du 15 avril 2019
Date

Choisir une autre édition

Le chercheur John Page a publié les détails et un prototype d’exploitation d’une vulnérabilité dans Internet Explorer. Une décision prise à la suite d’un refus de Microsoft de s’en occuper diligemment.

La faille est de XXE (XML eXternal Entity) et réside dans la manière dont Internet Explorer prend en charge les fichiers MHT. Ces derniers ont été pour rappel pendant longtemps le format classique d’enregistrement des pages web quand l’utilisateur voulait les enregistrer localement (Ctrl + S).

Bien que tous les navigateurs soient passés au HTML depuis longtemps, les fichiers MHT sont ouverts par défaut via Internet Explorer, même sur les Windows les plus récents.

Selon Page, ils peuvent donc être utilisés pour exploiter la faille dans Internet Explorer, exploitable de manière qu’aucune interaction de l’utilisateur soit requise. Le pirate serait alors en mesure de dérober des données locales.

Qu’Internet Explorer ne soit plus utilisé que par 6 ou 7 % des utilisateurs dans le monde n’y change pas grand-chose : le navigateur est installé par défaut et ouvre les fichiers MHT. En théorie, tout ce dont un pirate a besoin est donc d’un double clic sur une archive MHT.

Microsoft n’a pas refusé de corriger le problème, mais a répondu que ce ne serait pas dans l’immédiat. Le problème ne semble pas urgent à l’éditeur. La publication des informations par John Page pourrait donc accélérer le mouvement.

Faille 0 day dans Internet Explorer, les détails déjà disponibles
chargement Chargement des commentaires...

À découvrir dans #LeBrief
Copié dans le presse-papier !

Le New York Stock Exchange (NYSE) a officiellement confirmé une information du Wall Street Journal. L'action sera donc proposée sous le sigle « WORK » avec un prix de référence à 26 dollars lors de l'ouverture, pour une valorisation s'approchant des 15,7 milliards de dollars.

Le NYSE rappelle que « le prix de référence n'est PAS le prix d'introduction. Ce dernier public sera déterminé par les ordres d’achat et de vente collectés par la NYSE auprès de courtiers ».

Copié dans le presse-papier !

Microsoft avait expliqué début avril un important changement dans la manière dont les évolutions majeures de Windows 10 seraient proposées.

En clair, les utilisateurs ont le choix de les installer ou pas, tant que leur version ne s’approche pas trop de la date de fin de support. Chaque branche étant supportée 18 mois (dans la grande majorité des cas), on sait maintenant qu'une fois dans les 6 derniers, l'éditeur s'active un peu plus.

Les versions 1803 et antérieures sont ainsi concernées par une migration automatique vers la très récente May 2019 Update. L’éditeur pointe l’entrainement d’un algorithme, ce qui sous-entend une diffusion progressive.

Il ne faudra donc pas s’étonner si votre machine se lance dans un long processus de mise à jour.

Idéalement, tout se passera bien. Mais l’expérience a montré, particulièrement en 2018, que de nombreux problèmes pouvaient survenir. Dans le cas où l’aventure tournerait mal, prévoyez une sauvegarde de vos données.

Copié dans le presse-papier !

Après le Lenovo Smart Display, le fabricant se prépare à lancer un nouvel appareil avec Google Assistant intégré : le Smart Clock. Il est relativement compact puisqu'il n'intègre qu'un écran de 4" (480 x 800 pixels). Logique, il est pensé pour remplacer un réveil.

Il est dès à présent en précommande chez Boulanger pour 100 euros. Il sera disponible à partir du 1er juillet. Le groupe Fnac Darty devrait aussi le proposer.

Copié dans le presse-papier !

Il s'agit d'un jeu d’aventure en 2D de type « point and click ». Le Commissariat à l'énergie atomique et aux énergies alternatives explique que son titre est « loin d’un traditionnel "serious game" » et qu'il s'agit « avant tout un "vrai" jeu vidéo, au graphisme soigné, avec une histoire interactive et haletante mêlant aventure, science et science-fiction, le tout saupoudré d’une dose d’humour ».

Comptez entre 8 et 12 heures pour terminer le jeu, avec des sauvegardes évidemment. Il est jouable gratuitement, sans inscription ni publicité, depuis un navigateur. « À l’exception de l’illustration et du sound design, le Prisonnier quantique a été entièrement créé et développé en interne (sans recourir à un studio) au sein de l’unité de communication multimédia du CEA, en lien direct avec les chercheurs de l’organisme pour l’élaboration des énigmes scientifiques ».

Contrairement à ce que son titre laisse penser, il ne sera pas uniquement question de physique quantique : physique, chimie, énergie, sciences du vivant, climat, etc. sont au programme. « L’aventure emmène le joueur aux quatre coins du monde : d’une vieille ferme abandonnée, aux laboratoires du CEA, du grand accélérateur du CERN jusqu’à une antique cité souterraine et même au-delà du monde connu ».

Le jeu sera disponible à partir du 5 octobre.

Copié dans le presse-papier !

Selon Nikkei Asian Review repris par Reuters, la marque à la Pomme aurait demandé à ses principaux fournisseurs d'estimer le coût d'une telle restructuration.

Cette annonce intervient alors qu'une guerre commerciale fait ouvertement rage entre les États-Unis et les Chinois. Mais « un accord entre Pékin et Washington ne le conduirait pas à changer de position », précisent nos confrères. Apple jugerait sa dépendance à la Chine déjà trop importante et souhaiterait donc diversifier ses pôles de production.

Selon Nikkei, des pays comme le Mexique, l’Inde, le Vietnam, l’Indonésie et la Malaisie sont envisagés. Pour des analystes repris par Reuters, il s'agit plus d'un coup de poker : Apple ne pourrait pas transférer une si grande partie de sa production aussi rapidement.

De son côté, Foxconn avait déjà anticipé la question en affirmant disposer de ressources suffisantes pour assurer la production des terminaux Apple en dehors de la Chine.