Flux RSS

Données personnelles

Si vous souhaitez recevoir toute l'information "Mot Clé" de notre feed RSS,Inscrivez-vous

643 documents trouvés, affichage des résultats 241 à 250.

< Les 10 documents précédentsLes 10 documents suivants >


(27/01/2011 16:47:20)

Facebook dévoile des outils de sécurité après le piratage de la page de Zuckerberg

Sur un des blogs de Facebook, Alex Rice, ingénieur en charge de la sécurité du réseau social,  annonce des mesures pour renforcer la protection des utilisateurs du site. Si le vendredi 28 janvier est annoncé comme la journée de « la protection des données personnelles », la presse et les blogueurs ont particulièrement glosé sur les déboires de Mark Zuckerbeg, victime du piratage de sa page Facebook. Un comble pour le fondateur de l'empire de la surexposition.

La première mesure de sécurité consiste la généralisation de l'utilisation du HTTPS - Hypertext Transfer Protocol Secure - au-delà du simple échange de mot de passe. Alex Rice écrit ainsi sur son blog : « Dès aujourd'hui nous allons fournir la capacité de consulter Facebook entièrement en HTTPS. Vous devriez envisager d'utiliser cette option si vous utilisez fréquemment Facebook dans des points d'accès Internet public dans les cafés, les aéroports, les bibliothèques ou les écoles. L'option sera intégrée aux fonctions de sécurité avancées, que vous retrouvez dans la section «Sécurité du compte », de la page Paramètres du compte. » Google était déjà passé par là après ses déboires chinois en mars 2010. Facebook avait d'ailleurs déjà testé ces mesures pour faire résister aux intrusions du gouvernement tunisien dans les pages de ses utilisateurs.

Une authentification plus sociale

La deuxième mesure est un mécanisme d'authentification captcha plus sophistiqué que celui déjà utilisé par le site pour valider certains commentaires. Alex Rice poursuit : « Au lieu de vous montrer un captcha traditionnel, Facebook peut vous aider à confirmer votre identité par le biais de l'authentification sociale. Nous allons vous montrer quelques photos de vos amis et vous demander de nom des personnes dans ces photos. Ainsi si des pirates peuvent connaître votre mot de passe, il leurs est plus difficile de connaître les noms de vos amis. »

Pendant ce temps, Facebook est resté officiellement muet au sujet de l'incident qui a touché la page de Mark Zuckerberg suivi par 2,8 millions de fans. Bien que le problème ait été rapidement détecté et la page désactivée, 1 800 utilisateurs ont réagi au détournement et laissé plus de 400 commentaires sur le commentaire qui ornait le mur de Zuckerberg.  Ce message disait : « Le piratage ne fait que commencer : Si Facebook a besoin d'argent, au lieu d'aller voir les banques, pourquoi ne pas laisser ses utilisateurs investir dans Facebook d'une manière sociale ? Pourquoi ne pas transformer Facebook en « une entreprise à caractère  sociale » à la manière du prix Nobel de la paix sic] Muhammad Yunus ? # Hackercup2011 »

(...)

(26/01/2011 15:15:07)

Comment Facebook a résisté aux intrusions du régime tunisien

Les détails de cette incroyable opération, qui consistait à intercepter les communications à l'insu du réseau social et de ses utilisateurs, menée par le régime tunisien contre sa propre population ne sont pas clairs. Mais il semble que le gouvernement ait tenté d'exploiter les FAI tunisiens pour diriger les utilisateurs vers de fausses pages Facebook et éventuellement d'autres sites de médias sociaux. Depuis ces pages, les autorités auraient essayé d'infecter les ordinateurs des personnes connectées avec un code Javascript malveillant chargé d'enregistrer les frappes effectuées au clavier au moment de la connexion. Ces précisions sur les modalités de l'attaque ont été fournies par Facebook lui-même. Réalisant ce qui se passait, le réseau social a riposté en forçant les connexions effectuées depuis la Tunisie à utiliser le protocole sécurisé https, afin de protéger les sessions. Mais ce n'est pas tout : en cas de blocage des adresses https par les FAI, Facebook demandait aux utilisateurs de s'authentifier aussi au moment de quitter leur session, étape où ils pouvaient être vulnérables, en identifiant des amis pour contrecarrer l'opération d'espionnage.

