Actualités
Gestion des vulnérabilités et des correctifs (patchs)
-
mars 07, 2017
07
mars'17
CA Technologies s’offre un spécialiste de la sécurité applicative
L’éditeur rachète Veracode, l’éditeur d’une plateforme SaaS de test de la sécurité des applications capable d’intégration dans les environnements DevOps, notamment. Lire la suite
-
février 28, 2017
28
févr.'17
Windows, Internet Explorer, Edge : Microsoft pressé de produire des rustines
Les chercheurs du projet zéro de Google viennent de lever le voile à la suite sur plusieurs vulnérabilités affectant les logiciels de Microsoft. Et cela alors même que ce dernier a fait l’impasse sur son dernier rendez-vous mensuel de correctifs. Lire la suite
-
février 02, 2017
02
févr.'17
Barracuda Networks veut automatiser la correction des vulnérabilités Web
L’équipementier lance un service de recherche en continu de vulnérabilités sur les applications Web, assorti de mécanismes de remédiation automatisés. Lire la suite
-
janvier 06, 2017
06
janv.'17
Cybersécurité : l’autorité américaine de la concurrence poursuit D-Link
La FTC vient d’engager des poursuites contre le constructeur en estimant qu’il a échoué à sécuriser « raisonnablement » routeurs et caméras connectées. Lire la suite
-
janvier 05, 2017
05
janv.'17
MongoDB : des bases de données mal sécurisées prises en otage
Des milliers de bases de données sont la cible de pirates qui menacent d’en effacer les contenus à moins de verser la rançon demandée. Une menace pour laquelle l’alerte avait été lancée il y a longtemps. Lire la suite
-
janvier 02, 2017
02
janv.'17
Patch et repatch pour PHPMailer
La très populaire librairie a fait l’objet d’un premier correctif pour une importante vulnérabilité. Mais celui-ci pouvait être contourné. Un second correctif est distribué. Lire la suite
-
décembre 21, 2016
21
déc.'16
Alerte sur la sécurité des systèmes de divertissement en vol
Un chercheur a identifié plusieurs vulnérabilités sur les systèmes signés Panasonic. Pas forcément de quoi détourner un avion, mais potentiellement voler des données sensibles, notamment. Lire la suite
-
décembre 20, 2016
20
déc.'16
Bug Bounty : un moyen de démocratiser la recherche de vulnérabilités
Wavestone vient de lancer une offre de bug bounty privé. Les chercheurs sollicités sont rémunérés à la faille trouvée. De quoi ouvrir la recherche de vulnérabilité à un public plus large. Lire la suite
-
novembre 14, 2016
14
nov.'16
La dernière vulnérabilité inédite de Windows fait le bonheur d’APT 28
Le groupe de cybercriminels met activement à profit une vulnérabilité dévoilée par Google avant que Microsoft n’ait le temps de diffuser un correctif. Lire la suite
-
novembre 04, 2016
04
nov.'16
AtomBombing : un vecteur d’attaque qui paraît bien difficile à corriger
Ce nouveau vecteur s’appuie sur les briques fondamentales de Windows. Toutes les versions du système d’exploitation sont donc affectées par une vulnérabilité en l’état impossible à corriger. Lire la suite
-
octobre 24, 2016
24
oct.'16
Dirty Cow : une grave vulnérabilité Linux redécouverte
Présente dans le noyau Linux depuis plus d’une décennie, celle-ci permet d’obtenir les privilèges les plus élevés sur presque n’importe quel système fonctionnant sous Linux. Lire la suite
-
octobre 13, 2016
13
oct.'16
IBM étend son partenariat avec Carbon Black
Le groupe entend ainsi proposer une solution de sécurité adaptative intégrant réseau et poste de travail, en profitant à la fois de ses outils BigFix et de son SIEM QRadar. Lire la suite
-
octobre 05, 2016
05
oct.'16
Sécurité des sites web en France : le bilan chiffré
Les sites Web sont omniprésents dans notre quotidien, qu’ils soient professionnels ou privés. Mais ils sont fréquemment vulnérables. Wavestone a tenté de quantifier le phénomène à partir de 128 audits de sécurité. Lire la suite
-
septembre 29, 2016
29
sept.'16
Sqreen veut simplifier la sécurité des applications Web
La jeune pousse française mise sur l’instrumentation des applications pour détecter vulnérabilités et tentatives d’attaque. Lire la suite
-
juillet 20, 2016
20
juil.'16
D’importantes vulnérables dans de nombreux anti-virus
De nombreux logiciels de protection du poste de travail et de gestion des performances applicatives ont recours à des mécanismes d’interception des appels aux interfaces système. Mais avec des implémentations peu robustes. Lire la suite
-
juillet 08, 2016
08
juil.'16
Android : un chiffrement suffisamment vulnérable pour les autorités
Les vulnérabilités présentes dans les appareils équipés de composants Qualcomm permettent de contourner le chiffrement du stockage supporté par Android. Lire la suite
-
juin 30, 2016
30
juin'16
