du 10 juin 2019
Date

Choisir une autre édition

Nouvelle faille 0-day Windows, le hacker SandboxEscaper veut vendre ses informations

Il y a environ deux semaines, un hacker uniquement connu sous le pseudonyme de SandboxEscaper révélait trois failles 0-day dans Windows, ainsi qu’une quatrième le lendemain. Les détails étaient donnés publiquement sur un compte GitHub.

Ce week-end, le compte a lâché de nouvelles informations, sur une autre manière de court-circuiter les protections mises en place par Microsoft dans un patch contre une autre faille. Estampillée CVE-2019-0841, cette dernière permettait d’obtenir des privilèges plus importants grâce à une mauvaise gestion des liens matériels par le Windows AppX Deployment Service.

Le hacker a prouvé ses dires dans une vidéo toujours accessible sur YouTube. La méthode est nommée ByeBear. On peut y voir un navigateur Edge détourné pour écrire une DACL (discretionary access control list) avec des droits SYSTEM.

Mais alors que depuis plus d’un an ces travaux étaient connus pour être librement accessibles depuis GitHub, SandboxEscaper a brusquement changé d’avis hier. « Les gens n’aiment pas quand je lâche des bugs. Je suppose que je vais les vendre à la place ».

Le compte GitHub a donc été vidé (et le blog passé en privé), même si des copies sont apparues. Des chercheurs se sont étonnés de ce changement brutal, notamment Baptiste Robert, faisant remarquer sur Twitter que personne n’achète de failles à un vendeur présentant des signes d’instabilité.

Déjà critiqué pour publier régulièrement des informations sans jamais avertir Microsoft, SandboxEscaper fait désormais l’objet d’une attention plus négative. Certains ont remarqué des détails suggérant un appui plus ou moins important sur des découvertes faites par d’autres.

chargement Chargement des commentaires...

À découvrir dans #LeBrief
Copié dans le presse-papier !

Mise en ligne sous Android et iOS, elle promet une « ergonomie repensée pour vous ainsi que de nouvelles fonctionnalités » et une co-construction avec ses utilisateurs, l'équipe se disant à l'écoute.

Côté fonctionnalités, elle doit permettre d'« optimiser vos trajets en visualisant la rame dans laquelle monter » mais aussi un accès plus direct aux favoris, aux différents services, et une carte interactive. Les plans sont accessibles hors-ligne.

Copié dans le presse-papier !

Ce matin, le lanceur lourd a décollé prévu du Complex 39A (LC-39A) depuis le Kennedy Space Center de la NASA (Floride).

Les deux boosters latéraux avaient déjà été « éprouvés » en vol, c'est-à-dire recyclés du lancement d'Arabsat-6A en avril dernier. Ils sont venus se poser sans encombre sur la terre ferme, un peu plus de huit minutes après le décollage.

Le premier étage n'a par contre pas eu la même chance : il a loupé son atterrissage sur une barge. On peut le voir s'abîmer en mer (pas loin de la barge) un peu plus de 11 minutes après le lancement.

Le lanceur doit maintenant déployer 24 satellites sur trois orbites différentes. L'avancement des travaux peut être suivi sur le compte Twitter de la société.

Copié dans le presse-papier !

Nouvelle version pour Telegram sur Android et iOS, avec un lot d’apports bienvenus.

L’ajout de contacts est ainsi simplifié, particulièrement si l’utilisateur est contacté par une personne avec qui il n’a jamais échangé (l’ajout peut se faire par numéro ou pseudo). Comme sur WhatsApp ou même Twitter, la conversation peut être acceptée ou rejetée. Un bouton permet en outre d’ajouter le contact, même si son numéro n’est pas affiché.

On peut également ajouter des contacts proches géographiquement. Après avoir reçu l’autorisation d’accès, Telegram affiche les personnes dans une liste. Pratique si au cours d’une soirée par exemple on souhaite ajouter une ou plusieurs personnes sans avoir besoin d’échanger les numéros de téléphone.

La géolocalisation peut également servir à créer des groupes locaux. La fonction se destine à tous ceux qui aimeraient discuter en commun d’un évènement ou dans un lieu particulier, par exemple une université.

Dans les groupes justement, il devient enfin possible de transférer l’administration. Cas classique : un utilisateur a créé un groupe dont il ne peut plus s’occuper par manque de temps. Un bouton permet donc le transfert à une autre personne, qui devra bien sûr accepter ce nouveau rôle.

On note enfin quelques petits ajouts dans iOS, comme la prévisualisation du thème avant validation, ou encore différents choix pour l’icône. La fin de Telegram X avait en effet provoqué la colère de ceux qui en appréciaient l’icône noire. Elle fait donc maintenant partie du lot, en plus d’un logo légèrement rafraichi.

Copié dans le presse-papier !

La marque n'en finit plus de se diversifier. En plus des smartphones sous son propre nom, elle en propose aussi sous les marques Redmi et Poco. 

Xiaomi CC est réalisé en partenariat avec Meitu, une application de retouche de photos et selfies populaire en Chine. Le premier représentant, le Xiaomi CC9, sera présenté le 2 juillet, comme l'indique Android Community.

Une première image permet de voir qu'il disposera d'un système de caméras pivotant, comme sur le Zenfone 6 d'ASUS.

En attendant, une vidéo pour Xiaomi CC a été mise en ligne. On n'y apprend rien de plus, si ce n'est qu'un public jeune et « fashion » est visé.

Copié dans le presse-papier !

Alors que l’Assemblée débute aujourd’hui l’examen du projet de loi relatif à l’énergie et au climat, plusieurs députés de la majorité proposent au travers d’un amendement de prohiber purement et simplement tous les « dispositifs publicitaires numériques ».

En ce sens, ces onze élus menés par Frédérique Lardet visent toutes les publicités distillées via des écrans « composés de diodes, leds etc. qui peuvent présenter des images fixes, des images animées (faisant apparaître un slogan, prix, faisant évoluer une forme ou un pictogramme...) ou une vidéo ».

À leurs yeux, ces écrans qui pullulent par exemple dans les sous-sols du métro ou aux abords des abris-bus sont synonymes de « pollution lumineuse » et de « gaspillage énergétique » – peu compatibles avec les « objectifs ambitieux » de la France en matière de protection de l’environnement.

En guise de repli, Frédérique Lardet et ses collègues ont déposé un second amendement, lequel permettrait aux maires d’interdire ces « dispositifs publicitaires numériques » dans leur commune.