La défense de Facebook semble avoir fonctionné, même si un nombre inconnu d'utilisateurs tunisiens se sont fait voler leurs identifiants de connexion les jours qui ont précédé la mise en oeuvre de cette contre-attaque. « Quand vous prenez du recul et vous réfléchissez à la manière dont le trafic Internet est acheminé à travers le monde, vous vous rendez compte qu'une quantité surprenante de données est susceptible d'être mise sous contrôle d'un gouvernement, » peut-on lire dans l'article qui cite les propos de Joe Sullivan, le chef de la sécurité de Facebook.

Un outil de liberté qui inquiète


La remarque est importante. La Tunisie n'est pas une exception et de nombreux régimes de pays arabes et d'Afrique du Nord restreignent autant qu'ils le peuvent la dissidence sur Internet, même si ce n'est pas toujours avec le niveau de sophistication dont a fait preuve le régime tunisien. Aujourd'hui, l'Egypte a purement et simplement bloqué l'accès à Facebook et Twitter.

De manière générale, le rôle des médias sociaux dans la dissidence politique est sous-estimé. On leur reconnaît surtout d'avoir joué un rôle important dans l'échec du soulèvement contre le régime extrémiste en Iran et qu'ils sont étroitement contrôlés en Chine. Cette semaine, l'Iran a annoncé la mise en place d'une force spéciale dont l'action est destinée à combattre l'utilisation des médias sociaux pour organiser des manifestations anti-gouvernementales. Quant à Facebook, les évènements vont lui offrir un peu de répit : l'année passée, la communauté Internet lui a souvent fait le reproche de ne pas suffisamment protéger la vie privée de ses utilisateurs.

 

Crédit Photo : D.R

(...)

(25/01/2011 14:42:59)

Un pirate commercialise ses « exploits » sur Internet

Imperva, une société spécialisée dans la sécurisation des données, a découvert un pirate qui prétend vendre des accès à des sites militaires, gouvernementaux et éducatifs à travers le monde. Les prix varient de 499 dollars pour les sites militaires américains à 55 dollars pour un accès au compte administrateur sur le site web de l'Etat du Michigan. La société précise également que le pirate vend des renseignements personnels issus de sites web piratés à 20 $ pour 1000 données. Pour prouver ses dires, le hacker fournit des captures d'écran d'accès aux renseignements personnels et à l'interface d'administration d'une grande université. Il peut aussi «pirater un site web normal » pour 10 $ et propose 3 Mo de données aléatoires issues de comptes piratés pour 65 $.

Pas de méthodes innovantes, mais un opportunisme commercial

Imperva pense que cette personne a réussi à s'introduire sur les sites grâce à une technique d'injection de code. « La mise en vulnérabilité du site des victimes est due probablement à une injection SQL, exploitée de manière automatique, comme le pirate l'a indiqué dans un post sur certains forum de hackers», écrit Rob Rachwald dans un message sur le blog Imperva Securities Data.
Ancien reporter du Washington Post, Brian Krebs pense que les méthodes utilisées restent standards. « J'ai vu quelques-unes des preuves proposées par le pirate, mais je ne crois pas qu'il ait inventé quelque chose », explique-t-il sur son blog KrebsonSecurity. Il note d'ailleurs que les cartes bancaires ne sont pas acceptées par le hacker qui préfère de la monnaie virtuelle via un compte sur Liberty Reserve.

(...)

