du 17 avril 2019
Date

Choisir une autre édition

Nouvelle version pour le navigateur sur la plateforme mobile d’Apple, avec quelques améliorations pratiques au quotidien.

On note par exemple un accès simplifié aux identifiants et mots de passe enregistrés, accessibles désormais directement depuis le menu général, juste sous la ligne dédiée à la synchronisation. Le même lien donnera accès aux options de protection, comme le mot de passe ou la biométrie.

L’écran d’accueil se dote également de quelques raccourcis pratiques : marque-pages, historique, liste de lecture et téléchargements.

La suppression des données récentes est également simplifiée, depuis le menu général comme l’écran d’accueil. En appuyant sur Historique, on peut voir en haut de l’écran une ligne « Supprimer l’historique récent… ». En le sélectionnant, Firefox propose de faire le ménage sur la dernière heure, aujourd’hui ou depuis la veille. Historique, cookies et données seront supprimés.

Cette version 16.0 de Firefox est en fait en déploiement depuis plusieurs jours déjà, bien que Mozilla n’en parle que depuis hier soir.

Firefox pour iOS simplifie l'accès aux identifiants et à la suppression des données
chargement Chargement des commentaires...

À découvrir dans #LeBrief
Copié dans le presse-papier !

En avril, une brèche permettant d'exécuter du code à distance était identifiée et corrigée. Aujourd'hui, rebelote avec la vulnérabilité CVE-2019-12280 qui concerne le composant PC Doctor de l'application.

SafeBreach explique que SupportAssist ne vérifie pas suffisamment les DLL qu'elle charge lors de son lancement. Il est ainsi possible de la remplacer par une personnalisée (et non signée), qui sera chargée avec des privilèges de niveau « system ».

Les versions grand public 3.2.1 et antérieures sont concernées, ainsi que les 2.0 et antérieures pour celle dédiée aux professionnels.

Dell donne des explications sur la marche à suivre pour la mettre à jour et les liens pour les téléchargements par ici.

Copié dans le presse-papier !

Cette brèche a été dévoilée par The Wire Cutter. Le cœur du problème réside dans la fonctionnalité Works with Nest qui permet aux applications tierces de se connecter à la caméra.

Lors d'une remise à zéro, ces liens n'étaient pas réinitialisés. Résultats, l'ancien propriétaire d'une caméra Nest pouvait voir les images provenant du nouveau propriétaire en passant par une application tierce auparavant autorisée.

Google indique avoir déployé automatiquement un correctif. Nos confrères confirment qu'il fonctionne correctement.

Copié dans le presse-papier !

Fondée à l’initiative de Xavier Niel en 2013, l'école 42 s'était déjà internationalisée avec Fremont (dans la Silicon Valley) et des partenariats avec la Belgique, le Maroc, la Finlande, les Pays-Bas et la Russie.

L'école ne compte pas en rester là et annonce 11 nouveaux campus d'ici 2020 : Angoulême en France, Rio et São Paulo au Brésil, Jakarta en Indonésie, Yerevan en Arménie, Tokyo au Japon, Bogota en Colombie, Madrid en Espagne, Québec au Canada et deux School 21 en Russie (Novossibirsk et Kazan).

Copié dans le presse-papier !

Mozilla avertit à nouveau ses utilisateurs qu’une autre faille critique 0-day doit être corrigée au plus vite. Toutes les branches supportées ont été mises à jour et il est recommandé de vérifier dans l’à propos et de redémarrer le navigateur si ce n’est pas encore fait.

La deuxième faille (CVE-2019-11708) a été trouvée quand l’éditeur a été informé que des attaques étaient en cours autour de la première faille signalée la semaine dernière, notamment contre Coinbase.

Elle permet de s’échapper de la sandbox, la zone du navigateur dans lequel un code est en temps normal contraint de résider, sans impact sur le reste du système. Utilisées en conjonction, les brèches permettaient l’exécution d’un code arbitraire sur n’importe quelle configuration (Linux, macOS, Windows…) en amenant simplement l’internaute sur un site malveillant.

Les nouvelles moutures corrigées sont donc la 67.0.4 pour la branche classique et la 60.7.2 pour la branche ESR (support long). Comme la semaine dernière, Tor Browser a lui aussi reçu le correctif, dans sa nouvelle version 8.5.3.

Notez que ce bug concerne également Thunderbird, qui passe lui aussi en version 60.7.2 (il se base sur le code de la branche ESR de Firefox).

Copié dans le presse-papier !

VideoLAN a publié un bulletin de sécurité pour des failles dans VLC 3.0.6 et versions antérieures. Il est indiqué qu'un « utilisateur distant peut créer des fichiers avi ou mkv spécialement conçus qui, lorsqu'ils sont chargés par l'utilisateur cible, vont provoquer un débordement de la mémoire tampon ».

Leur exploitation nécessite qu'un utilisateur « ouvre explicitement un fichier ou un flux spécialement conçu ». Dans la première version du bulletin, il était indiqué qu' « ASLR et DEP aident à réduire les risques, mais peuvent être contournés », mention qui a disparu. 

Le bulletin affirme que VLC 3.0.7 corrige ces failles, mais ce n'est pas tout. Lors de la mise à jour, une précision a été ajoutée : « Cette version corrige également un problème de sécurité important pouvant entraîner l'exécution de code lors de la lecture d'un fichier AAC ».

Il est, comme toujours, recommandé de mettre à jour le lecteur multimédia avec la dernière version disponible, la 3.0.7 en l'occurrence. Pour rappel, celle-ci corrige pas moins de 33 failles