Plusieurs vulnérabilités critiques dans les produits Symantec
Les équipes du projet Zéro de Google ont découvert de graves failles dans les produits Symantec et Norton, exploitables sans interaction de l’utilisateur. Lire la suite
-
juin 17, 2016
17
juin'16
Une importante vulnérabilité dans des routeurs VPN Cisco
L’équipementier vient d’alerter sur une vulnérabilité affectant trois de ses routeurs VPN sans fil pour PME et permettant l’exécution de code à distance. Lire la suite
-
mai 18, 2016
18
mai'16
Google dévoile une grave vulnérabilité dans l’antivirus de Symantec
Découverte par les équipes du projet Zéro, elle peut être exploitée sans interaction de l’utilisateur et s’avère aussi « grave qu’il est possible de l’être ». Lire la suite
-
mai 17, 2016
17
mai'16
Alerte à une vulnérabilité dans les plateformes Java de SAP
Le Cert-US alerte sur une vulnérabilité affectant les plateformes Java de SAP datant de 2010, corrigée mais largement exploitée. Lire la suite
-
mars 17, 2016
17
mars'16
Une vulnérabilité Java non corrigée ravive la question de la divulgation responsable
Un chercheur vient de présenter un code exploitant une vulnérabilité Java vieille de 30 mois. Oracle pensait l’avoir corrigée, mais elle était restée béante. Le chercheur n’a pas prévenu l’éditeur. Lire la suite
-
février 29, 2016
29
févr.'16
Des VPN majoritairement vulnérables
Une étude montre que la plupart des serveurs VPN publiquement accessibles en IPv4 sont configurés de telle manière qu’ils n’offrent pas de véritables garanties de sécurité. Lire la suite
-
février 05, 2016
05
févr.'16
Importantes vulnérabilités dans un outil d’administration Netgear
Le système d’administration réseau ProSafe NMS300 de Netgear présente deux importantes vulnérabilités, dont l’une permettant l’exécution de code à distance avec un haut niveau de privilèges. Lire la suite
-
février 01, 2016
01
févr.'16
Authentification : Cisco corrige une vulnérabilité dans ses équipements
L’équipementier distribue un correctif pour une vulnérabilité permettant de contourner l’authentification sur son interface d’administration Web. Lire la suite
-
janvier 20, 2016
20
janv.'16
Linux : une grave vulnérabilité présente depuis 2012
Le noyau Linux embarque depuis 4 ans une vulnérabilité jusqu’ici passée inaperçue et permettant à un attaquant de gagner des privilèges élevés sur un système affecté. Lire la suite
-
janvier 15, 2016
15
janv.'16
OpenSSH : Une mise à jour comble une importante vulnérabilité
Le nouvelle version 7.1p2 de l’outil d’administration corrige une vulnérabilité vieille de près de 6 ans et susceptible d’exposer les clés privées du poste client. Lire la suite
-
janvier 07, 2016
07
janv.'16
SlientCircle corrige une importante vulnérabilité dans son Blackphone
Cette vulnérabilité affectant le modem de la première génération de Blackphone pouvait permettre son détournement. Lire la suite
-
décembre 16, 2015
16
déc.'15
Une grave vulnérabilité affecte les équipements FireEye
Les chercheurs en sécurité de Google ont découvert une vulnérabilité permettant aisément de compromettre les équipements de protection de FireEye. Un correctif a été rapidement développé. Lire la suite
-
décembre 14, 2015
14
déc.'15
Langages interprétés du Web : des nids à vulnérabilités
Selon Veracode une écrasante majorité des applications Web développées avec des langages interprétés contient d’importantes vulnérabilités. Lire la suite
-
décembre 11, 2015
11
déc.'15
Une vulnérabilité pour passer au travers des pare-feu de nouvelle génération
BugSec et Cynet ont découvert un moyen de retourner contre eux une fonctionnalité des pare-feu de nouvelle génération afin d’exfiltrer des données en toute furtivité. Lire la suite
-
novembre 26, 2015
26
nov.'15
Des objets connectés toujours plus vulnérables
Un chercheur de Symantec vient de faire la démonstration de la prise en otage d’un téléviseur connecté sous Android par un rançongiciel. Lire la suite
-
novembre 25, 2015
25
nov.'15
Un nouveau certificat vulnérable sur les PC Dell
Après eDellRoot, un autre certificat exposant sa clé privée a été découverte sur les machines Dell. Lire la suite
-
novembre 20, 2015
20
nov.'15
Des vulnérabilités trop nombreuses pour être gérées efficacement
Une étude de NopSec sur la gestion des vulnérabilités fait apparaître des RSSI noyés sous l’information et les faux positifs, et minés par le manque de ressources. Lire la suite
-
novembre 10, 2015
10
nov.'15
D’importantes vulnérabilités sur SAP HANA
Onapsis vient d’identifier 21 vulnérabilités de sécurité susceptibles de menacer les déploiements HANA, dont 9 qualifiées de critiques. Lire la suite
-
novembre 10, 2015
10
nov.'15
