Certains modèles 2017 d'Audi comme l'A4 ou la Q7 vont être équipés du système Traffic Light permettant de communiquer en Wi-Fi avec les feux rouges.

L'Image du jour

Certains modèles 2017 d'Audi comme l'A4 ou la Q7 vont être équipés du système Traffic Light permettant de communiquer en Wi-Fi avec les feux rouges.

Les 10 tendances technologiques en 2017

Dernier Dossier

Les 10 tendances technologiques en 2017

Comme chaque année, la rédaction du Monde Informatique a établi une liste des 10 tendances technologiques à venir ou qui vont se poursuivre en 2017....

Restez proche de l'actualité IT

NEWSLETTERS THEMATIQUES

Découvrez nos différentes newsletters adaptées à vos besoins d'actualités IT Pro : Mobilité, Réseaux, Stockages, ...

Abonnez-vous 
FERMER

LMI MARKET

Votre comparateur de prestataires IT : Comparez les devis, Evaluez les prestataires, Trouvez le juste prix!...

Accéder à ce service 

BLOG

Découvrez les contenus exclusifs publiés par les lecteurs du Monde Informatique avec la plateforme LMI Blog...

Accéder à ce service 

COMPARATEUR DE SALAIRE

Partagez votre situation salariale anonymement, consultez les statistiques depuis 2009 et faites vos propres analyses...

Accéder à ce service 

IT TOUR

LMI vous invite à sa Matinée-Débats dans votre région.
Inscrivez-vous

Accéder au site 
FERMER
0
Réagissez Imprimer Envoyer

Une faille affecterait près de 40 applications sous Windows

Une faille affecterait près de 40 applications sous Windows

Plusieurs éditeurs seraient concernés par le problème, chacun devant livrer ses propres correctifs pour y remédier.

Une quarantaine d'applications Windows contiennent une faille critique qui peut être utilisée par des pirates pour prendre le contrôle de PC et y introduire du code malveillant, a averti HD Moore, responsable sécurité de l'éditeur Rapid7, via Twitter cette semaine. Il y a quatre mois, un bug a été rectifié par Apple dans son logiciel iTunes pour Windows. Mais on le trouve toujours dans de nombreux autres programmes, y compris le shell de Windows, affirme l'expert en sécurité, sans toutefois préciser le nom des applications vulnérables, ni leur éditeur. Chaque logiciel devra être corrigé séparément. HD Moore est par ailleurs le créateur du projet Open Source Metasploit destiné notamment à évaluer les risques d'intrusion.

Des informations accessibles aux entreprises

Dans son « tweet », il pointe vers un bulletin publié sur le site d'Acros (un éditeur slovène) qui détaille une vulnérabilité d'iTunes pour Windows. Celle-ci peut être exploitée par des hackers pour inciter des utilisateurs à télécharger et ouvrir un fichier infecté, ou à se rendre sur un site malveillant. Apple a corrigé ce bug en mars lorsqu'il a livré la version 9.1 de son player. Ce problème n'affecterait pas les Mac, selon le constructeur. Le bulletin d'Acros sous-entend que la faille concerne d'autres programmes que iTunes. Il précise que des informations complémentaires peuvent être communiquées aux entreprises et administrations, mais que leur divulgation publique fournirait trop de détails ce qui augmenterait de façon inconsidérée le risque d'exploitation de la faille.

On peut penser qu'Acros n'aurait peut-être pas signalé le problème s'il s'était effectivement limité à iTunes et s'il avait été corrigé il y a plusieurs mois déjà. HD Moore confirme que le bug s'étend au-delà et qu'il est tombé dessus en recherchant le ver affectant les raccourcis de Windows (identifié par Microsoft en juillet qui l'a corrigé le 2 août avec un patch d'urgence, procédure rarement utilisée par l'éditeur en dehors de ses 'Patch Tuesday' réguliers).

Un vecteur très différent suivant les applications

L'expert en sécurité constate que le vecteur de diffusion « est très différent entre les applications », mais le résultat se matérialise dans une .dll chargée après l'ouverture, par l'utilisateur, d'un fichier sain partagé sur un réseau local ou sur Internet. Dans un e-mail de réponse à nos confrères de Computerworld, il note qu'il est possible d'obliger un utilisateur à ouvrir un fichier partagé, que ce soit à partir d'un navigateur web ou en trompant d'autres applications, par exemple, par l'intermédiaire de documents Office embarquant un contenu. Cela lui rappelle un peu les attaques mises en oeuvre avec le ver touchant les raccourcis. Par exemple, les hackers pouvaient lancer une attaque à la volée en exploitant le bug des raccourcis depuis des sites malveillants via WebDAV et pouvaient embarquer leur code dans des documents Office, qui parvenaient aux victimes potentielles comme d'innocentes pièces jointes à des e-mails.

Pour résoudre ce problème, chaque éditeur concerné devra donc livrer son propre correctif, avertit HD Moore. Il existe peut-être des solutions de contournement, mais le problème principal réside dans l'application elle-même et pas nécessairement dans le système d'exploitation, souligne-t-il. Il peut y avoir des correctifs à appliquer au niveau de l'OS, mais ceux-ci risquent d'affecter les applications existantes.

Commenter cet article

commenter cet article en tant que membre LMI

CONNEXION

Commenter cet article en tant que visiteur






* Les liens HTML sont interdits dans les commentaires

Publicité
Publicité
Publicité