du 22 février 2019
Date

Choisir une autre édition

La découverte a été faite par l'équipe de sécurité de Check Point Research, qui a publié un (très) long billet de blog détaillant son fonctionnement.

Selon les chercheurs, elle permet de « prendre le contrôle total de l'ordinateur de la victime ». À cause d'une vulnérabilité dans la bibliothèque UNACEV2.DLL, il est possible de « créer des fichiers dans des dossiers arbitraires, à l'intérieur ou non du dossier de destination, lors de la décompression des archives ACE », explique WinRAR.

Problème, UNACEV2.DLL n'est plus mis à jour depuis 2005 et la société n'a pas accès au code source. « Nous avons donc décidé de supprimer la prise en charge du format ACE pour protéger la sécurité des utilisateurs de WinRAR », indiquent les notes de version de la 5.70 bêta.

WinRAR supprime la prise en charge du format ACE pour boucher une faille vieille de 19 ans
chargement Chargement des commentaires...

À découvrir dans #LeBrief
Copié dans le presse-papier !

Le mystérieux compte SandboxEscaper sur GitHub a publié récemment les détails de trois failles 0-day dans Windows.

La première a été publiée mardi et est de type escalade de privilèges. Elle réside dans le Windows Task Scheduler et peut permettre à un utilisateur authentifié localement d’obtenir les droits SYSTEM.

La deuxième, également de type escalade, a été publiée hier. Elle se trouve cette fois dans le service Windows Error Reporting. Exploitée, elle pourrait autoriser un utilisateur à modifier des fichiers normalement hors d’atteinte.

La dernière, elle aussi publiée hier, affecte Internet Explorer 11. Elle pourrait permettre à un code JavaScript d’être exploité avec des privilèges plus élevés que ce que ne permet la sandbox.

Ces trois nouvelles failles viennent s’ajouter aux quatre autres dont les détails avaient été publiés au cours de l’année écoulée. Aucune des sept vulnérabilités ne peut être exploitée à distance.

Elles ne sont donc pas critiques, mais restent sérieuses puisqu’un pirate pourrait gagner des droits administrateur depuis un compte classique s’il devait en obtenir un à distance. En outre, ces failles peuvent être éventuellement exploitées en conjonction d’autres brèches pour obtenir cette fois un scénario d’attaque distante.

Microsoft n’a pas encore réagi à ces informations.

Copié dans le presse-papier !

Elle se tiendra au McEnery Convention Center de San Jose (Californie). Il s'agit pour rappel de la keynote d'ouverture de l'événement dédié aux développeurs qui se tiendra du 3 au 7 juin.

Il devrait donc y être question des prochaines grosses versions des systèmes d'exploitation de la marque à la pomme, notamment iOS 13 et macOS 10.15.

Copié dans le presse-papier !

On passera sur les promesses de changer le monde (ou presque) avec une petite modification du design pour se concentrer sur l'essentiel.

Désormais, « le nom du site et son icône apparaissent en haut de la fiche de résultats » afin de mieux identifier la source. Les publicités suivent le mouvement avec « Ad » désormais affiché en haut comme les nom et icône des sites.

Bref, la mention d'une publicité est donc moins visible, permettant aux réclames de mieux se fondre dans le décor au passage… de quoi certainement augmenter un peu plus le taux de clic et donc les revenus de Google.

Copié dans le presse-papier !

« Nous avons sur la 5G un retard de quelques semaines à deux mois », a annoncé le directeur général du groupe lors d'une assemblée générale, comme le rapporte Reuters.

Nos confrères ajoutent que l'équipementier a enregistré une perte inattendue sur les trois premiers mois de l'année à cause de retards de livraison sur les produits 5G.

Le directeur en profite pour faire une déclaration sur la situation de son concurrent Huawei sous le coup d'une exclusion des États-Unis : « Il y a peut-être une opportunité à long terme, mais au-delà de ça, c’est difficile à dire pour le moment ».