Le Patch Tuesday de septembre renferme 14 bulletins de sécurité. Dès le mois prochain, pour ses principaux OS, Microsoft passera au régime des mises à jour cumulatives. Un choix qui ne fait pas l’unanimité.
![](https://www.silicon.fr/wp-content/uploads/2015/02/patch-sécurité-120x90.jpg)
Le Patch Tuesday de septembre renferme 14 bulletins de sécurité. Dès le mois prochain, pour ses principaux OS, Microsoft passera au régime des mises à jour cumulatives. Un choix qui ne fait pas l’unanimité.
Apple corrige en urgence iOS, touché par trois failles sévères. Ces dernières étaient exploitées de concert par un spyware de haut vol, Pegasus, vendu par la société israélienne NSO à des gouvernements.
Les deux constructeurs confirment que les codes mis en ligne par les Shadow Brokers, qui prétendent avoir piraté les hackers pro-NSA d’Equation, renferment bien des failles zero day.
Des chercheurs américains ont eu l’idée d’appliquer des analyses de type Big Data, dont du Machine Learning, aux forums et places de marché de hackers. Avec pour objectif d’anticiper sur les futures menaces.
Selon Check Point, un ensemble de vulnérabilités critiques menacent les terminaux Android équipés de puces Qualcomm. Des failles corrigées, mais pas nécessairement comblées en pratique.
Au tour des ERP Oracle de tomber sous les assauts des chercheurs en sécurité. Les versions 11 et 12 de la eBusiness Suite renferment de multiples failles, notamment par injection SQL.
Siège des données et processus centraux des grandes entreprises, SAP apparaît comme une cible de choix pour des hackers. Pourtant, la sécurité de ces environnements reste mal maîtrisée, comme l’a montré une récente attaque exploitant u ...
Un correctif d’importance vient d’être livré pour le greffon Flash d’Adobe. Au menu, 36 vulnérabilités éliminées, dont une faisant l’objet d’une exploitation active.
Plus de 20 vulnérabilités Android sont corrigées dans le bulletin de sécurité en juin. Dont plusieurs affectant les pilotes des composants électroniques de Qualcomm, Broadcom, Nvidia et Mediatek.
Les failles du greffon Flash sont corrigées, dont celle, critique et en cours d’exploitation, signalée la semaine passée.
Roi de l’évasion fiscale… et bonnet d’âne de la cybersécurité. Rendu célèbre par les Panama Papers, le cabinet d’avocats Mossack Fonseca a multiplié les erreurs grossières sur ses infrastructures IT. De quoi rendre crédible la thèse d’ ...
Bien organisé, animé par des prestataires spécialisés qui n’hésitent pas à faire enfler les prix, le marché des failles zero day, autrement dit non patchées, est en pleine croissance, assure le Clusif.
Juniper va (enfin) retirer l’algorithme à l’origine de la backdoor dont souffre l’OS de ses équipements Netscreen. Mais une nouvelle étude soulève des questions sur le jeu trouble joué par l’équipementier avec ce générateur de nombres ...
Le dernier bulletin de sécurité de l'année pour Flash, déjà référencé comme le premier par Adobe, corrige 19 vulnérabilités. Dont une exploité.
Quatre applications sur cinq écrites en PHP, Classic ASP et ColdFusion ne sont pas conformes à au moins un des critères du référentiel de sécurité OWASP Top 10, selon Veracode.
Après le méga vol de données chez VTech, des élus américains réclament des explications. Dans le même temps, des experts en sécurité pointent plusieurs failles de sécurité sur les produits VTech
Les vulnérabilités découvertes par le chercheur Pierre Kim permettent l'accès aux fonction d'administration de routeurs Huawei. Le constructeur estime toutefois que ces modèles en fin de vie ne méritent pas de correctifs...
Retour vers le futur, la suite sur Internet ? Des chercheurs mettent en évidence les failles de NTP, le protocole de synchronisation des horloges d’Internet. Vulnérabilités qui ouvrent la porte à des attaques par DDoS, mais aussi à la ...
De nouvelles vulnérabilités dans la gestion des médias sous Android (Stagefright) permettent la prise de contrôle à distance des smartphones. Et Android 5.0 est cette fois concerné.
La société Onapsis recense une dizaine de failles dans la base de données SAP Hana, certaines apparaissant comme critiques. L’éditeur a déjà publié les correctifs correspondant.
Après Stagefright, une nouvelle faille a été découverte dans le composant mediaserver, chargé de traiter les fichiers multimédia sur Android. La quatrième en quelques semaines.
Facebook double la récompense associée à son prix Internet defense Prize. Ce dont profite une équipe de l’université Georgia Tech à l’origine de travaux sur une classe de vulnérabilités C++… et auteur d’un outil de détection associé.
Le groupe de hackers Darkhotel, spécialisés dans le vol de données ciblant des dirigeants, récupère une faille zero day issue du piratage de Hacking Team pour peaufiner son arsenal.
Le code des logiciels propriétaires serait davantage conforme aux référentiels de sécurité OWASP Top 10 et CWE-25. Mais le code Open Source est de qualité supérieure.
Zerodium, jeune pousse lancée par Chaouki Bekrar (Vupen), veut acquérir des failles et des exploits zero day auprès de hackers indépendants. Et mieux les payer que la concurrence.
Des hackers viennent de toucher les récompenses en miles du bounty program de United Airlines. La compagnie aérienne a versé 1,8 million de miles pour la découverte de plusieurs failles sur ses sites et applications.
Les développeurs multiplient le recours au chiffrement dans leurs applications. Mais pêchent dans l’implémentation. La cryptographie est ainsi devenue la seconde source de failles de sécurité dans le code.
Les Android Security Rewards permettront aux spécialistes de la sécurité de toucher de rondelettes sommes lors de la découverte de failles dans Android. Objectif, améliorer le niveau de sécurité de l’OS.
Dans un appel d'offres, la Navy américaine cherche, sans complexe, un prestataire spécialisé dans les failles zero day. Il devra être capable de produire des attaques sur différents types de plateformes, identifiées dans l'annonce.
Une attaque par cross-scripting expose les sites WordPress à une prise de contrôle par un assaillant. Et ce n’est que la dernière faille d’une longue série. La politique de sécurité de l’éditeur de la plate-forme est critiquée.