(21/01/2011 14:37:12)

Soundminer, un malware espionne et vole les données des smartphones Android

Ce spyware du nom de Soundminer, peut surveiller les appels téléphoniques et enregistrer des informations vocales prononcées par l'utilisateur, un numéro de carte de crédit par exemple, ou récupérer les chiffres qu'il tape sur le clavier de son téléphone. « S'appuyant sur diverses techniques d'analyse, Soundminer parvient à extraire l'essentiel des informations enregistrées, comme le numéro de carte de crédit lui-même, et envoie un tout petit bout d'information sélectionnée à un attaquant posté sur le réseau, » expliquent les chercheurs Roman Schlegel de la City University de Hong Kong et Kehuan Zhang, Xiaoyong Zhou, Mehool Intwala, Apu Kapadia, Wang Xiaofeng de l'Université Bloomington dans l'Indiana. « Nous avons installé Soundminer sur un téléphone Android et nous avons testé notre technique en utilisant des données réalistes, identiques à celles pouvant circuler lors d'une conversation téléphonique normale, » ont-ils écrit. « Notre étude montre que des numéros de carte de crédit peuvent être identifiés de façon fiable et transmis de manière rapide. Par conséquent, la menace d'une telle attaque est réelle. »

Le spyware a été conçu pour requérir le minimum d'autorisations pour éviter d'être repéré. Par exemple, le virus peut être autorisé à accéder uniquement au micro du téléphone, mais pas un accès élargi pour transmettre des données, intercepter des appels téléphoniques sortants ou entrer dans les listes de contacts, des opérations qui pourraient susciter des soupçons.

Une variante très efficace et discrète

C'est pourquoi, dans une autre version de l'attaque, les chercheurs ont associé Soundminer avec un Trojan indépendant, du nom de Deliverer, qui prend en charge l'envoi des informations recueillies par le spyware. Car Android pourrait empêcher la communication entre les applications, les chercheurs ont trouvé comment faire communiquer Soundminer avec Deliverer. Ils ont ainsi découvert ce qu'ils appellent plusieurs « canaux cachés » qu'ils ont pu utiliser pour faire passer des informations en même temps que d'autres, via les paramètres du vibreur notamment. Soundminer pourrait coder les données sensibles qu'il veut transmettre sous une forme qui ressemble aux données utilisées dans les paramètres de vibration. Ensuite, Deliverer pourrait décoder ces données pour les envoyer à un serveur distant. Le canal caché en question dispose de seulement 87 bits de bande passante, suffisamment pour transmettre un numéro de carte de crédit qui en utilise 54 bits seulement, » expliquent-ils. Soundminer a été écrit pour effectuer la reconnaissance vocale ou la reconnaissance d'un numéro tapé sur le téléphone lui-même. Cela permet d'éviter l'envoi de gros paquets de données via le réseau pour l'analyse, ce qui pourrait alerter les logiciels de sécurité.

Selon les chercheurs, VirusGuard de SMobile Systems et l'AntiVirus de Droid Security, deux antivirus pour Android utilisés pour le test, ne sont pas parvenus à identifier Soundminer comme malware, même quand il était en train d'enregistrer et de télécharger des données. Les responsables de Google basés à Londres, sans nommer précisément Soundminer, ont déclaré qu'Android était en mesure de minimiser l'impact « d'applications mal programmées ou malveillantes qui pourraient se trouver sur un téléphone. » Selon Google, « si les utilisateurs pensent qu'une application peut-être dangereuse ou inadaptée, ils peuvent la marquer, lui donner une note défavorable, laisser un commentaire détaillée à son sujet, et bien sûr, la retirer de leur appareil. » « Les applications qui sont contraires à nos politiques sont retirées du marché. De la même manière, nous pouvons empêcher les développeurs ne respectant pas notre politique, et épinglés pour infractions, d'accéder à l'Android Market. »

(...)

