du 10 juin 2019
Date

Choisir une autre édition

Nouvelle faille 0-day Windows, le hacker SandboxEscaper veut vendre ses informations

Il y a environ deux semaines, un hacker uniquement connu sous le pseudonyme de SandboxEscaper révélait trois failles 0-day dans Windows, ainsi qu’une quatrième le lendemain. Les détails étaient donnés publiquement sur un compte GitHub.

Ce week-end, le compte a lâché de nouvelles informations, sur une autre manière de court-circuiter les protections mises en place par Microsoft dans un patch contre une autre faille. Estampillée CVE-2019-0841, cette dernière permettait d’obtenir des privilèges plus importants grâce à une mauvaise gestion des liens matériels par le Windows AppX Deployment Service.

Le hacker a prouvé ses dires dans une vidéo toujours accessible sur YouTube. La méthode est nommée ByeBear. On peut y voir un navigateur Edge détourné pour écrire une DACL (discretionary access control list) avec des droits SYSTEM.

Mais alors que depuis plus d’un an ces travaux étaient connus pour être librement accessibles depuis GitHub, SandboxEscaper a brusquement changé d’avis hier. « Les gens n’aiment pas quand je lâche des bugs. Je suppose que je vais les vendre à la place ».

Le compte GitHub a donc été vidé (et le blog passé en privé), même si des copies sont apparues. Des chercheurs se sont étonnés de ce changement brutal, notamment Baptiste Robert, faisant remarquer sur Twitter que personne n’achète de failles à un vendeur présentant des signes d’instabilité.

Déjà critiqué pour publier régulièrement des informations sans jamais avertir Microsoft, SandboxEscaper fait désormais l’objet d’une attention plus négative. Certains ont remarqué des détails suggérant un appui plus ou moins important sur des découvertes faites par d’autres.

chargement Chargement des commentaires...

À découvrir dans #LeBrief
Copié dans le presse-papier !

L'opérateur développé par le géant peut proposer une large couverture outre-Atlantique puisqu'il dispose d'accords avec trois opérateurs américains. Il est ainsi possible de passer de l'un à l'autre automatiquement en fonction des lieux.

Désormais, Google Fi peut se connecter à deux réseaux différents, avec un seul abonnement. « Ainsi, si vous regardez une vidéo et que Fi vous fait passer à un meilleur réseau, vous ne subirez aucune attente, vous ne le remarquerez même pas ».

Google explique utiliser la technologie Dual Sim Dual Standby (DSDS) qui nécessite deux cartes SIM. C'est le cas du Pixel 4, premier à profiter de cette fonctionnalité, avec un emplacement SIM et un eSIM. 

Le déploiement de cette fonctionnalité se fera progressivement au cours des prochaines semaines.

Copié dans le presse-papier !

Ces derniers mois, le navigateur de Mozilla a renforcé son action contre le pistage en ligne, notamment dans les options activées par défaut.

Le résultat est là : « Depuis le 2 juillet, nous avons bloqué plus de 450 milliards de requêtes de pistage tentant de vous suivre en ligne », précise la fondation. Ce, malgré des réglementations comme le RGPD. 

« L'industrie publicitaire utilise des dark patterns pour pousser les internautes au consentement » constate Mozilla, qui justifie ainsi ses actions renforcées, face à un secteur qui peine à s'autoréguler et à respecter les droits de chacun.

Avec Firefox 70, les équipes veulent tout d'abord améliorer l'information de l'utilisateur, avec un nouveau rapport précisant le nombre d'éléments bloqués chaque jour et leur typologie : cookies, empreintes, modules sociaux, cryptominage, etc.

La liste détaillée n'est pas donnée, mais Firefox en profitera pour mettre en avant des services de Mozilla comme Monitor (permettant de vérifier si votre mot de passe a fuité en ligne) ou Lockwise (pour stocker vos mots de passe). Des outils améliorés pour l'occasion. On imagine que d'autres pourront trouver leur place à cet endroit. La future offre de VPN payant par exemple ?

Quoi qu'il en soit, la protection contre le pistage renforce sa lutte contre les modules sociaux et leur pistage « cross-site ». 

Les équipes précisent également que les performances JavaScript sont améliorées, alors que WebRender est disponible pour plus d'utilisateurs sous Windows (les IGP Intel sont pris en charge). Sous macOS, le navigateur se veut plus économe en énergie, surtout quand il lit des vidéos.

La gestion du thème sombre suit désormais les paramètres des OS, l'import de mots de passe est fonctionnel depuis macOS et des bugs ont bien entendu été corrigés. Pour les développeurs, la liste des améliorations apportée se trouve ici

Copié dans le presse-papier !

Premiers changements, la possibilité de gérer les enregistrements de la caméra et l'intégration des pages d'assistance de l'univers « Maison ».

Dans l'accueil de ce dernier, une tuile invite les utilisateurs à accéder à de nouvelles fonctionnalités, comme l'ajout d'un numéro pour les alertes. Il est aussi possible d'ajouter une caméra sans module de sécurité.

Comme toujours, l'application a droit à son lot d'améliorations et correctifs. Signalons pêle-mêle les alertes sur iPadOS 13, la synchronisation des photos, le téléchargement par fichiers, etc. Les notes de version détaillées se trouvent par ici.

Copié dans le presse-papier !

Des chercheurs de SRLabs (Security Research Labs) ont mis au point des applications (Actions pour Google, Skill pour Amazon) pour les assistants numérique Home et Echo.

Elles ont passé sans problème les processus de contrôle des deux géants du Net et étaient utilisables sur n'importe quelle enceinte connectée (les applications ont depuis été supprimées).

Deux attaques différentes ont été menées. La première fait croire que l'application n'est pas disponible dans votre pays, l'utilisateur pensant alors que l'application s'est arrêtée. En fait, elle laisse seulement une minute de blanc avant d'annoncer une mise à jour pour l'enceinte connectée, en demandant à l'utilisateur son mot de passe.

Dans la seconde attaque, l'application semble fonctionner correctement et fait croire à l'utilisateur que la session est terminée et qu'elle arrête donc d'écouter. En réalité, ce n'est pas le cas.

Amazon et Google ont été contactées en amont. Les deux sociétés ont affirmé à Ars Technica qu'elles avaient mis en place des changements dans leurs procédures de validation, sans plus de détail.

Rien ne dit non plus que des applications malveillantes de ce genre ne sont pas encore disponibles sur les deux assistants numériques. Une preuve qui montre une fois de plus qu'il faut être prudent face à ce genre de produits. 

Copié dans le presse-papier !

Netatmo explique que les nouvelles stations commercialisées depuis hier sont concernées, tandis que les anciennes recevront une mise à jour prochainement, mais uniquement celles produites à partir de 2016  précise le fabricant.

Pour rappel, les Caméras, Détecteurs de fumée, Capteurs de qualité d'air, Thermostat et Têtes thermostatiques étaient déjà compatibles HomeKit. 

Chez Arlo, la situation est à peu près la même. Après les caméras Baby, c'est au tour de la gamme Ultra (en 4K UHD et HDR) d'être compatible HomeKit d'Apple. Là encore, une simple mise à jour du firmware est nécessaire.