Flux RSS
Intrusion / hacking / pare-feu
718 documents trouvés, affichage des résultats 661 à 670.
| < Les 10 documents précédents | Les 10 documents suivants > |
(26/02/2007 17:04:32)
Davantage d'attaques contre les navigateurs Web en 2007
Quoi qu'on fasse, les navigateurs Web seront de plus en plus vulnérables aux attaques. C'est ce que pense Window Snyder, responsable de la sécurité chez Mozilla. La fondation vient de corriger son navigateur Firefox dans lequel plusieurs failles de sécurité avaient été décelées par un chercheur. Ce dernier avait rendu public sa découverte avant d'en avertir la fondation Mozilla. Ce que celle-ci a très mal pris. C'est ce qui explique sa réaction quelque peu polémique : « Les attaques changent constamment et chaque développeur de logiciel essaye de les détecter avant qu'elles ne se produisent. Il n'y a rien de neuf là-dedans et nous avons toujours considéré la sécurité comme une priorité ». Pour limiter les risques à l'avenir, Mozilla a lancé son programme Gran Paradiso. Il s'agit de mettre en place dans la version 3 de Firefox, qui sortira au cours du second semestre, une série d'outils de sécurité supplémentaires. Plusieurs chercheurs estiment que les attaques vont augmenter en nombre et en puissance en 2007. (...)
(21/02/2007 17:49:32)Un bogue retarde la prochaine mise à jour de Firefox
Les tests d'une faille découverte dans Firefox ont poussé Mozilla à décaler d'une journée la publication d'une mise à jour de sécurité du navigateur. La faille découverte le 14 février et publiée sur la mailing-list du Full Disclosure autoriserait un site malintentionné à manipuler les cookies d'authentification fournis par d'autres sites. Selon le site, le bogue, classé "moderately critical " par le Danois Secunia, aurait été testé dans la version 2.0.0.1 du navigateur Open Source, mais "serait présent au sein de toutes les versions récentes" de Firefox. Si la rustine était fin prête le jour suivant la découverte du bogue, son intégration dans les mises à jour nécessitait plus de travail. La sortie a été fixée au 22 février, indiquent les forums de Mozilla. (...)
(07/02/2007 17:13:54)Deux serveurs racines cibles d'une attaque
Une attaque ciblée de type Déni de Service (DoS) aurait atteint deux des treize serveurs racines censés assurer le trafic et le bon fonctionnement technique d'Internet, ce mardi 6 février. L'agression, la plus violente depuis 2002 selon les autorités, aurait été enregistrée dès 5h30 (heure de la côte est des Etats-Unis) et aurait perturbé le fonctionnement de deux serveurs racines jusqu'à 10h30 (toujours heure locale). Heure à laquelle les équipes techniques réussirent à filtrer le trafic pour un retour progressif à la normale. Confirmée par l'Icann (Internet Corporation for Assigned Names and Numbers) et le ministère américain de la Défense, aucune incidence n'aurait été répercutée sur les internautes. « Deux serveurs ont été touchés, mais ne sont pas complètement tombés. D'autres [parmi les treize, ndrl] ont également enregistré une forte hausse de trafic », a déclaré John Crain, directeur technique de l'Icann. Les attaquants, probablement d'origine coréenne, auraient submergé les serveurs de requêtes dans le but de les planter. Les raisons de leur acte restent toujours indéfinies. (...)
(21/12/2006 12:05:21)Mozilla comble 8 failles de Firefox 2
Mozilla a publié mercredi 20 décembre 8 rustines pour son navigateur Internet Firefox 2.0, sortie en octobre. Parmi les 8 patches (répertoriés dans la mise à jour 2.0.0.1), 5 sont classés 'Highly Critical" par l'éditeur. Une alerte qui, selon l'expert en sécurité Secunia, doit être prise au sérieux. Mozilla encourage les utilisateurs à appliquer rapidement les rustines. Selon Mozilla, les cinq rustines comblent des trous dans le module SVG, dans l'exécution du code Javascript et CSS, ainsi que dans la façon dont le navigateur interprète le RSS. Deux autres rustines sont répertoriées "high" et une autre représenterait peu de risques ("low"). Notons que Mozilla a également publié une mise à jour 1.5.0.9 qui comble les mêmes failles, mais pour les versions 1.5 du navigateur. (...)
(20/12/2006 17:42:14)Deux chercheurs veulent publier une faille Apple par jour en janvier
Publier une faille de sécurité dans un produit signé Apple, par jour, pendant un mois. Tel est l'objectif que se sont fixé le chercheur indépendant en sécurité informatique Kevin Finisterre et le hacker surnommé LMH. Tous deux prévoient d'identifier une faille par jour pendant tout le mois de janvier, pour les logiciels Apple, y compris ceux conçus pour fonctionner sous Windows XP. Dans un entretien par courriel accordé à IDG News Service, LMH a en outre précisé son intention de diffuser un exploit pour chaque faille trouvée, quel que soit le niveau de risque qu'elle représente. LMH est à l'origine de l'initiative « Month of Kernel Bugs », littéralement « le mois des failles de noyaux », qui a mis en lumière quelque trente failles de sécurité dans divers systèmes d'exploitation au mois de novembre dernier. Interrogé par IDG News Service, Anuj Nayar, porte-parole d'Apple, n'a pas manifesté d'animosité à l'égard de l'initiative de LMH et de Kevin Finisterre : « nous apprécions toujours de recevoir des informations sur la manière d'améliorer la sécurité sur Mac. » (...)