SecludIT s’attaque à la surveillance en continu des vulnérabilités
Fondée en 2011, cette start-up française propose une solution permettant d’accélérer le rythme des recherches régulières de vulnérabilités dans l’infrastructure sans perturber la production. Lire la suite
-
octobre 30, 2015
30
oct.'15
Xen corrige une vulnérabilité critique vieille de sept ans
Les porteurs du projet Xen viennent de corriger un bug permettant à une machine virtuelle hôte de prendre le contrôle complet du système hôte. Il traîne dans le code de l’hyperviseur depuis sept ans. Lire la suite
-
octobre 23, 2015
23
oct.'15
Cartes bancaires : une vulnérabilité connue exploitée discrètement
Des chercheurs viennent de publier un rapport d’étude sur l’exploitation concrète mais discrète d’une vulnérabilité affectant les cartes EMV et connue depuis plus de 5 ans. Lire la suite
-
septembre 15, 2015
15
sept.'15
Une importante vulnérabilité dans l’embarqué VxWorks
Un chercheur a profité de la conférence londonienne 44Con pour dévoiler d’importantes vulnérabilités dans le système d’exploitation embarqué VxWorks. Lire la suite
-
septembre 14, 2015
14
sept.'15
Vulnérabilités : FireEye au cœur d’une controverse
L'équipementier est pointé du doigt pour ses demandes appuyées de suppression d'informations relatives à des vulnérabilités découvertes dans ses produits. Protection de sa propriété intellectuelle, répond-il. Lire la suite
-
septembre 09, 2015
09
sept.'15
Microsoft corrige cinq vulnérabilités critiques
Le train de correctifs de l’éditeur pour le mois de septembre concerne cinq vulnérabilités critiques, dont deux permettant d’exécution de code à distance dans Office. Lire la suite
-
septembre 08, 2015
08
sept.'15
Des vulnérabilités dans les produits Kaspersky et FireEye
L’éditeur russe a réagi dans les 24h à la divulgation d’une vulnérabilité, remerciant au passage le chercheur controversé Tavis Ormandy pour son travail. Lire la suite
-
septembre 04, 2015
04
sept.'15
Fortinet corrige des vulnérabilités dans son agent pour poste client
L’agent FortiClient pour les postes utilisateurs est disponible dans une version mise à jour après la découverte de vulnérabilité permettant de prendre le contrôle à distance des machines compromises. Lire la suite
-
août 21, 2015
21
août'15
Quicksand : une vulnérabilité iOS dédiée aux entreprises
Alors qu’Apple s’efforce depuis plusieurs années de répondre aux attentes des entreprises avec son système d’exploitation mobile, ce dernier s’avère affecté par une sévère vulnérabilité corrigées avec sa toute récente version 8.4.1. Lire la suite
-
août 20, 2015
20
août'15
Analyse comportementale : dépasser la vulnérabilité de l’humain
Comment savent-elles qui fait quoi ? Les nouvelles technologies comportementales utilisent les sciences des données pour superviser l’activité des utilisateurs sur le réseau. Lire la suite
-
juillet 28, 2015
28
juil.'15
Une nouvelle vulnérabilité façon Venom pour Qemu
Celle-ci permet d’échapper au confinement d’une machine virtuelle pour remonter à l’hôte, mais cette fois-ci par l’émulation de lecteur de disque optique. Lire la suite
-
juillet 27, 2015
27
juil.'15
HP effraie avec des vulnérabilités Windows Phone
Dans le cadre de son initiative Zero Day, HP vient de dévoiler quatre vulnérabilités critiques permettant l’exécution de code à distance via Internet Explorer. Mais pour la version dédiée aux smartphones Windows, pas aux postes de travail. Lire la suite
-
juillet 24, 2015
24
juil.'15
Des montres connectées hautement vulnérables
HP Fortify s’est penché sur la sécurité applicative de dix montres connectées. Suffisant selon le groupe pour dénoncer des résultats « décevants » et une sécurité plus que perfectible. Mais l’étude pêche par son manque de transparence. Lire la suite
-
juillet 21, 2015
21
juil.'15
Smartphones : Hacking Team montre une vulnérabilité généralisée
Les données dérobées chez Hacking Team montre, si c’était encore nécessaire, qu’aucune plateforme mobile n’est à l’abri d’attaquants déterminés. Même BlackBerry qui a pourtant longtemps fait de la sécurité son principal argument commercial. Lire la suite
-
juin 29, 2015
29
juin'15
Nouvelle vulnérabilité dans Qemu
Après Venom, une vulnérabilité affecte Qemu, cette fois-ci via son émulateur d’interface réseau PCNET. De quoi attaquer l’hôte avec les privilèges accordés au processus Qemu. Lire la suite
-
juin 23, 2015
23
juin'15
Vulnérabilité dans IE : en désaccord avec Microsoft, HP balance
En février dernier, une équipe de chercheurs de HP a été récompensée par Microsoft pour une vulnérabilité découverte dans Internet Explorer mais que l’éditeur ne souhaite pas corriger. Lire la suite