du 08 novembre 2018
Date

Choisir une autre édition

Faille 0-day pour VirtualBox, exploitable sur tous les systèmes

Un chercheur en sécurité russe, Sergey Zelenyuk, vient de publier les détails et une méthode d’exploitation d’une faille de sécurité dans le client de virtualisation VirtualBox, qui prépare actuellement sa version 6.0.

La vulnérabilité existe jusque dans l’actuelle révision stable et a pu être exploitée avec succès sur les versions 16.04 et 18.04 d’Ubuntu. Elle peut en théorie être exploitée partout puisqu’elle réside dans une partie du code commune à toutes les plateformes, VirtualBox fonctionnant sous Linux, macOS, Windows et autres.

Une fois exploitée, la faille permet au pirate de s’échapper de la machine virtuelle et d’accéder au Ring 3 du système hôte, autrement dit l’espace applicatif, celui ayant le moins de privilèges. Il faut donc que la brèche soit couplée avec une ou plusieurs autres pour provoquer une escalade qui permettra l’obtention de droits supplémentaires.

Sergey Zelenyuk n’a pas choisi de fournir les détails à Oracle de manière discrète. Sa publication s’adresse à tous, de même que sa méthode d’exploitation.

Dans son billet de blog, il explique les raisons de son geste : les déclarations de bugs à Oracle lui ont laissé un goût amer. L’éditeur a par exemple mis 6 mois à corriger une vulnérabilité qu’il lui avait signalée, de manière silencieuse et via un bug bounty fonctionnant a priori bien mal.

Oracle n’a donc pas le choix, la faille doit être corrigée rapidement puisque rendue publique. Toute vulnérabilité permettant de s’échapper d’une sandbox est toujours considéré comme très sérieuse.

chargement Chargement des commentaires...

À découvrir dans #LeBrief
Copié dans le presse-papier !

« RT est financée entièrement ou partiellement par le gouvernement russe ». Cette petite mention en bas de toutes les vidéos de Russian Today France sur YouTube a provoqué une certaine colère de la chaîne. Non qu’elle conteste ce financement mais parce que France 24 par exemple est qualifiée de « chaîne de service publique ». Or, elle est financée par la France (via la contribution à l’audiovisuel public et une subvention).

Pour Xenia Fedorova, la présidente de RT France, « nous sommes plus préoccupés par le deux poids, deux mesures qu'induit cette procédure. Nous avons constaté une inéquité dans l'application de ces bandeaux. Certains médias étant ainsi labellisés, tandis que d'autres, avec le même mode de financement, ne le sont pas. De plus, même parmi ceux qui sont labellisés, une hiérarchie persiste ».

Copié dans le presse-papier !

Les policiers de l’Essonne ont procédé la semaine dernière à plusieurs contrôles routiers par l’intermédiaire d’un drone. Le principe de cette expérimentation (qui n’est pas la première du genre) : un agent surveille les images retransmises en direct par l’appareil, et peut ainsi ordonner à des collègues d’intercepter un véhicule en infraction.

Plusieurs confrères, dont Le Parisien et France Info, ont pu assister à cette opération menée sur une bretelle de l'autoroute A126, considérée comme particulièrement accidentogène. Les forces de l’ordre se sont toutefois focalisées sur un type d’infraction : le franchissement de ligne continue (infraction passible d’un retrait de trois points du permis de conduire et de 135 euros d’amende). Plus d’une soixantaine de motards ont été verbalisés en deux heures.

« C'est un amplificateur pour les yeux de l'agent verbalisateur. On peut voir à plusieurs centaines de mètres, voire un kilomètre ou deux. En plus, à titre pédagogique, on peut faire voir au contrevenant les images pour faire taire toute contestation », a expliqué Jean-Marc Ruiz, commandant de la CRS autoroutière, à Europe 1.

Copié dans le presse-papier !

« Effectivement, il va y avoir un recours », nous confirme le Conseil de l’Ordre des médecins ce jour. Celui-ci va attaquer devant le Conseil d’État le décret autorisant la mise en relation des fichiers de suivi des personnes en soins psychiatriques sans consentement (HOPSYWEB) et de signalements pour la prévention de la radicalisation à caractère terroriste (FSPRT).

Ce recours sera effectué à titre conservatoire d’abord, afin de préparer la suite du contentieux avec des arguments axés sur la protection des droits et libertés.

Ce croisement de fichiers avait tout autant subi les critiques de la CNIL qui rappelait combien est sensible la question du secret médical, pas seulement sur l’autel du règlement général sur la protection des données personnelles.

L’extension d’Hopsyweb à la lutte contre la radicalisation à caractère terroriste et la transmission des données médicales au Ministère de l’Intérieur avait eu également les honneurs du Syndicat des avocats de France : elle « implique que chaque personne hospitalisée sans son consentement, pour des raisons qui n’ont rien à voir avec le terrorisme, se retrouve suspecte et potentiellement soumise à un principe de précaution à long terme au risque d’être suivi médicalement sans limite liée à la nécessité des soins ».

Plusieurs syndicats et associations du secteur médical ont aussi démultipliés les reproches. Cette interconnexion « constitue une étape supplémentaire inacceptable et scandaleuse au fichage des personnes les plus vulnérables touchées par la maladie mentale dans notre pays, dans un amalgame indigne entre le champ sanitaire et celui de prévention de la radicalisation ». Ils signalaient le précédent « SI-VIC » (système d’information pour le suivi des victimes) soit le fichage des gilets jaunes, admis aux urgences lors des mouvements sociaux.

Copié dans le presse-papier !

Encore loupé. Les amendements visant à ce que les logiciels libres soient utilisés « en priorité » au sein des écoles et collèges n’ont pas été adoptés par le Sénat. Ils n’ont même pas été débattus, puisque les services de la Haute assemblée les ont jugé irrecevables, car dépourvus de lien direct avec le projet de loi « pour une école de la confiance » porté par le gouvernement.

Copié dans le presse-papier !

C'est une mauvaise nouvelle de plus, mais finalement pas si surprenante étant donnée la propension du fabricant à brûler du cash.

Les 2,7 milliards de dollars levés récemment, ne donneraient à Tesla que 10 mois pour atteindre l'équilibre si les dépenses suivent le rythme du premier trimestre, c'est du moins ce qu'affirme son dirigeant dans un courrier interne consulté par Reuters.

« C’est la raison pour laquelle, à l’avenir, toute dépense quelle qu’elle soit dans le monde, notamment les pièces détachées, les salaires, les frais de déplacement, le loyer, littéralement tout paiement qui sort de notre compte bancaire doit [être] examiné », explique-t-il.

Nos confrères rappellent qu'en avril 2018 déjà, Elon Musk avait demandé à sa direction de « passer au crible toutes les dépenses effectuées dans le monde ». Le constructeur avait ensuite réduit ses effectifs de 9 % en juin dernier et de 7 % en janvier.

En mars, Elon Musk annonçait la fermeture des boutiques physiques en affirmant qu'il n'y avait « pas d'autre moyen de réaliser les économies nécessaire à la production de cette voiture [la Model 3, ndlr] tout en restant rentable ». Finalement, une alternative était trouvée quelques jours plus tard : augmenter les tarifs de 3 % pour garder environ 50 % des magasins.