(18/01/2011 11:22:55)

Facebook livre les numéros de mobiles et les emails de ses abonnés (MAJ)

(MAJ*) Expliquant sa décision dans un billet de blog, Facebook précise que les développeurs d'applications seront en mesure d'accéder aux informations de contact seulement si l'utilisateur l'y autorise. Le site de réseau social ajoute par ailleurs avoir créé de nouveaux paramètres d'autorisation pour permettre ce transfert. Il souligne également que « l'accès et l'utilisation de ces données est régie par les règles régissant la plateforme. » En l'occurrence, le volet n°3 stipule « une politique de confidentialité qui impose d'avertir les utilisateurs sur la nature des données personnelles utilisées et comment celles-ci seront exploitées, rendues publiques, partagées, ou échangées. » La règle 6 interdit aux développeurs « de transférer directement ou indirectement des données émanant du réseau social, y compris les données utilisateur ou les ID utilisateur de Facebook, à une régie publicitaire, des plateformes d'échange, un courtier en informations, ou vers des systèmes connexes impliquant une publicité ou une monétisation, même dans le cas où l'utilisateur consent à un tel transfert ou à un tel usage. »

Une menace réelle


Mais pour Graham Cluley, expert en sécurité chez Sophos, ce choix « pourrait accroître le niveau d'exposition des utilisateurs de Facebook. » Celui-ci rappelle que les cybercriminels ont déjà fait leurs preuves et montré leur capacité à tromper les victimes pour récolter des informations personnelles sensibles. « Il va devenir plus facile que jamais pour des développeurs d'applications inconnus de recueillir encore plus d'informations personnelles sur les utilisateurs. On peut imaginer, par exemple, que des individus mal intentionnés mettent en place une application malveillante uniquement pour récolter des numéros de téléphone mobile afin de les utiliser ensuite pour du spamming par SMS ou de vendre ces données à des entreprises pour du cold calling (ou appels à froid), » écrit l'expert de Sophos. « La possibilité d'accéder à ce type de données personnelles accroit les risques de vol d'identité, » conclut-il.

*Dernière minute : Facebook a décidé de suspendre la délivrance des données personnelles (adresse postale et coordonnée téléphonique) à l'attention des développeurs. Le site de réseau social souhaite réfléchir pour mieux communiquer auprès des utilisateurs et améliorer les boîtes de dialogue invitant à partager leurs informations privées.

(...)

(14/01/2011 09:45:15)

Le Clusif dresse son panorama 2010 de la cybercriminalité

Dans une salle pleine, Pascal Lointier, président du Clusif a animé les interventions de plusieurs spécialistes sur les grandes tendances de la cybercriminalité en 2010. Le point de départ a été Stuxnet, ce vers qui a été localisé à l'été dernier se focalise sur les systèmes Siemens Scada. L'origine de ce ver est pour le moins nébuleux, souligne Jean Michel Doan, analyste cybercriminalité chez Lexsi, est-ce un Etat ? Un groupe de hacker ? Il n'en demeure pas moins que cette attaque pointe du doigt les systèmes informatiques qui sont passés d'un mode isolé à un environnement connecté vers l'extérieur (via une clé USB ou un périphérique). L'analyste estime que des évolutions de Stuxnet sont à prévoir dans l'avenir y compris sur des systèmes comme les OS embarqués. L'automobile pourrait être particulièrement visé avec des prises de contrôle à distance, blocage de frein, mauvaise information GPS, etc.

De son côté, François Paget chercheur de menaces pour le laboratoire de McAfee s'est attardé sur la montée en puissance de l'hacktivisme qui a une tendance à se rapprocher des cybercriminels. Un focus particulier a été dressé sur Anonymous, dont les internautes ont entendu parler dans l'affaire Wikileaks. Ces défenseurs de la liberté d'expression avaient créé un logiciel LOIC pour attaquer en déni de services des sites qui avaient censuré le site d'informations diplomatiques. Or pour le chercheur, plusieurs éléments dans les récentes interventions des Anonymous montrent des accointances avec des hébergeurs, réputés pour leur complaisance avec les cybercriminels.