(18/12/2006 16:54:32)Un troisième trou dans Word
Un groupe de hackers a publié la semaine dernière sur le site Milw0rl.com un troisième exploit visant le traitement de texte de Microsoft, Word. La même semaine, deux autres bogues avaient été révélés aux yeux des pirates, leur laissant ainsi le champ libre de l'exploit. Les trois failles, pour l'heure non patchées, permettent aux attaquants d'expédier en pièce jointe un fichier Word contenant du code malicieux, autorisant l'ouverture d'application sur le poste de travail cible. Les versions commercialisées entre 2000 et 2006 renferment les failles. Microsoft précise que Word 2007, dernière mouture de l'application tout juste livrée aux entreprises, n'est quant à elle pas touchée. L'éditeur vient de publier la fournée mensuelle de rustines le mardi 12 décembre, fidèle à son désormais sacro-saint 'Patch Tuesday', le deuxième mardi de chaque mois. Et reste incertain quant à la publication d'une rustine censée combler les trois vulnérabilités. (...)
(11/12/2006 17:41:36)Un projet pour détecter les failles dans les applications Java
Fortify Software et le projet FindBugs viennent de lancer un service gratuit permettant d'analyser le code Java d'une application pour localiser d'éventuelles failles. Le projet Java Open Review (JOR) permet aux développeurs d'analyser leur code en utilisant l'outil FindBug de l'université du Maryland et les outils de Fortify. Les outils d'analyse de code de Fortify permettent de détecter environ 120 types de problèmes de sécurité, mais la version en ligne sur le site JOR n'en recense qu'une quarantaine, parmi les plus courantes. Le site est ouvert à tous les développeurs d'applications Java libres désireux d'utiliser ses services. (...)
(11/12/2006 14:26:30)La tension monte entre Oracle et les chasseurs de bugs
Oracle ne goûte guère le travail effectué par les indépendants à la recherche des failles dans ses produits. Les tensions entre l'éditeur et les chasseurs de bugs croissent depuis plusieurs semaines et opposent deux visions : d'un côté, celle d'Oracle, qui reproche aux "bug hunters" leur incursion sur un terrain qui ne devrait pas être le leur ; de l'autre, celle des indépendants, qui pointent du doigt les pratiques d'Oracle en matière de sécurité. Le 27 novembre, Eric Maurice, un des responsables de la sécurité d'Oracle, indiquait ainsi que son groupe attachait la plus grande attention au traitement des vulnérabilités mais qu'il s'arrogeait le soin de les traiter dans l'ordre qu'il jugeait le plus opportun. Selon Eric Maurice, peu importe l'auteur de la découverte de la faille, seul compte le risque qu'elle fait courir. Dans le même esprit, il s'en est pris aux spécialistes en sécurité mettant à jour les failles dites zero-day avant même que les éditeurs ne publient leurs rustines : "de telles pratiques sont irresponsables et aboutissent à exposer inutilement les utilisateurs à des risques d'attaque". Un avis qui tombe comme une réponse aux nombreuses critiques adressées ces dernières semaines au groupe. C'était notamment le cas avec Next Generation Security Software, une entreprise britannique, qui indiquait récemment que les bases de données Oracle comportent davantage de failles que celles liées à Microsoft SQL Server. De l'autre côté de l'Atlantique, en Argentine, un spécialiste de la sécurité avait annoncé - avant de subitement abandonner son projet - qu'il dévoilerait une faille zero-day par jour en décembre. S'il a tiré un trait sur son projet, il explique néanmoins que les éditeurs, dont Oracle, devraient davantage se focaliser sur un développement "responsable" que de s'attaquer aux "pratiques de révélation des failles". (...)
(23/11/2006 16:26:55)Une faille critique dans Firefox permet le vol de mots de passe
Une faille dans Firefox, cataloguée critique par Mozilla, permettrait à des pirates de récupérer les informations personnelles (identifiant et mot de passe) par le biais de formulaires de publication de contenu en ligne (comme par exemple sur les blogs). Selon Mozilla, le module de gestion de mots de passe intégré au navigateur (Password Manager) serait défaillant et autoriserait le détournement des mots de passe vers un site pirate. Une première attaque exploitant la faille avait été enregistrée chez MySpace fin octobre. Les pirates avaient créé un compte sur le site en utilisant un identifiant login_home_index_htm. Cette page avait alors servi de relais vers un faux formulaire destiné à récupérer les données. "Le problème est que Password Manager n'a pas opéré un contrôle suffisant quand il a décidé d'expédier les données utilisateur, et ainsi ne garantit pas l'acheminement des données au bon serveur", explique Robert Chapin, président de Chapin Information Services, spécialisé dans la sécurité. Mozilla ne précise pas quelles sont les versions de Firefox frappées par le bogue. (...)
| < Les 10 documents précédents | Les 10 documents suivants > |