du 05 septembre 2018
Date

Choisir une autre édition

macOS : une faille permet d'ouvrir automatiquement un malware depuis Safari

Le chercheur Patrick Wardle a trouvé une faille de sécurité résidant dans la manière dont macOS permet aux applications de déclarer leur prise en charge de certains formats de fichiers.

Il faut des URL personnalisées, qui peuvent malheureusement être détournées de leur but premier. La victime doit visiter un site où un fichier Zip sera automatiquement téléchargé et ouvert, Safari le faisant pour les types de fichiers qu’il juge « sûrs ». Une option qui devrait être systématiquement désactivée.

Dans le fichier Zip, un malware. Mais puisque le système détecte qu’un format connu est arrivé sur le stockage, il déclenche l’URL Handler défini par l'adresse. Safari pose donc la question à l’utilisateur : souhaite-t-il autoriser l’ouverture du fichier ?

Seulement voilà, la faille permet au pirate de contrôler le nom de l’application dans le texte de la fenêtre de confirmation. Ce texte peut être placé dans l’URL personnalisée définie normalement par le développeur. En outre, l’URL permet de renvoyer vers le malware plutôt que l’application censée ouvrir le fichier.

Le chercheur ajoute que GateKeeper s’occupe normalement de gérer ce genre de cas, mais il n’agit essentiellement que sur un seul critère : la présence d’un certificat. Or, selon lui, la grande majorité des malwares pour macOS ont un certificat valide, annulant l’intérêt de cette protection.

Le problème est sérieux, la faille étant simple à exploiter selon Wardle. Elle également tout aussi simple à bloquer : il suffit de désactiver l’ouverture automatique des fichiers dans Safari, ou utiliser un autre navigateur. Si ce n’est pas bloquant, Wardle conseille même de paramétrer GateKeeper pour ne le laisse exécuter que les applications provenant du Mac App Store.

Apple a bien sûr été avertie du problème.

chargement Chargement des commentaires...

À découvrir dans #LeBrief
Copié dans le presse-papier !

Deadline explique que Constantin Film a acheté les droits à Avalanche studio et Square Enix.

Nos confrères affirment que le film gardera l'esprit du jeu : « Rico Rodriguez participe à une course contre la montre pour arrêter The Black Hand, un groupe de mercenaires meurtrier ». Le tournage pourrait débuter en 2020 si un réalisateur et un acteur pour le personnage principal sont rapidement trouvés.

Copié dans le presse-papier !

L’application Premiere Rush, uniquement disponible sur iOS jusqu'ici, est désormais proposée sur Android. Tout du moins sur une sélection d’appareils puissants : Galaxy S10/10+, S9/9+, Note9, Note8, S10e, Google Pixel 3/3XL, 2/2XL et OnePlus 6T. La compatibilité grandira prochainement.

Les fonctionnalités sont les mêmes que dans la version iOS. Elles proviennent de Premiere et Audition et fournissent un flux simplifié avec édition audio et vidéo, correction des couleurs, nettoyage audio via machine learning, modèles Motion Graphics personnalisables, publication, etc.

Premiere Rush est bien entendu intégré dans le Creative Cloud d’Adobe. Toute action réalisée dans l’application est répercutée. Les projets peuvent donc être repris depuis d’autres appareils, pour être par exemple finalisés et publiés.

L’application peut être utilisée gratuitement (Starter) avec toutes les fonctions, mais un export limité à trois projets. L’abonnement lève la limite pour 9,99 dollars par mois pour un utilisateur unique, 19,99 dollars pour une équipe ou 29,99 dollars pour les entreprises. L’abonnement permet également de passer de 2 à 100 Go d’espace dans le cloud.

Copié dans le presse-papier !

Elle se tiendra au McEnery Convention Center de San Jose (Californie). Il s'agit pour rappel de la keynote d'ouverture de l'événement dédié aux développeurs qui se tiendra du 3 au 7 juin.

Il devrait donc y être question des prochaines grosses versions des systèmes d'exploitation de la marque à la pomme, notamment iOS 13 et macOS 10.15.

Copié dans le presse-papier !

Comme nous l'avions remarqué lors de la publication des résultats trimestriels du revendeur, le chiffre d'affaires BtoC hors boutiques physiques est en baisse. Afin de redonner un peu de volume à son site, LDLC va l'ouvrir aux vendeurs tiers.

Olivier de La Clergerie, directeur général du Groupe LDLC, ne s'en cache pas : « Ce nouveau développement nous permettra, avec des ressources limitées engagées par le Groupe, d’enrichir notre offre, d’attirer de nouveaux clients et de générer des revenus complémentaires sur nos activités BtoC ».

La place de marché proposera des catégories de produits connexes : informatique, image & son, téléphonie & auto, jeux & loisirs, objets connectés ou papeterie. « L’objectif pour LDLC.com est d’atteindre, d’ici mars 2020, plus de 100 000 références supplémentaires ».

L'ouverture est prévue pour fin 2019 et les vendeurs tiers intéressés peuvent se rendre sur cette page afin d'obtenir de plus amples informations. On y apprend par exemple que l'abonnement mensuel pour y accéder est de 39 euros HT par mois, avec ensuite un « taux de commission variable en fonction des catégories ».

Il y a quelques jours, la société annonçait son intention de transférer sa cotation d'Euronext à Euronext Growth, un marché « plus approprié à la taille de l’entreprise ». Il « offre un accès au marché, avec des contraintes limitées, aux entreprises de  petite et moyenne capitalisation, qui entrent ainsi en relation avec une grande variété d’investisseurs », explique Euronext.

Copié dans le presse-papier !

Egor Zakharov, Aliaksandra Shysheya, Egor Burkov, Victor Lempitsky, chercheurs au Samsung AI lab et à l’Institut Skolkovo des sciences et de la technologie, ont exposé leurs travaux visant à recréer des vidéos photoréalistes à l’aide de quelques images, voire d’une seule.

Effectuer une telle synthèse est considéré comme difficile, rappellent-ils. « Les têtes humaines sont d’une grande complexité photométrique, géométrique et cinématique », tenant à la fois à la modélisation, mais aussi à la forme de chaque élément.

De plus, il y a une très faible tolérance de l’œil humain « vis-à-vis des erreurs, même mineures, dans la modélisation de l'apparence des têtes humaines ». C’est le phénomène de « vallée dérangeante » (uncanny valley), « théorie scientifique (…) selon laquelle plus un robot androïde est similaire à un être humain, plus ses imperfections nous paraissent monstrueuses » (Wikipedia).

Les débouchés sont multiples (vidéoconférence, jeux vidéo, industrie des effets spéciaux). Le résultat est à contempler sur cette vidéo, avec une mention spéciale pour la mise en mouvement du visage de Mona Lisa.