du 05 septembre 2018
Date

Choisir une autre édition

macOS : une faille permet d'ouvrir automatiquement un malware depuis Safari

Le chercheur Patrick Wardle a trouvé une faille de sécurité résidant dans la manière dont macOS permet aux applications de déclarer leur prise en charge de certains formats de fichiers.

Il faut des URL personnalisées, qui peuvent malheureusement être détournées de leur but premier. La victime doit visiter un site où un fichier Zip sera automatiquement téléchargé et ouvert, Safari le faisant pour les types de fichiers qu’il juge « sûrs ». Une option qui devrait être systématiquement désactivée.

Dans le fichier Zip, un malware. Mais puisque le système détecte qu’un format connu est arrivé sur le stockage, il déclenche l’URL Handler défini par l'adresse. Safari pose donc la question à l’utilisateur : souhaite-t-il autoriser l’ouverture du fichier ?

Seulement voilà, la faille permet au pirate de contrôler le nom de l’application dans le texte de la fenêtre de confirmation. Ce texte peut être placé dans l’URL personnalisée définie normalement par le développeur. En outre, l’URL permet de renvoyer vers le malware plutôt que l’application censée ouvrir le fichier.

Le chercheur ajoute que GateKeeper s’occupe normalement de gérer ce genre de cas, mais il n’agit essentiellement que sur un seul critère : la présence d’un certificat. Or, selon lui, la grande majorité des malwares pour macOS ont un certificat valide, annulant l’intérêt de cette protection.

Le problème est sérieux, la faille étant simple à exploiter selon Wardle. Elle également tout aussi simple à bloquer : il suffit de désactiver l’ouverture automatique des fichiers dans Safari, ou utiliser un autre navigateur. Si ce n’est pas bloquant, Wardle conseille même de paramétrer GateKeeper pour ne le laisse exécuter que les applications provenant du Mac App Store.

Apple a bien sûr été avertie du problème.

chargement Chargement des commentaires...

À découvrir dans #LeBrief
Copié dans le presse-papier !

L'éditeur de code a désormais un petit frère, un logiciel de gestion de dépôt git. Il inclut les fonctions habituelles et la terminologie du système de dépôts, un outil de résolution des conflits, ainsi qu'une vue des différences entre fichiers côte-à-côte.

Une version d'essai est proposée. Il en coûte 99 dollars pour une licence et trois ans de mise à jour au-delà. En entreprise, le prix passe à 75 dollars par utilisateur par an.

Copié dans le presse-papier !

Voilà une nouveauté qui ne va pas changer la face du monde, mais qui fera au moins plaisir à ceux qui s'en servent désormais presque partout, de nombreux services proposant ces images animées.

La fonction est disponible sous forme d'une icône « GIF » située à droite de la zone de rédaction. Elle ouvre une recherche GIPHY, bien que le nombre d'images proposées à la fois tienne sur une seule ligne.

Pour en profiter, il suffit d'avoir la dernière version d'Instagram, sur Android ou iOS.

Copié dans le presse-papier !

Dans un communiqué du 19 septembre, repéré par The Verge, Valve annonce qu'à compter du 25 septembre, elle traitera elle-même les signalements d'internautes sur les canaux de discussion.

Concrètement, les messages signalés sont ajoutés à une file d'attente pour une équipe de modération. Elle se contente de supprimer les contenus litigieux, sans intervenir dans les discussions, veut rassurer Valve.

Pourquoi ne réagir que maintenant ? La plateforme dit vouloir laisser les développeurs libres de leur communication avec leur communauté. Ils peuvent d'ailleurs se désinscrire de ce système.

Pourtant, « au fil du temps, de plus en plus de développeurs de jeux nous ont confié qu'ils souhaiteraient que nous prenions une part plus active dans les forums de discussion, au moins pour prendre des mesures concernant les publications signalées par d'autres joueurs ».

La modération est un problème important pour Steam. Dans une enquête en octobre 2017, 230 développeurs réclamaient de meilleurs outils pour gérer les utilisateurs à problèmes. C'était la cinquième demande la plus importante.

Copié dans le presse-papier !

La série anglaise fera son retour dans deux semaines, avec une nouvelle actrice dans le rôle principal : Jodie Whittaker.

La diffusion du premier épisode est programmée pour le 7 octobre pour un épisode d'un peu plus d'un heure (The Woman Who Fell To Earth). Neuf autres sont attendus.

Chez nous, c'est toujours France 4 qui est en charge de la diffusion de Doctor Who. Largement critiquée pour son retard sur la version originale (voir ici ou ), la chaîne publique a semble-t-il décidée de revoir sa stratégie.

Ainsi, elle vient d'annoncer que la saison 11 sera diffusée dès le 11 octobre à 22h25, mais en version originale sous-titrée (VOST). De quoi faire plaisir aux fans les plus impatients, même s'ils devront encore patienter quatre jours.

La date de la diffusion de la version française (VF) n'a pas contre pas été confirmée.

Copié dans le presse-papier !

Au motif que « dans certaines parties du territoire français », la TNT « ne fonctionne pas tout ou une partie de l’année », le député Daniel Fasquelle vient de déposer une proposition de loi introduisant une dispense de redevance pour ces contribuables.

Dès lors que « la réception à la télévision numérique terrestre est rendue impossible pour des raisons indépendantes du seul fait de la construction du logement, notamment pour des causes météorologiques ou de proximité géographique avec un autre pays », il y aurait exemption.

Le texte, co-signé par une vingtaine d’élus LR, devra toutefois être inscrit à l’ordre du jour de l’Assemblée nationale avant de pouvoir être débattu, ce qui est loin d’être facile quand on appartient à un groupe d’opposition.