Le 6 août prochain lors des fameux Black Hat, Tom Strascener et Robert Hansen (connu sous le pseudo de RSnake), experts en sécurité, dévoileront une vulnérabilité critique zero-day touchant les désormais célèbres Google Gadgets.
Selon le spécialiste tchèque, « l’actuelle architecture de sécurité de ce service ne protège pas bien les utilisateurs de gadgets malveillants spécialement conçus ».Et d’ajouter :« les Google Gadgets peuvent permettre à un pirate distant de voler des informations, des données personnelles et posent des problèmes d’authentification ».
Concrètement, il serait assez aisé pour un hacker d’intégrer à peu près ce qu’il veut à un gadget comme un composant Flash ou HTML malveillant ou un script dangereux.
Le géant de Mountain View a été mis au courant de cette découverte mais refuse pour le moment de commenter. « Nous les avons alerté mais ils ont décidé de ne pas patcher, nous avons donc décidé de partager nos découvertes », explique Robert Hansen.
Cette annonce illustre une nouvelle fois la fragilité des services Web 2.0 et notamment des gadgets et autres widgets. Selon une étude de Finjan, certains de ces ‘widgets’ contiennent des morceaux de code malveillant et capables d’exploiter des vulnérabilités à distance.
« Les widgets sont de plus en plus utilisés. Du coup le problème de leur niveau de sécurité se pose de plus en plus souvent »explique Yuval Ben-Itzhak,CTO de Finjan. « Les failles de sécurité repérées permettent aux attaquants de prendre le contrôle des machines. Ces attaques peuvent avoir de dramatiques conséquences pour l’industrie. Les sociétés qui travaillent sur le Net doivent prendre en compte ce nouveau danger. «
Les portails comme iGoogle, Live.com ou bien encore Yahoo offrent tous la possibilité de personnaliser sa page d’accueil avec à la clé l’utilisation de nombreux widgets/gadgets. La popularité grandissante de ces technologies 2.0 fait qu’elles sont de plus en plus prisées par les hackers dont le but est toujours de toucher un maximum d’internautes.
Pour développer une version 7B de son modèle Codestral, Mistral AI n'a pas utilisé de…
L’Autorité de la concurrence et des marchés (CMA) britannique ouvre une enquête sur les conditions…
Thomas Gourand est nommé Directeur Général pour la France. Il est chargé du développement de…
Pour dissuader le CISPE d'un accord avec Microsoft, Google aurait mis près de 500 M€…
Pour réduire la taille des mises à jour de Windows, Microsoft va mettre en place…
De l'organisation administrative à la construction budgétaire, la Cour des comptes pointe le fonctionnement complexe…