La mobilité source de menaces


En matière de botnets, Pierre Caron, expert sécurité chez Orange Labs estime que l'année 2010 est en demi-teinte. D'un côté, plusieurs botnets ont fait l'objet d'intervention policière ou de demandes de la part de certains éditeurs pour les bloquer. Le spécialiste est revenu sur la véracité des chiffres concernant les ordinateurs infectés par les malwares. Il s'inquiète par contre de formes plus évoluées de botnet comme Zeus qui cible aussi les téléphones mobiles. Ce dernier point a été l'occasion pour le Lieutenant-colonel Eric Freyssinet de la Gendarmerie Nationale de constater que les smartphones et le développement de l'Internet mobile rend ces équipements très peu discrets, par rapport aux données personnelles. Il a souligné aussi l'augmentation des risques de virus sur les smartphones en pointant du doigt les OS ouverts de type Android plus accessibles par les pirates.

Au final, les différents intervenants ont beaucoup puisé leurs informations et leur présentation dans les différents articles de presse de plusieurs sites ou journaux, qui contrairement à leur propos ne font pas que mal ou désinformer...

(...)

(07/01/2011 15:46:56)

Une faille de sécurité dans la sandbox du Flash d'Adobe

Billy Rios, ingénieur de sécurité chez Google, a publié sur son blog personnel un moyen de contourner le « bac à sable » proposé récemment par Adobe. Cette méthode permet aux fichiers Shockwave Flash (SWF) d'être lus comme en local, mais de ne pas envoyer des données sur le réseau. Il empêche également les fichiers SWF de faire appel à des JavaScript ou des requêtes HTTP ou HTTPS, souligne le chercheur. Un fichier local correspond à celui qui utilise "file : protocole" ou un chemin référencé par la Convention Universel de nommage (Universal Naming Convention), poursuit Billy Rios.

Mais il a constaté que toutes les restrictions du « bac à sable » ne sont pas aussi rigides. Il a découvert un moyen de contourner la sandbox, en reformulant une requête du type file://request to a remote server. Adobe a toutefois limité ces requêtes à des adresses IP en local et en fonction du nom des machines, relativise Billy Rios. Adobe a intégré une liste noire sur certains gestionnaires de protocole, mais pas tous, une méthode que le chercheur considère comme dangereuse et d'ajouter « si on peut trouver un gestionnaire de protocole qui n'a pas été référencée par Adobe et qui se connecte au réseau, c'est gagné ».

Il prend comme exemple le protocole « mhtml », qu'exploite Outlook Express installé sur les systèmes Windows et qui n'est pas recensé par Adobe dans sa liste noire. Ainsi, un fichier SWF peut exporter des données en utilisant une requête par ce protocole, a détaillée Billy Rios dans son blog. Il souligne que cette procédure est particulièrement efficace car, si la requête échoue, les données seront toujours transmises au serveur de l'attaquant sans que la victime le sache. Il tire donc deux leçons de cette expérience: « l'exécution de code SWF non fiable est dangereux et que les listes noires de gestionnaire de protocole sont mauvaises si incomplets ».

Une faille peu critique selon Adobe

Une porte-parole d'Adobe a indiqué l'éditeur a analysé les travaux de Billy Rios et a confirmé un bug, en le classant comme un risque «modéré» dans son échelle de gravité. « Un hacker doit d'abord accéder au système de l'utilisateur et placer un fichier SWF malicieux dans un répertoire sur la machine locale avant de pouvoir tromper l'utilisateur en lançant une application qui exécutera le fichier SWF en mode natif » écrit-elle dans un e-mail. Elle ajoute « dans la majorité des scénarios d'utilisation, le fichier SWF malveillant ne pouvait pas simplement être lancé en double-cliquant dessus. L'utilisateur devra ouvrir manuellement le fichier depuis l'application elle-même ».

Adobe et Google ont travaillé ensemble sur l'amélioration de la sécurité dans Flash. Le mois dernier, les deux sociétés ont dévoilé aux développeurs la première version de Flash qui utilise ce système de bac à sable. Il fonctionne sur le navigateur Chrome de Google sur les OS Windows XP, Vista et 7. Adobe utilise également une sandbox dans son Reader PDF X, produit, qui a été publié en novembre.

