du 23 mai 2019
Date

Choisir une autre édition

Les détails de trois failles 0-day dans Windows publiés sur GitHub

Le mystérieux compte SandboxEscaper sur GitHub a publié récemment les détails de trois failles 0-day dans Windows.

La première a été publiée mardi et est de type escalade de privilèges. Elle réside dans le Windows Task Scheduler et peut permettre à un utilisateur authentifié localement d’obtenir les droits SYSTEM.

La deuxième, également de type escalade, a été publiée hier. Elle se trouve cette fois dans le service Windows Error Reporting. Exploitée, elle pourrait autoriser un utilisateur à modifier des fichiers normalement hors d’atteinte.

La dernière, elle aussi publiée hier, affecte Internet Explorer 11. Elle pourrait permettre à un code JavaScript d’être exploité avec des privilèges plus élevés que ce que ne permet la sandbox.

Ces trois nouvelles failles viennent s’ajouter aux quatre autres dont les détails avaient été publiés au cours de l’année écoulée. Aucune des sept vulnérabilités ne peut être exploitée à distance.

Elles ne sont donc pas critiques, mais restent sérieuses puisqu’un pirate pourrait gagner des droits administrateur depuis un compte classique s’il devait en obtenir un à distance. En outre, ces failles peuvent être éventuellement exploitées en conjonction d’autres brèches pour obtenir cette fois un scénario d’attaque distante.

Microsoft n’a pas encore réagi à ces informations.

chargement Chargement des commentaires...

À découvrir dans #LeBrief
Copié dans le presse-papier !

Gabe Aul était connu par les testeurs de Windows comme le responsable du programme Insider pendant ses premières années.

Il a passé le flambeau à Dona Sarkar il y a trois ans. La nouvelle responsable s’est d’ailleurs montrée encore plus active, avec une communication abondante. Un progrès, car le processus a gagné en transparence depuis.

Aul restait l’un des vice-présidents de Microsoft. Jusqu’à récemment, puisqu’il est désormais… l’un des vice-présidents de Facebook.

Il a indiqué hier dans un tweet débuter son premier jour en tant qu’employé du réseau social. Mais il faut se rendre sur son profil LinkedIn pour voir son nouveau poste. On n’en sait guère plus pour l’instant, le titre de vice-président restant vague.

Copié dans le presse-papier !

Apple est finalement en avance : toutes les bêtas publiques des nouvelles versions majeures sont disponibles pour le grand public.

Les nouveautés sont particulièrement nombreuses dans tous les domaines, comme nous l’avons vu dans nos articles, qu’il s’agisse des appareils mobiles ou des Mac. Le positionnement de l’iPad va ainsi largement évoluer.

Pour rappel, même si tout un chacun peut installer ces bêtas dès lors que l’appareil est compatible, il ne s’agit que des premières. Elle sont basées sur les Developer Preview 2, dont le développement est assez avancé pour tester presque toutes les nouveautés, mais avec des bugs et des incompatibilités.

Selon les applications que vous avez notamment sur votre iPhone ou iPad, vous serez plus ou moins embêté. Le client MEGA (stockage dans le cloud) ne peut par exemple plus se lancer. Si vous utilisez souvent la version web de WhatsApp, le fonctionnement en sera également très perturbé.

Pour les utilisateurs n’ayant pas trop le sens de l’aventure, mieux vaut donc encore attendre quelques semaines. Après tout, Apple avait parlé de « courant juillet » pour ces bêtas.

Nous publierons prochainement un article dédié à ces bêtas, de comment les installer au moyen de revenir aux versions stables.

Copié dans le presse-papier !

WeTransfer est un service permettant d'envoyer des fichiers volumineux à des contacts. Ils sont hébergés sur les serveurs de la société et on peut y accéder via un lien. 

Problème, WeTransfer a découvert « un incident de sécurité le lundi 17 juin » : des emails ont été envoyés à d'autres personnes. Les clients concernés et les autorités sont informés de ce « bug ».

Cet « incident » s'est déroulé les 16 et 17 juin. Dès lundi, WeTransfer a pris des mesures pour essayer de limiter les dégâts : « Les utilisateurs peuvent avoir été déconnectés de leur compte ou invités à réinitialiser leur mot de passe. De plus, nous avons bloqué les liens de transfert pour assurer la sécurité des transferts de nos utilisateurs ».

La société enquête toujours sur la portée de cette faille de sécurité, ainsi que sur ses causes. Elle promet de plus amples informations prochainement.

Copié dans le presse-papier !

Alors que l’Assemblée débute aujourd’hui l’examen du projet de loi relatif à l’énergie et au climat, plusieurs députés de la majorité proposent au travers d’un amendement de prohiber purement et simplement tous les « dispositifs publicitaires numériques ».

En ce sens, ces onze élus menés par Frédérique Lardet visent toutes les publicités distillées via des écrans « composés de diodes, leds etc. qui peuvent présenter des images fixes, des images animées (faisant apparaître un slogan, prix, faisant évoluer une forme ou un pictogramme...) ou une vidéo ».

À leurs yeux, ces écrans qui pullulent par exemple dans les sous-sols du métro ou aux abords des abris-bus sont synonymes de « pollution lumineuse » et de « gaspillage énergétique » – peu compatibles avec les « objectifs ambitieux » de la France en matière de protection de l’environnement.

En guise de repli, Frédérique Lardet et ses collègues ont déposé un second amendement, lequel permettrait aux maires d’interdire ces « dispositifs publicitaires numériques » dans leur commune.

Copié dans le presse-papier !

Cette année, la période commerciale s'étendra du  mercredi 26 juin au mardi 6 août. C'est la dernière fois qu'elle durera six semaines. En effet, les soldes d'hiver 2020 seront ramenés à quatre semaines en application de la loi Pacte. 

Comme le rappelle la DGCCRF, « la revente à perte est autorisée pendant ces opérations commerciales », mais « les limitations de garanties sur les soldes sont illégales ». De plus amples informations sont disponibles par ici.

La date nationale du 26 juin (8h) est aussi valable pour les boutiques en ligne, mais quelques départements font exceptions : les soldes débuteront le 3 juillet dans les Alpes-Maritimes et le 10 juillet en Corse.