du 05 septembre 2018
Date

Choisir une autre édition

macOS : une faille permet d'ouvrir automatiquement un malware depuis Safari

Le chercheur Patrick Wardle a trouvé une faille de sécurité résidant dans la manière dont macOS permet aux applications de déclarer leur prise en charge de certains formats de fichiers.

Il faut des URL personnalisées, qui peuvent malheureusement être détournées de leur but premier. La victime doit visiter un site où un fichier Zip sera automatiquement téléchargé et ouvert, Safari le faisant pour les types de fichiers qu’il juge « sûrs ». Une option qui devrait être systématiquement désactivée.

Dans le fichier Zip, un malware. Mais puisque le système détecte qu’un format connu est arrivé sur le stockage, il déclenche l’URL Handler défini par l'adresse. Safari pose donc la question à l’utilisateur : souhaite-t-il autoriser l’ouverture du fichier ?

Seulement voilà, la faille permet au pirate de contrôler le nom de l’application dans le texte de la fenêtre de confirmation. Ce texte peut être placé dans l’URL personnalisée définie normalement par le développeur. En outre, l’URL permet de renvoyer vers le malware plutôt que l’application censée ouvrir le fichier.

Le chercheur ajoute que GateKeeper s’occupe normalement de gérer ce genre de cas, mais il n’agit essentiellement que sur un seul critère : la présence d’un certificat. Or, selon lui, la grande majorité des malwares pour macOS ont un certificat valide, annulant l’intérêt de cette protection.

Le problème est sérieux, la faille étant simple à exploiter selon Wardle. Elle également tout aussi simple à bloquer : il suffit de désactiver l’ouverture automatique des fichiers dans Safari, ou utiliser un autre navigateur. Si ce n’est pas bloquant, Wardle conseille même de paramétrer GateKeeper pour ne le laisse exécuter que les applications provenant du Mac App Store.

Apple a bien sûr été avertie du problème.

chargement Chargement des commentaires...

À découvrir dans #LeBrief
Copié dans le presse-papier !

Alors que les Radeon Instinct MI50/MI60 vont bénéficier de puces gravées en 7 nm, on se demande quand de nouveaux modèles grand public seront proposés par le constructeur.

WCCFTech semble penser qu'il faudra attendre la prochaine architecture. Un premier GPU aurait été finalisé, Navi 12, avec 40 groupes d'unités. Nous n'en saurons pas plus sur ses caractéristiques présumées pour le moment.

Cette solution devrait être la première à avoir été entièrement repensée depuis la période Graphics Core Next (GCN) qui est utilisée aussi bien dans les dérivés de Polaris (RTX 400/500) que Vega. Elle pourrait être exploitée comme base pour l'APU de la PlayStation 5.

C'est donc à un GPU de milieu de gamme qu'il faudrait s'attendre dans la première moitié de l'année prochaine, Navi 20 devant ensuite enfoncer le clou. Ces informations correspondent aux feuilles de route dévoilées par AMD dès l'année dernière.

Le constructeur en dira sans doute plus sur le sujet à l'occasion du CES de Las Vegas en janvier prochain.

Copié dans le presse-papier !

Après avoir entièrement réécrit son application pour iOS, l'équipe s'est penchée sur la version Android, qui passe en 2.9.1.

Elle apporte de nouvelles bibliothèques réseau : OkHttp et dav4android. Les notes de versions annoncent aussi la mise en place d'un champ de recherche dans un répertoire, la possibilité de sélectionner tous les fichiers et d'inverser la sélection.

Une interface de connexion avec le même design que celle sur le web est également de la partie, ainsi que des corrections de bugs et des diverses améliorations, notamment sur la gestion de la batterie.

Attention, cette version de l'application Android nécessitera la version 9.x d'ownCloud Server au minimum.

Copié dans le presse-papier !

L'Agence nationale des fréquences (ANFR) a mis en ligne son observatoire du déploiement de la 4G pour le mois d'octobre. Orange se démarque largement avec plus de 1 800 antennes activées, contre 730 à 930 pour SFR, Bouygues Telecom et Free Mobile.

Les deux derniers sont toujours les seuls sur la bande des 700 MHz, avec respectivement 79 et 417 antennes supplémentaires en service. Orange n'a toujours que 4 antennes, tandis que SFR n'en a aucune.

L'ANFR ajoute un tableau des supports 5G expérimentaux autorisés en métropole : Bouygues Telecom en a 18 (une de plus en un mois), tandis qu'Orange a obtenu ses six premières autorisations (cinq dans les Bouches-du-Rhône et une dans les Hauts-de-Seine), sur la bande des 3,5 GHz.

En outremer, on peut remarquer les premières autorisations pour Free Mobile à Saint Martin (page 32 et suivante du PDF).

Copié dans le presse-papier !

GitHub a de quoi se réjouir, après avoir passé la barre des 100 millions de dépôts la semaine dernière. De quoi rassurer sur sa santé après la vague de méfiance suscitée par le rachat par Microsoft (pour 7,5 milliards de dollars).

Le service fournit quelques statistiques pour l’occasion. Il ne stockait par exemple que 33 000 dépôts lors de la création de l’entreprise en 2008. Aujourd’hui, il est utilisé par 31 millions de développeurs. Preuve de son accélération, un tiers des dépôts actuels ont été ouverts sur la seule année écoulée.

Dans le Top 10 des projets les plus actifs, on trouve, dans l’ordre : Visual Studio Code, React Native, TensorFlow, Angular CLI, Azure Docs, Angular, Ansible, Kubernetes, npm et DefinitelyTyped. En dehors du premier, les projets les plus actifs viennent donc de Facebook et Google.

Copié dans le presse-papier !

Annoncé fin octobre, cette nouvelle version renferme une bonne nouvelle : la mémoire vive est amovible alors qu'elle était auparavant soudée sur la carte mère.

C'est par contre toujours le cas du processeur et du SSD, il ne sera donc pas possible de revoir le stockage à la hausse de cette manière. Deux points noirs pour nos confrères, qui ajoutent que si un des ports de la carte mère est endommagé il faudra la changer en entier.

Comme son prédécesseur, le Mac mini 2018 obtient ainsi une note finale de 6 sur 10.