(...)

(06/01/2011 16:50:56)

Standardisé, le chiffrement interne des disques se généralise

C'est une tendance qui se confirme. Les disques durs et les SSD intègrent des algorithmes de chiffrement reposant sur le standard défini par le Trusted Computing Group. L'intérêt principal de ces prochaines générations de périphériques de stockage « self-encrypted », c'est que le système de chiffrement est intégré sur une puce dans le disque. Disposer d'un système sécurisé est particulièrement important pour les petites entreprises, notamment en raison des dispositions légales qui les obligent à conserver leurs données comptables sur de longues durées. Or, depuis 2005, plus de 345 millions d'enregistrements contenant des informations personnelles sensibles ont été touchées par des problèmes de sécurité, a-t-il été rappelé cette semaine sur la conférence Storage Visions 2011 (Las Vegas, 4-5 janvier).

Pas de dégradation de performances

L'un des avantages que présente l'approche de chiffrement sur puce (sans recours à du logiciel) qui se met actuellement en place, c'est qu'elle n'entraîne pas de dégradation de performances. Elle est aussi plus sûre. Les clés de chiffrement sont générées dans le disque, il n'y a donc pas de clés à perdre puisque celles-ci ne quittent jamais le système.

Le périphérique qui intègre son système de cryptage protège lui-même ses données, avec des clés AES 128 bits ou 256 bits stockées dans le disque. « Techniquement, il s'agit d'un périphérique auto-protégé », explique Robert Thibadeau, vice-président senior et directeur technique de Wave Systems, qui représente également le Trusted Computing Group, ce dernier supervisant les spécifications techniques pour ces disques. Il y a la clé qui chiffre les données et la clé d'authentification utilisée pour déverrouiller le disque et déchiffrer. On crée le mot de passe et, par la suite, la seule façon de revenir sur le disque et vers les données qui s'y trouvent, c'est d'utiliser le (ou les) mot(s) de passe mis en fonction.

Samsung présente des modèles de 1 à 2 To sur le CES

Lorsqu'on parle de chiffrement complet d'un disque (« full-disk encryption »), il peut s'agir de codage logiciel ou matériel, tandis que les disques « self-encrypted » se bornent à un chiffrement matériel. Microsoft utilise le terme « full-disk encryption », mais cela peut porter à confusion avec le codage logiciel réalisé avec une fonctionnalité comme Bitlocker (inclus dans certaines versions de Windows Vista et Windows 7).

Au départ, il y avait un surcoût, mais désormais, il n'y en a moins ou plus du tout. Tous les fabricants de disques produisent des modèles intégrant du chiffrement. « Dans quelques années, prévoit Robert Thibadeau, on achètera ce type de disques sans s'en préoccuper car ils se seront largement répandus », rapportent nos confrères de PC World. « Le cryptage s'effectue, tout simplement, sans qu'il faille intervenir ».

Samsung vient de lancer au CES de Las Vegas sa série de disques durs externes USB 3.0 à chiffrement intégré. Celle-ci inclut trois modèles, offrant des capacités de 1 To, 1,5 To et 2 To. Ils sont livrés avec le logiciel d'auto-sauvegarde de Samsung, ainsi que les fonctions SecretZone, pour créer un disque virtuel sécurisé, et SafetyKey pour mettre en place des mots de passe et la sauvegarde des données encodées. Ces produits seront livrés en avril. Les prix ne sont pas encore connus.

Illustration : Disques durs externes annoncés par Samsung sur le CES 2011 (crédit : Samsung)

(...)

