du 08 novembre 2018
Date

Choisir une autre édition

Faille 0-day pour VirtualBox, exploitable sur tous les systèmes

Un chercheur en sécurité russe, Sergey Zelenyuk, vient de publier les détails et une méthode d’exploitation d’une faille de sécurité dans le client de virtualisation VirtualBox, qui prépare actuellement sa version 6.0.

La vulnérabilité existe jusque dans l’actuelle révision stable et a pu être exploitée avec succès sur les versions 16.04 et 18.04 d’Ubuntu. Elle peut en théorie être exploitée partout puisqu’elle réside dans une partie du code commune à toutes les plateformes, VirtualBox fonctionnant sous Linux, macOS, Windows et autres.

Une fois exploitée, la faille permet au pirate de s’échapper de la machine virtuelle et d’accéder au Ring 3 du système hôte, autrement dit l’espace applicatif, celui ayant le moins de privilèges. Il faut donc que la brèche soit couplée avec une ou plusieurs autres pour provoquer une escalade qui permettra l’obtention de droits supplémentaires.

Sergey Zelenyuk n’a pas choisi de fournir les détails à Oracle de manière discrète. Sa publication s’adresse à tous, de même que sa méthode d’exploitation.

Dans son billet de blog, il explique les raisons de son geste : les déclarations de bugs à Oracle lui ont laissé un goût amer. L’éditeur a par exemple mis 6 mois à corriger une vulnérabilité qu’il lui avait signalée, de manière silencieuse et via un bug bounty fonctionnant a priori bien mal.

Oracle n’a donc pas le choix, la faille doit être corrigée rapidement puisque rendue publique. Toute vulnérabilité permettant de s’échapper d’une sandbox est toujours considéré comme très sérieuse.

chargement Chargement des commentaires...

À découvrir dans #LeBrief
Copié dans le presse-papier !

En juin dernier, France Télévisions s'associait à M6 et TF1 pour lancer une plateforme commune de vidéos par abonnement. Une initiative qui avait été saluée par le CSA.

Aujourd'hui, l'Autorité de la concurrence annonce qu'elle va procéder à l'examen de Salto, en rappelant que la plateforme « a vocation à proposer les chaînes de la TNT en clair (flux en direct et télévision de rattrapage) ainsi qu'une offre de services de vidéos à la demande ».

L'ADLC explique que « la Commission européenne a considéré que l'Autorité française était la mieux placée pour étudier cette opération de concentration, au regard notamment de l'impact de cette opération sur le marché national et de l'expérience de l'Autorité dans ce secteur ».

Cette opération de renvoi entre la CE et l'ADLC arrive plusieurs fois par an et n'est pas surprenante. Depuis 2009, 28 opérations ont ainsi été transmises à l'Autorité de la concurrence.

Copié dans le presse-papier !

Depuis des mois, les deux sociétés travaillent main dans la main. La répartition des rôles devrait être la suivante : Ikea s'occupe du design et de la conception, Sonos apporte la partie logicielle.

La présentation officielle est programmée pour le 9 avril à Milan, mais le Suédois profite d'avoir gagné un Red Dot Awards 2019 pour publier deux photos d'une enceinte Wi-Fi Symfonisk (il pourrait y en avoir d'autres).

Elle peut se poser sur un meuble, mais aussi faire office de petite étagère ou de table de chevet suspendue. Nous n'avons par contre toujours aucun prix, alors que la commercialisation devrait arriver au mois d'août.

Copié dans le presse-papier !

Cette opération avait été annoncée lors de la publication de son bilan annuel. Elle est « proposée à environ 8 100 salariés du Groupe en France et en Italie, vise à associer les collaborateurs aux objectifs stratégiques et au développement d'Iliad ».

Le prix de souscription sera fixé le 21 mai 2019 et « égal au prix de référence diminué d'une décote de 20 % ». La période de réservation est ouverte depuis aujourd'hui et jusqu'au 16 avril 2019, tandis que « le règlement-livraison des actions nouvelles à émettre devrait intervenir le 18 juin 2019 ».

Tous les détails sont disponibles par ici.

Copié dans le presse-papier !

Alors que Samsung a donné rendez-vous le 10 avril pour présenter ses smartphones dans la famille Galaxy A, le fabricant n'a visiblement pas souhaité attendre pour dévoiler son A70.

Il intègre un écran Super AMOLED de 6,7" (2 400 x 1 080 pixels) avec une encoche en forme de goutte d'eau et un lecteur d'empreinte sous la dalle. Il est animé par un SoC à huit coeurs (référence non précisée) avec 6/8 Go de mémoire vive et jusqu'à 128 Go de stockage, extensibles via un lecteur de cartes microSD.

En plus d'un capteur optique de 32 Mpixels en façade, trois caméras sont présentes à l'arrière : 32 Mpixels pour le capteur principal, 8 Mpixels pour le grand-angle et 5 Mpixels pour mesurer la profondeur.

Une batterie de 4 500 mAh et un chargeur rapide de 25 watts complètent l'ensemble. Bien évidemment, Android 9.0 Pie est aux commandes. Pas un mot par contre sur le prix ou la disponibilité, le fabricant donne rendez-vous le 10 avril pour la suite.

Copié dans le presse-papier !

Ce téléphone pliable avait été présenté durant la conférence de Samsung juste avant l'ouverture du MWC de Barcelone.

Il dispose pour rappel d'un écran principal pliable de 7,3" et d'un secondaire de 4,6" utilisable lorsque le premier est plié en deux. Le constructeur donne aujourd'hui de plus amples informations sur sa commercialisation en France et en Europe.

Les préinscriptions sont ainsi ouvertes afin d'être tenu informé. Les précommandes seront lancées le 26 avril, quelques jours avant la commercialisation prévue pour le 3 mai dans 15 pays européens, dont la France.

Samsung précise que le tarif de son Galaxy Fold débutera à 2 000 euros. Il sera livré avec des écouteurs Galaxy Buds, un étui de protection en kevlar et une garantie d'un an à Samsung Care+.