Lot de failles Vista et Windows

le 30/03/2007, par Marc Olanié, Alerte, 297 mots

Glanées, çà et là, au rythme des visites webesque matutinale, ces quelques inconsistance dont nous, une fois n'est pas coutume, n'avons pu vérifier la pertinence technique : sur Computer Security Vulnerabilities, un « écran bleu de la mort » sous Vista provoqué par un driver ATI. Rappelons que les attaques « driver level » sont étudiées avec énormément d'attention pour plusieurs raisons. En premier lieu, elles échappent, et pour cause, aux contrôles qualité que pourrait y appliquer Microsoft, surtout si le pilote en question n'est pas certifié. Ensuite, et depuis l'exploit du « pilote Wifi tueur de Macintosh publié par Jon Elch de SecureWorks, le nombre de tentatives de BoF sur ces interface n'a fait qu'augmenter, automatisation des outils de fuzzing oblige. Toujours sur SecurityVulns, cette impressionnante collection de numéros CVE concernant des failles de la couche IPV6 de Vista. Spoofing et attaques en déni de service possible, mais peu probable compte tenu du succès relativement « mitigé » que rencontre cet « ancêtre des nouveaux protocoles ». Orientons nos pas vers Millw0rm et lisons avec intérêt ce petit roman JavaScript intitulé "double free error" in msado15.dll NextRecordset[] function . C'est là un exploit tirant parti d'une « vieille faille » découverte à l'occasion du « mois du bug des navigateurs » lancé par H.D. Moore, et plus connue sous l'appellation contrôlée « bug Adodb ». Un trou colmaté par la rustine 07-009, mais dont on peut craindre qu'il fasse l'objet d'une campagne offensive visant les personne n'ayant pas opéré de mise à jour, ou ne pouvant pas opérer de mise à jour. Les statistiques exactes des machines dont l'accès aux services Microsoft Update est impossible pour des raisons diverses (action d'un troyen, cas particulier d'incompatibilité avec les modifications du WGA, noyau « illégal »...) est totalement inconnu. Par soucis de transparence, il serait intéressant que le MSRC se penche sur cette question.

Toujours des failles béantes dans Java 7 u11

Selon les chercheurs de Security Explorations, la dernière mise à jour de Java, la 7 Update 11, est également vu

le 21/01/2013, par Jean Elyan avec IDG News Service, 440 mots

Une faille Java 0 day en vente 5 000 dollars

Quelques jours après avoir publié un correctif pour une faille zéro day dans les extensions Java découverte la sem

le 18/01/2013, par Jacques Cheminat avec IDG News Service, 241 mots

Attention à la fausse mise à jour Java corrompue

L'éditeur Trend Micro a repéré un morceau de logiciel malveillant qui se fait passer pour le dernier patch pour Java 

le 18/01/2013, par Serge Leblal avec IDG News Service, 430 mots

Dernier dossier

Les white-box sont-elles l'avenir de la commutation réseau ?

Et si vous pouviez gérer vos commutateurs de centres de données et vos routeurs de la même façon que vos serveurs et ainsi réduire les coûts des dépenses en capital ? C'est la promesse des white-box qui amènent des systèmes d'exploitation réseau open source fonctionnant sur du matériel courant.Pour en avoir le coeur net, nous avons testé Cumulus...

Dernier entretien

Jamshid Rezaei

DSI de Mitel

Le DSI de Mitel, Jamshid Rezaei, a adopté le système japonais du Kaizen prônant l'amélioration continue...