du 05 septembre 2018
Date

Choisir une autre édition

macOS : une faille permet d'ouvrir automatiquement un malware depuis Safari

Le chercheur Patrick Wardle a trouvé une faille de sécurité résidant dans la manière dont macOS permet aux applications de déclarer leur prise en charge de certains formats de fichiers.

Il faut des URL personnalisées, qui peuvent malheureusement être détournées de leur but premier. La victime doit visiter un site où un fichier Zip sera automatiquement téléchargé et ouvert, Safari le faisant pour les types de fichiers qu’il juge « sûrs ». Une option qui devrait être systématiquement désactivée.

Dans le fichier Zip, un malware. Mais puisque le système détecte qu’un format connu est arrivé sur le stockage, il déclenche l’URL Handler défini par l'adresse. Safari pose donc la question à l’utilisateur : souhaite-t-il autoriser l’ouverture du fichier ?

Seulement voilà, la faille permet au pirate de contrôler le nom de l’application dans le texte de la fenêtre de confirmation. Ce texte peut être placé dans l’URL personnalisée définie normalement par le développeur. En outre, l’URL permet de renvoyer vers le malware plutôt que l’application censée ouvrir le fichier.

Le chercheur ajoute que GateKeeper s’occupe normalement de gérer ce genre de cas, mais il n’agit essentiellement que sur un seul critère : la présence d’un certificat. Or, selon lui, la grande majorité des malwares pour macOS ont un certificat valide, annulant l’intérêt de cette protection.

Le problème est sérieux, la faille étant simple à exploiter selon Wardle. Elle également tout aussi simple à bloquer : il suffit de désactiver l’ouverture automatique des fichiers dans Safari, ou utiliser un autre navigateur. Si ce n’est pas bloquant, Wardle conseille même de paramétrer GateKeeper pour ne le laisse exécuter que les applications provenant du Mac App Store.

Apple a bien sûr été avertie du problème.

chargement Chargement des commentaires...

À découvrir dans #LeBrief
Copié dans le presse-papier !

Plus de six mois après le départ surprise de Brian Krzanich, Intel n'a toujours pas de patron. Empêtrée dans ses soucis de productions en 14/10 nm, la société doit désormais avancer vers un futur plus serein.

Pour cela, un nouveau leader doit être mis en place pour donner une ligne directrice au géant du semi-conducteur et prendre les décisions qui s'imposent.

Selon Bloomberg, le conseil d'administration tente de faire son choix avant le 24 janvier prochain, date à laquelle Intel annoncera ses résultats pour le quatrième trimestre 2018.

Les rumeurs continuent de se multiplier autour de cette nomination : une nouvelle tête pour certains (externe à la société, ce qui n'est pas dans ses habitudes), une femme pour d'autres et pourquoi pas le responsable de la conception des puces d'Apple ?

Une chose est sûre, nous n'avons jamais été aussi proches de la décision finale et elle ne devrait plus tarder à être annoncée.

Copié dans le presse-papier !

Dans un document transmis à la SEC et repris par Reuters, la société explique que Tim Stone, son directeur financier, l'a informée de « son intention de démissionner pour poursuivre d'autres opportunités ».

« Cette décision n'est pas liée à un désaccord sur des questions relatives à notre comptabilité, notre stratégie, notre gestion, nos opérations, nos politiques, notre réglementation ou nos pratiques (financières ou autres) », ajoute Snap.  

Le jour du départ de Tim Stone n'est pas encore arrêté et il reste à son poste pour le moment. Pour rappel, la société présentera son bilan pour l'année 2018 le 5 février, nous devrions alors avoir de plus amples informations.

Cette démission n'est pas sans en rappeler une autre : Imran Khan, directeur de la stratégie, en septembre dernier. Lui aussi voulait « poursuivre d'autres opportunités ». Avant lui, le précédent directeur financier et plusieurs responsables produits, vente et matériel avaient aussi fait leurs bagages.

Une mauvaise nouvelle (de plus) pour Snap, qui voit son action chuter de 8 % en bourse.

Copié dans le presse-papier !

La société de scooters électriques Bird a présenté ses excuses, après avoir réclamé au site Boing Boing de retirer un article expliquant une méthode simple pour pirater ses produits, rapporte la BBC.

L’article se focalisait sur les scooters abandonnés ou mal garés, récupérés par les autorités locales. Ils sont ensuite vendus aux enchères. L’article de Boing Boing renvoyait vers un message de forum présentant une carte mère permettant de les utiliser, « sans altérer le matériel ou le logiciel installé par Bird ».

L’Electronic Frontier Foundation s’est emparée du dossier, estimant l’attaque contre le blog de Cory Doctorow sans fondement, ne violant pas le copyright de Bird. La société est depuis revenue sur sa décision, reconnaissant que son équipe juridique est « allée trop loin » pour protéger ses produits.

Copié dans le presse-papier !

Dans Red Dead Redemption 2, les protagonistes, des bandits de grand chemin, sont pris en chasse par l'agence de détectives Pinkerton, fondée dans les années 1870, alors que l'épopée du Far West touchait à sa fin.

Problème pour Rockstar : cette agence de détectives existe toujours. Elle a eu vent de sa présence dans le dernier jeu à succès du studio et affirme que son nom a été utilisé sans autorisation préalable. Elle réclame ainsi le versement d'une large somme pour mettre fin aux poursuites, ainsi que des royalties sur chaque copie vendue du jeu, apprend-t-on dans les colonnes de The Blast.

Pour sa défense, Rockstar affirme que les références à Pinkerton restent somme toute limitées, les agents étant présents dans seulement 10 des 106 missions du jeu. L'éditeur s'appuie également sur le fait que le terme « Pinkerton » est largement utilisé à des fins d'authenticité historique dans d'autres œuvres telles que des films, des séries et même des chansons. Il fait enfin appel au premier amendement, celui régissant la liberté d'expression. Des poursuites virtuelles aux poursuites réelles, les agents de Pinkerton semblent donc toujours être dans le coup.