sécurité
Un chercheur en sécurité démontre comment les bugs des langages de programmation peuvent créer des failles de sécurité dans les applications.
Télégrammes : Correctif Windows urgent, Steve Wozniak veut un Touch ID sur l’iPhone X, 512 Go de RAM sur smartphones
En attendant que le Royaume-Uni règle ses cotisations à l'Union européenne, les télégrammes du soir vous souhaitent un bon week-end.
Télégrammes : La fuite bien réelle d’un clavier virtuel, Andromeda à terre, Blackberry sécurise les voitures connectées
Plus terre-à-terre que l'envolée du bitcoin, voici les télégrammes du soir.
ParseDroid menace les développeurs d’applications Android
Check Point a découvert une vulnérabilité critique qui touche tous les outils de développement d'application Android. Un correctif est disponible.
Faille des processeurs Intel : les autorités américaines sonnent l’alarme
Face à la faille de sécurité trouvée sur des processeurs Intel, l'US-CERT invite les entreprises à appliquer le correctif promptement.
Des données du Pentagone stockées sur AWS accessibles publiquement
A travers Amazon Web Services, le Pentagone a laissé pendant des mois, voire des années, l'accès public à des milliards de données collectées en ligne.
Près de 9 applications Java sur 10 vulnérables
Selon Veracode, l'utilisation des composants Open Source Java entraine des risques de sécurité pour des milliers d'applications déployées.
Microsoft Office affecté d’une vulnérabilité critique vieille de 17 ans
Un composant vulnérable depuis Office 2000 permet l'exécution de code malveillant à l'ouverture d'un fichier bureautique.
Sécurité Microsoft : un Patch Tuesday presque serein en novembre
L'essentiel des 53 vulnérabilités uniques du bulletin de sécurité de novembre touchent les navigateurs de Microsoft. Et aucune n'est considérée comme critique pour Windows.
Skybox Security: la France, deuxième marché européen de la vulnérabilité
Skybox lève 150 millions de dollars pour accélérer son développement sur le marché de la cybersécurité. Jusqu'ici, l'éditeur était discret en France.
De nombreux systèmes affectés par une vulnérabilité TPM Infineon
Une vulnérabilité affectant la génération de clés RSA d'Infineon permet de calculer la clé privée à partir d'une clé publique à peu de frais.
Microsoft Patch Tuesday : presque la moitié des vulnérabilités au niveau « critique » en octobre
Parmi les 62 correctifs de Microsoft à appliquer en octobre, l'un concerne une faille d'Office activement exploitée.
100% des sites web français restent vulnérables aux mêmes failles
Comme en 2016, l'ensemble des sites audités par Wavestone présentent au moins une faille de sécurité. Dont une grave dans plus de la moitié des cas.
Des millions de Mac exposés à une attaque par EFI
Plusieurs modèles de Mac ne disposent pas d'une version à jour et sécurisée de leur EFI. Des machines vulnérables pour des attaques de très bas niveau.
Windows Server 2003 victime d’un cryptomineur Monero
L'éditeur de sécurité ESET a découvert une centaine de machines non patchées sous Windows Server 2003 infectées par le cryptomineur CoinMiner.
Patch Tuesday de septembre : une rentrée chargée pour Microsoft
En septembre, les administrateurs auront fort à faire pour combler les 81 vulnérabilités, dont 27 critiques, qui affectent tous les logiciels majeurs de Microsoft.
Une faille Apache Struts menace 65% des entreprises du Fortune 100
La faille critique qui touche le plugin REST du framework Apache Struts permet l'exécution de code distant sur les serveurs d'applications.
Comment s’acheter un MacBook pour 1 dollar via à une faille SAP
Une faille dans un serveur SAP permet de prendre le contrôle total du système de paiement, autant pour voler les données confidentielles des clients que pour modifier le prix des articles.
90% des entreprises attaquées par des failles de plus de 3 ans
Et 60% des entreprises subissent des tentatives d'intrusion à base de vulnérabilités vielles de 10 ans.
Black Hat : des données personnelles expurgeables des serveurs cache
A la conférence Black Hat, le chercheur Omer Gil démontrera comment s'appuyer sur les serveurs caches pour obtenir des données personnelles et usurper l'utilisateur légitime d'une application.
Quand un fichier Windows infecte l’environnement Linux [MAJ]
Un expert en sécurité démontre comment un fichier Windows MSI peut exécuter un code malveillant sur un environnement graphique Linux.
IoT : des millions d’objets connectés exposés à une faille de gSOAP
Une faille par débordement de mémoire tampon permet d'exécuter du code à distance sur des millions d'objets connectés, dont les caméras Axis.
Sécurité : plus de 300 vulnérabilités à combler chez Oracle
L’ERP E-Business Suite concentre à lui seul 120 vulnérabilités, dont 118 sont exploitables à distance. Les administrateurs vont avoir du pain sur la planche s’ils veulent éviter d’être pris de vitesse par des assaillants potentiels !
Un chercheur élargit à l’ensemble des plates-formes Windows les exploits de la NSA
Jusqu'alors limité à WIndows 8, EternelSynergy enrichi par le chercheur Worawit Wang est exploitable sur l'ensemble des Windows. Sauf Windows 10. Pour combien de temps encore ?
Katyusha Scanner simplifie les attaques par injections SQL
Disponible à peu de frais, Katyusha Scanner automatise la détection de serveurs web vulnérables et les attaques de leurs bases de données.
19 vulnérabilités critiques dans le Patch Tuesday de juillet
Sur les 54 vulnérabilités corrigées par Microsoft en juillet, 19 sont considérées comme critiques. Mais des failles seulement jugées importantes sont aussi à corriger au plus vite.