Alerte

Passons rapidement sur l’alerte lancée dans la plus grande des urgences par Adobe et qui concerne le énième défaut affectant une nouvelle fois Flash Player. L’exploitation de CVE-2015-3113 « pourrait rendre possible une prise de contrôle à distance » précise le bulletin. Le conditionnel peut être éliminé d’office, car lorsqu’un avertissement de ce type est […]

Plus Windows prend de l’âge, plus le système devient consistant. Du moins pour ce qui concerne le sérieux et la régularité avec laquelle ses « bugs » sont créés, entretenus parfois d’une version à l’autre et, quelques fois, corrigés. Ce mois-ci, ce ne sont pas moins de 39 alertes CVE qui sont ainsi colmatées, dont […]

16 bouchons, certains d’entre eux résolvant jusqu’à 17 vulnérabilités d’un coup, concernant pratiquement toutes les facettes de Windows. C’est un véritable défilé du 11 novembre, que ce mardi des rustines. Comme de bien entendu, la vieille garde des trous Internet Explorer ouvre la marche, avec, précisément, ses 17 blessures de guerre dont un contournement du […]

L’alerte CVE-2011-4862 est probablement la faille la plus amusante (ou consternante, selon les points de vue) que Cisco ait jamais demandé à ses usagers de colmater. Le trou de sécurité concerne le Cisco WSA Virtual appliance qui possède, activé par défaut, un serveur telnet Le correctif nécessite une très longue pratique des systèmes Unix : […]

Plus préoccupant qu’un ver de sable, successeur de Heartbleed et de Shellshock en moins terrible cependant, Poodle (Padding Oracle On Downgraded Legacy Encryption) est une faille SSL v3 (déchiffrement du contenu d’une communication protégée par un mécanisme déjà ancien) affectant le poste client. Son exploitation nécessite une attaque «par l’homme du milieu», autrement dit soit […]

De son petit nom CVE-2014-3704, cette faille Drupal présente un risque très élevé. L’alerte précise « Full SQL Injection », attaque distante pouvant donner un accès complet à l’ensemble du site Web, précise l’inventeur de la vulnérabilité, Stefan Horst de SektionEins, spécialiste Allemand de la sécurité des architectures Web. Paradoxalement, le défaut se trouve dans […]

Oui, le bug Packager.dll /OLE/CVE-2014-4114/Sandworm est effectivement corrigé par la rustine MS14-060. Déception. Malgré l’impressionnante campagne médiatique qui a entouré la révélation de cette faille, le défaut n’est qualifié que d’important. Critique,en revanche et comme d’habitude, le cumulatif Internet Explorer MS14-056 qui étanchéise à lui seul 14 fuites, 14 références CVE. Exécutions à distance, élévations […]

A moins d’avoir passé les 15 derniers jours dans la caverne de Platon, l’homme du siècle s’est ému au rythme des annonces concernant le bug bash Shellshock. Le dernier soubresaut était celui d’Apple qui vient d’annoncer, sans la moindre précision aucune (histoire de préserver la tradition) la publication des correctifs pour Maverick, Mountain Lion et […]

La course à la rustine CVE-2014-7169, alias Shellshock, alias bash bashing, a dû passablement occuper le week-end des développeurs de bon nombre d’outils serveurs. Chez Oracle, on annonce fièrement la disponibilité de 6 correctifs (Database Appliance, Exadata Storage Server Software, Exalogic, Exalytics, Linux 4, 5, 6 et 7 ainsi que Solaris 8, 9, 10 et […]

Le navigateur Firefox et le client de messagerie Thunderbird doivent être « rustinés » dans l’urgence la plus absolue. Une faille ssl affecte les « Network Security Services » des logiciels et ouvrirait la voie à une possible attaque « man in the middle ». Le Cert US rappelle que ce trou NSS pourrait également […]