du 20 février 2019
Date

Choisir une autre édition

Une attaque de type Cross-site request forgery, ou « injections de requêtes illégitimes par rebond » (lire les explications du CERT-FR) permettait de publier un article sur le mur de l'utilisateur ou supprimer sa photo de profil, simplement avec un lien piégé.

Avec deux liens, il était même possible de changer l'email et le numéro de téléphone de la victime, comme l'explique The Hacker News. Dans tous les cas, le lien devait être de la forme : https://www.facebook.com/comet/dialog_DONOTUSE/?url=XXXX

Facebook a été prévenu le 26 janvier et la faille corrigée le 31 janvier. Le 12 février, le chercheur a obtenu 25 000 dollars de récompense de la part du réseau social et il a publié son billet de blog.

Facebook colmate une faille qui permettait de prendre le contrôle d'un compte via un simple lien
chargement Chargement des commentaires...

À découvrir dans #LeBrief
Copié dans le presse-papier !

Dans l’actuelle branche de développement menant à la mise à jour semestrielle du printemps 2020, Microsoft a ajouté le support des caméras IP, qui faisait cruellement défaut jusqu’ici.

À compter de la préversion 18995, les utilisateurs ayant ce type d’équipement peuvent les ajouter via l'assistant Nouveau périphérique s’ils sont compatibles avec le Profil S défini par l’ONVIF. Selon Microsoft, plus de 12 000 modèles de caméras sont concernés.

La prise en charge permet la consultation du flux vidéo et son intégration dans n’importe quelle application s’appuyant sur les API de Windows pour la gestion des webcams. Microsoft promet de « hautes performances » et la compatibilité avec les architectures x86, x64, ARM et ARM64.

Copié dans le presse-papier !

Il y a une semaine, Free ajoutait les VM à sa Freebox Delta. Le FAI propose désormais une mise à jour avec une amélioration et six correctifs.

Dans le premier cas, il est question de l'« ajout d’un réglage pour la qualité des enregistrements de la caméra » dans Maison connectée.

Pour le reste, le nombre maximum de cœurs virtuels pour l'ensemble des VM passe de trois à deux « pour éviter certains plantages très rares ». Ce n'est pas tout : « suite à l’ajout d’un bail statique, l’IP affichée pour la VM est maintenant correcte » et « les VMs ne sont pas relancées automatiquement suite à un démarrage secours ».

Sur Maison connectée, trois correctifs également : une anomalie sur la gestion des emplacements des vidéos, une autre empêchant la lecture des vidéos dans certains cas et enfin une dernière sur la tonalité et la puissance des bips de l’alarme.

Comme toujours, il suffit de redémarrer la box pour en profiter.

Copié dans le presse-papier !

À travers deux billets de blog, Mozilla retrace certains développements récents ou en cours pour son navigateur.

Dans le premier, l’éditeur explique comment des pans de code ont été réécrit pour renforcer Firefox contre les injections de code, particulièrement dans les pages internes du type about:config.

Une bonne partie du travail a manifestement consisté à faire du ménage, pour supprimer toute ligne de code n’étant pas strictement nécessaire, afin de réduire la surface d’attaque. Sont notamment cités les scripts intégrés et les fonctions de type eval().

Autre création récente et prévue pour Firefox 70 (attendu pour le 22 octobre), le WebSocket Inspector. Selon Mozilla, cette fonction a été longuement réclamée par les développeurs, qui peuvent l’essayer via la Developer Edition, basée sur la branche Nightly.

L’Inspector se trouve dans le panneau Réseau des DevTools. Il permet de surveiller les transferts de données via WebSocket et est pour l’instant compatible avec les bibliothèques Socket.IO et SockJS, en plus de pouvoir travailler directement avec l’API WebSocket si besoin. D’autres seront prises en charge à l’avenir.

Copié dans le presse-papier !

« Concernant les messages des dirigeants mondiaux sur Twitter, nous reconnaissons qu’il s’agit en grande partie d’un terrain nouveau et sans précédent », explique le réseau social dans un nouveau billet de blog

Il fait suite à un autre en juin dernier, expliquant qu'un nouvel « Avis » était en préparation pour les tweets de politiciens abusant des règles. La société l'affirme désormais : « les comptes des dirigeants mondiaux ne sont pas totalement au-dessus de nos règles »… un peu, mais pas trop donc.

Dans certains cas, même les tweets des politiciens seront supprimés : promotion du terrorisme, menaces et/ou violence envers une personne, publication de données personnelles, promotion de l'automutilation, exploitation sexuelle d'enfants, publication ou partage de photos/vidéos intimes sans autorisations.

Ce n'est pas tout. Il ne sera pas possible d'aimer, répondre, partager ou retweeter un message placé derrière un « Avis » car jugé d'intérêt public par Twitter, même s'il est « controversé » ou « pourrait contrevenir aux conditions d'utilisations ».

Copié dans le presse-papier !

Encore une mise à jour pour les deux systèmes mobiles, la quatrième déjà depuis la sortie d’iOS 13 (voir notre dossier). Comme on s’en doute avec le numéro de version, il s’agit uniquement de corrections de bugs.

Parmi les problèmes résolus, on note un téléphone qui pouvait ne pas sonner ou vibrer lors de la réception d’un appel, des invitations à des réunions qui pouvaient ne pas s’ouvrir, des données de Santé qui n’affichaient parfois pas après un changement d’heure, le blocage du téléchargement d’applications après une restauration iCloud ou encore des déconnexions Bluetooth avec certains véhicules.

Comme d’habitude, la mise à jour se récupère depuis Réglages > Général > Mise à jour logicielle. À titre indicatif, le téléchargement pèse une centaine de Mo sur un iPhone XS.