(05/01/2011 14:00:49)

Microsoft confirme un nouveau bug zero-day dans Windows

Evoquée une première fois le 15 décembre lors d'une conférence sur la sécurité qui s'est tenue en Corée du Sud, la faille a suscité davantage d'attention mardi, quand la boîte à outils Open Source Metasploit servant à faciliter les tests d'intrusion a livré un exploit conçu par le chercheur Joshua Drake. Selon Metasploit, en cas de succès, des attaques peuvent infecter les ordinateurs victimes, et introduire des logiciels malveillants en vue de piller les machines, soutirer des renseignements ou les enrôler dans un réseau de zombies criminels. La vulnérabilité a été identifiée dans le moteur de rendu graphique de Windows, et notamment dans la façon dont il gère les vignettes des dossiers. En particulier, celle-ci peut être activée quand l'utilisateur consulte avec le gestionnaire de fichiers de Windows un dossier contenant une vignette détournée, ou lorsqu'il ouvre ou visualise certains documents Office. Microsoft, qui a reconnu le bug dans un avis de sécurité, précise que seuls Windows XP, Vista, Server 2003 et Server 2008 sont concernés par cette vulnérabilité, mais pas les derniers systèmes d'exploitation Windows 7 et Server 2008 R2.

« Les attaquants pourraient transmettre aux utilisateurs des documents PowerPoint ou Word malveillants contenant une vignette infectée, qui, s'ils sont ouverts ou même simplement prévisualisés, donneraient un accès pour exploiter leur PC, » a déclaré Microsoft. Selon le scénario, les pirates peuvent détourner les PC s'ils réussissent à pousser les utilisateurs à afficher une vignette infectée sur un dossier ou un disque partagé en réseau, ou encore via un système de partage de fichiers en ligne WebDAV. « Cette vulnérabilité permet l'exécution de code à distance. Un attaquant qui parviendrait à l'exploiter pourrait prendre le contrôle total du système infecté, » indique le document de sécurité de Microsoft. « Pour exploiter la vulnérabilité, dans la table des couleurs du fichier image, le nombre des index de couleur est changé en un nombre négatif, » a expliqué Johannes Ullrich, directeur de recherche à l'Institut SANS.

Une solution attentiste de la part de Microsoft

En attendant la publication d'un correctif, l'éditeur recommande une solution de contournement temporaire pour protéger les PC contre des attaques éventuelles. Elle consiste à ajouter plus de restrictions au fichier « shimgvw.dll », le composant qui gère la prévisualisation des images dans Windows mais oblige les utilisateurs à saisir une chaîne de caractères lors d'une invite de commande. Cela signifie également que « les fichiers multimédia habituellement gérés par le moteur de rendu graphique ne seront pas affichés correctement, » comme l'indique la firme de Redmond.

« Alors que Microsoft déclare ne pas savoir si des attaques actives sont menées pour profiter de cette faille, voilà un bug de plus à ajouter à une liste croissante de vulnérabilités non corrigées, » a déclaré Andrew Storms, directeur de la sécurité chez nCircle Security. « Il y a déjà cet énorme bug « zero-day » d'Internet Explorer » plus ce bug dans WMI Active X au sujet duquel Secunia a publié un avertissement le 22 décembre. Et maintenant ce bug dans la gestion des images. Voilà une année qui commence bien pour Microsoft... » a t-il commenté. Il y a deux semaines, Microsoft confirmait en effet un bug critique dans IE. Et dimanche dernier, Michal Zalewski ingénieur chargé de la sécurité chez Google disait avoir la preuve que des pirates chinois s'attaquaient à une autre faille dans le même navigateur. «  Microsoft vient de clôturer l'année avec son plus grand correctif, et 2011 ne s'annonce pas meilleure,» a dit Andrew Storms. En 2010, l'éditeur a atteint le record de 106 bulletins de sécurité pour corriger un nombre record de 266 vulnérabilités. Le prochain Tuesday Patch régulier est prévu pour le 11 janvier. Si l'entreprise maintient son rythme normal de développement et de tests, il est fort peu probable qu'elle émette un correctif cette semaine.

 

Crédit Photo: Metasploit

(...)

< Les 10 documents précédentsLes 10 documents suivants >