du 28 juin 2018
Date

Choisir une autre édition

Une faille WordPress permet d'effacer des fichiers critiques sans droits particuliers

La brèche a été signalée par les chercheurs allemands de RIPS Technologies il y a 7 mois, sans action pour l'instant de la part de WordPress.

La vulnérabilité réside dans la fonction de suppression des miniatures d'images. Elle accepte les paramètres sans poser de question. Cette fonction peut être détournée pour effacer n'importe quel fichier de WordPress.

Un facteur limite toutefois la dangerosité de la faille : l'utilisateur doit avoir au moins le rang d'auteur pour déclencher les hostilités. La faille reste néanmoins active, et un auteur existant pourrait se faire dérober ses identifiants.

En supprimant le fichier wp-config.php, un pirate pourrait même forcer le site à revenir sur l'écran d'installation. Certaines actions lui seront impossibles, mais il pourrait rediriger le site vers une base de données qu'il contrôle sur un autre serveur.

En attendant que WordPress réagisse, les chercheurs proposent un patch à appliquer pour se prémunir de la faille.

chargement Chargement des commentaires...

À découvrir dans #LeBrief
Copié dans le presse-papier !

Apple a confirmé un nouvel événement presse, qui se tiendra cette fois le 30 octobre à la Brooklyn Academy de New York, soit deux jours avant la présentation de ses derniers résultats financiers.

On attend évidemment que la firme y dévoile ses nouveaux iPad et Mac.  Les rumeurs sur les tablettes vont toutes dans le même sens maintenant depuis plusieurs mois : un amincissement des bordures, une disparition du bouton Accueil et l’arrivée de Face ID. En clair, le traitement iPhone X.

Côté Mac, on attend surtout la confirmation d’un bruit de couloir insistant : le lancement d’un MacBook moins cher qui viserait particulièrement les étudiants. Un Mac mini Pro pourrait également être de la fête, le petit ordinateur n’ayant pas eu de mise à jour depuis des années.

Copié dans le presse-papier !

L'institut Gartner s'est livré à quelques prédictions sur les changements qui pourraient être observés dans le domaine du numérique dans les cinq prochaines années.

L'intelligence artificielle y figure en bonne place, Gartner estimant par exemple que les services d'urgence médicale aux États-Unis pourraient économiser 20 millions de déplacements en plaçant les malades chroniques sous des soins gérés par une IA.

Côté blockchain, l'institut estime que d'ici 2021 que 75 % des blockchains publiques seront « empoisonnées » avec des données personnelles, ce qui les mettrait en violation des lois sur la vie privée. Les analystes insistent : ces éventuels problèmes doivent être pris en compte dès la création du système afin de permettre l'effacement de ces données sans compromettre l'intégrité de la chaîne.

Le RGPD et ePrivacy sont également au centre des préoccupations de Gartner qui estime que d'ici cinq ans, ces lois sur la vie privée vont remettre en question le modèle publicitaire sur Internet. A contrario, en 2021, les scandales liés à des brèches de sécurité sur les réseaux sociaux ne devraient plus avoir le moindre impact durable sur la présence de leurs utilisateurs, principalement en raison du manque de concurrence dans le secteur.

Copié dans le presse-papier !

La Commodity Futures Trading Commission (CFTC) a remporté un procès contre le créateur d'une pyramide de Ponzi promettant monts et merveilles à quiconque lui confierait quelques bitcoins. Le système aurait fait 80 victimes pour un préjudice total de 600 000 dollars.

Le principe de l'arnaque était vieux comme le monde. Nicholas Gelfman, PDG de Gelfman Blueprint, proposait à ses clients d'investir dans le bitcoin et de faire confiance à ses algorithmes de trading pour réaliser de gros bénéfices. Problème, l'argent des nouveaux clients servait à payer les profits des anciens…

La CFTC a reconnu l'homme et son entreprise coupables d'escroquerie. Ils ont été condamnés conjointement à rembourser 2,8 millions de dollars aux clients lésés. L'agence américaine précise cependant qu'il y a peu d'espoir que les victimes touchent bien cette somme au vu des liquidités dont dispose le coupable.

Copié dans le presse-papier !

On ne l’attendait pas forcément, mais Tweetbot 5 vient de sortir sur iOS. L’interface est dépoussiérée, avec notamment un nouveau mode sombre… presque noir. L’éditeur Tapbot vise particulièrement les écrans OLED, mais nombreux sont ceux à réclamer le retour de l’ancien gris sombre.

Toutes les icônes ont évolué, y compris celle de l’application sur l’écran d’accueil. Les utilisateurs seront ravis d’apprendre que l’écran de rédaction dispose enfin d’une fonction GIF (via Giphy).

Entre autres nouveautés, signalons des retours haptiques pour certaines actions, des pages profil remaniées, des statuts plus lisibles pour les tweets ou encore la lecture automatique des vidéos dans le flux (désactivable dans les options).

On rappellera qu’à cause de blocages artificiels de l’API officielle Twitter, de nombreuses fonctionnalités sont absentes des clients tiers, comme les statuts de lecture et les conversations de groupe pour les messages directs, ou encore les sondages.

Twitter a même supprimé plus récemment la mise à jour temps réel du flux des tweets, forçant les applications à réclamer un rafraîchissement manuel pour afficher les nouveaux tweets.

Ce qui explique sans doute pourquoi Tweetbot 5 est gratuit pour les possesseurs de l’actuelle version 4, alors que toutes les mises à jour majeures avaient été payantes. Pour les autres, le prix est de 5,49 euros.

Copié dans le presse-papier !

Nouvel accessoire de la fondation, le TV Hat doit permettre d'accéder aux différentes chaînes accessibles librement à travers les différentes moutures du Micro PC.

Seuls les modèles 2, 3 et 3B+ sont néanmoins recommandés pour un visionnage direct, pour des raisons de performances. La connexion passe par le connecteur GPIO, dont les 40 broches seront occupées.

Un guide a été mis en ligne, permettant de savoir comment exploiter ce nouvel accessoire, et diffuser du contenu TV sur le réseau via Tvheadend par exemple. Il est annoncé comme supporté par Kodi, LibreELEC et OMXplayer.

Ce module exploite un tuner Sony CXD2880, il est donc déjà compatible avec le futur DVB-T2, qui doit apporter un débit presque doublé, conjointement avec l'utilisation de codec hautes performances comme le HEVC (H.265) à la TNT. Il fonctionne bien entendu avec l'offre TV actuelle.

Il est annoncé à 21,5 dollars, uniquement en Europe dans un premier temps (pourquoi pas un tarif en euros alors ?). On le trouve déjà à un peu moins de 23 euros dans des boutiques spécialisées. Il sera supporté au moins jusqu'en janvier 2023.

Espérons tout de même qu'il posera moins de soucis que le précédent module, consacré au PoE, et assez lourdement critiqué depuis sa sortie.