du 14 janvier 2019
Date

Choisir une autre édition

Ce week-end Valve a poussé une mise à jour visant à faciliter la vie des adeptes de jeux comprenant une foule de DLC. Certains titres comme peuvent en effet compter plusieurs centaines de contenus additionnels payants, et il n'était pas simple de s'y retrouver dans leur liste.

Désormais, les éditeurs de ces jeux peuvent répartir ces DLC dans plusieurs listes, afin d'aider les joueurs à s'y retrouver. Ainsi les amateurs de Train Simulator peuvent désormais filtrer les quelque 576 DLC pour n'y voir que les scénarios, ou seulement les locomotives.

Il en est de même pour les 1175 (!) contenus pour Fantasy Grounds, désormais triés selon 25 listes distinguant les scénarios Pathfinders de ceux de Donjons et Dragons.

Steam rend plus lisible ses catalogues de DLC
chargement Chargement des commentaires...

À découvrir dans #LeBrief
Copié dans le presse-papier !

Le rover se balade depuis près de 7 ans sur la planète rouge, notamment à la recherche de traces de vie. Il a récemment identifié du méthane dans l'air, avec une quantité plus élevée que d'habitude, comme l'explique le New York Time.

Les données arrivées jeudi et vendredi étaient suffisamment intéressantes pour que la NASA réorganise son week-end afin de « mener une expérience de suivi ».

Cette découverte est potentiellement importante car elle pourrait être synonyme de vie. Attention, ce n'est pas la seule possibilité, des réactions géothermiques peuvent aussi en être à l'origine, entre autres…

Seule certitude pour nos confrères : le méthane a été libéré dans l'air « récemment » (à l'échelle de la planète). S'il était présent depuis quelques siècles, le Soleil et les réactions chimiques en seraient venus à bout.

Pour rappel, la mission Mars2020 va justement fouiller Mars à la recherche d'une vie passée.

Copié dans le presse-papier !

Cette brèche a été dévoilée par The Wire Cutter. Le cœur du problème réside dans la fonctionnalité Works with Nest qui permet aux applications tierces de se connecter à la caméra.

Lors d'une remise à zéro, ces liens n'étaient pas réinitialisés. Résultats, l'ancien propriétaire d'une caméra Nest pouvait voir les images provenant du nouveau propriétaire en passant par une application tierce auparavant autorisée.

Google indique avoir déployé automatiquement un correctif. Nos confrères confirment qu'il fonctionne correctement.

Copié dans le presse-papier !

VideoLAN a publié un bulletin de sécurité pour des failles dans VLC 3.0.6 et versions antérieures. Il est indiqué qu'un « utilisateur distant peut créer des fichiers avi ou mkv spécialement conçus qui, lorsqu'ils sont chargés par l'utilisateur cible, vont provoquer un débordement de la mémoire tampon ».

Leur exploitation nécessite qu'un utilisateur « ouvre explicitement un fichier ou un flux spécialement conçu ». Dans la première version du bulletin, il était indiqué qu' « ASLR et DEP aident à réduire les risques, mais peuvent être contournés », mention qui a disparu. 

Le bulletin affirme que VLC 3.0.7 corrige ces failles, mais ce n'est pas tout. Lors de la mise à jour, une précision a été ajoutée : « Cette version corrige également un problème de sécurité important pouvant entraîner l'exécution de code lors de la lecture d'un fichier AAC ».

Il est, comme toujours, recommandé de mettre à jour le lecteur multimédia avec la dernière version disponible, la 3.0.7 en l'occurrence. Pour rappel, celle-ci corrige pas moins de 33 failles

Copié dans le presse-papier !

Le Network Time Protocol n'est pas tout jeune (il date du milieu des années 80) et permet de synchroniser des horloges sur le principe de serveur de références de clients. L'Observatoire de Paris en propose plusieurs par exemple.

Désormais, Cloudflare aussi a son propre serveur NTP, également compatible NTS (Network Time Security), une version sécurisée du protocole NTP. Le NTS est pour le moment un brouillon de l'IETF.

Si vous avez un client prenant en charge NTS, vous pouvez lui donner l'adresse suivante :  time.cloudflare.com:1234. De la documentation pour les développeurs est disponible par ici.

Copié dans le presse-papier !

Mozilla avertit à nouveau ses utilisateurs qu’une autre faille critique 0-day doit être corrigée au plus vite. Toutes les branches supportées ont été mises à jour et il est recommandé de vérifier dans l’à propos et de redémarrer le navigateur si ce n’est pas encore fait.

La deuxième faille (CVE-2019-11708) a été trouvée quand l’éditeur a été informé que des attaques étaient en cours autour de la première faille signalée la semaine dernière, notamment contre Coinbase.

Elle permet de s’échapper de la sandbox, la zone du navigateur dans lequel un code est en temps normal contraint de résider, sans impact sur le reste du système. Utilisées en conjonction, les brèches permettaient l’exécution d’un code arbitraire sur n’importe quelle configuration (Linux, macOS, Windows…) en amenant simplement l’internaute sur un site malveillant.

Les nouvelles moutures corrigées sont donc la 67.0.4 pour la branche classique et la 60.7.2 pour la branche ESR (support long). Comme la semaine dernière, Tor Browser a lui aussi reçu le correctif, dans sa nouvelle version 8.5.3.

Notez que ce bug concerne également Thunderbird, qui passe lui aussi en version 60.7.2 (il se base sur le code de la branche ESR de Firefox).