Netactualité - securite

Mises à jour de sécurité Microsoft de juin en ligne

lotusss — Sat, 14 Jun 2008 15:34:00 +0200

Comme tous les seconds mardis de chaque mois,Microsoft a publie l'ensemble de ses correctifs mensuels en matière de sécurité à destination de ses systèmes d'exploitation. Parmi les correctifs, Microsoft publie un total de sept bulletins de sécurité dont trois sont jugés critiques, les autres correctifs étant moins importants. Au menu des corrections, Microsoft revient sur une faille de sa pile Bluetooth qui pouvait permettre l'exécution de code à distance alors que l'éditeur publie une mise à jour cumulative pour son navigateur vedette. Internet Explorer profite en effet de diverses nouvelles corrections qui remédient à de potentiels risques d'exécution de code à distance.

D'autres correctifs sont également d'actualité avec la correction d'un problème modéré dans la gestion d'ActiveX ou encore le colmatage d'une brèche dans DirectX qui pouvait permettre l'exécution de code à distance. Trois autres failles dans la gestion WINS, la prise en charge ActiveDirectory ou encore dans le protocole PGM sont également corrigées alors que Microsoft met à jour son outil de suppression des virus et ses filtres de courrier indésirable. Rendez-vous sur Windows Update pour le téléchargement de ces mises à jour.

Linux : le noyau (Kernel) passe à la 2.6.25

lotusss — Mon, 21 Apr 2008 16:52:00 +0200

Une nouvelle mouture du noyau (kernel) pour les systèmes basés sur Linux voit aujourd'hui le jour. Elle est estampillée 2.6.25. Elle corrige plusieurs bugs, ainsi que plusieurs failles de sécurité. Plusieurs problèmes au niveau de la prise en charge IDE / PATA ont ainsi été rectifiés. Le système de fichier Ext4 a été amélioré, tout comme la gestion de la mémoire dans certains cas précis.

Des améliorations sont également à souligner au niveau de l'ACPI, de SMACK et des pilotes permettant la gestion de l'USB, du son, de l'affichage, du HID ... La liste complète des modifications apportées se trouve sur cette page (attention en anglais).

Pour le téléchargement du Kernel 2.6.25 sous sa forme finalisée, il faut passer par cette page.

Adobe : mise à jour de sécurité du lecteur Flash

lotusss — Sat, 19 Apr 2008 16:12:00 +0200

Estampillée 9.0.124.0, la dernière version en date de l'Adobe Flash Player corrige selon l'éditeur une série d'au moins sept failles de sécurité qualifiées de critiques. L'un des correctifs adresse la vulnérabilité utilisée par un hacker lors de la conférence CanSecWest, début mars. Cette mise à jour intègre également de nouvelles fonctionnalités dédiées à la sécurité. L'une d'elles vise par exemple à protéger la façon dont se font les échanges lorsqu'un script est appelé par une page distante.

D'autre part, indique Adobe, le paramètre AllowScriptAccess, qui gère l'autorisation qu'a un contenu Flash d'exécuter les scripts présents sur la page HTML dans laquelle il est intégré, voit son comportement par défaut modifié. Un second bulletin de sécurité est adressé aux éditeurs de sites Web qui utilisent la technologie Flash, de façon à ce qu'ils puissent éventuellement adapter leur mode de diffusion aux nouvelles contraintes de sécurité liées à cette mise à jour.

Firefox en version 2.0.0.13

lotusss — Fri, 28 Mar 2008 09:43:00 +0100

Une nouvelle version de Firefox vient de sortir, en version 2.0.0.13 qui corrige principalement des failles de sécurité.

en attendant la sortie de la version 3.0, vous pouvez télécharger cette nouvelle version ici :

http://www.mozilla-europe.org/fr/products/firefox/

Le noyau Linux victime d'une faille critique

lotusss — Sat, 16 Feb 2008 15:50:00 +0100

Les spécialistes en sécurité d'iSEC viennent de mettre au jour une faille critique dans le noyau du système d'exploitation libre Linux. Concernant tous les noyaux compris entre les versions 2.6.17 et 2.6.24.2, la faille permet une élévation de privilège, n'importe quel compte utilisateur pouvant se voir attribuer les droits liés au compte « root ».

Visiblement reproductible sur toutes les distributions GNU/Linux, la faille serait en cours de correction, les développeurs en charge du noyau étant à pied d'oeuvre pour colmater au plus vite la brêche.

Pour ma part,j'utilise Ubuntu et c'est déjà corrigé depuis hier !! lol

Mozilla Firefox 2.0.0.12 est sorti

lotusss — Sat, 16 Feb 2008 15:36:00 +0100

Une mise à jour de Mozilla Firefox a été publiée il y a quelques jours. Estampillée 2.0.0.12, elle corrige notamment une faille de sécurité permettant une élévation de privilèges et l'exécution de code à distance et une autre vulnérabilité susceptible de rendre possible le vol de l'historique de navigation. Plusieurs bugs sont également résolus.

Paypal Secure Card: alternative à la carte de crédit

lotusss — Wed, 28 Nov 2007 14:42:00 +0100

Paypal, le service de paiement en ligne propriété d'eBay, annonce aujourd'hui la mise en place progressive sur le Web américain de Paypal Secure Card, une nouvelle fonctionnalité permettant à ses utilisateurs d'effectuer des versements vers des sites qui n'ont normalement pas recours aux services de Paypal. Ils pourront ainsi éviter de transmettre leurs informations bancaires au site marchand. Mis au point en collaboration avec Mastercard et Orbiscom, Paypal Secure Card prendra la forme d'un plugin pour les navigateurs Internet Explorer et Firefox (Safari en cours de développement).

A chaque fois que l'internaute se connectera chez un commerçant en ligne qui n'accepte pas les paiements en ligne par l'intermédiaire de Paypal, il génèrera un numéro de carte de crédit unique et se chargera de remplir automatiquement le formulaire de paiement pour que l'utilisateur n'ait plus qu'à valider sa transaction. Paypal précise que les informations confidentielles relatives aux paiements des utilisateurs de son service resteront stockées sur ses propres serveurs pour des raisons de sécurité.

Paypal trouve donc le moyen de s'ouvrir aux commerçants en ligne qui jusqu'ici ne souhaitaient pas adhérer à son service, et propose aux internautes qui ne souhaitent pas utiliser leur carte de crédit en ligne une alternative théoriquement sécurisée. La firme indique que Paypal Secure Card a déjà été testé par trois millions d'Américains. Le service devrait être déployé largement aux Etats-Unis à partir du 20 novembre avant d'être porté dans d'autres pays les semaines suivantes.

Probable réponse à la montée de Google Checkout, la solution de paiement de la firme du même nom, Paypal Secure Card repose sur un concept déjà testé par de nombreuses banques. Jusqu'ici, le succès n'avait pas été au rendez-vous. Le volume des transactions en ligne ne cesse toutefois de progresser, justifiant de telles solutions de paiement sécurité. Paypal aurait ainsi permis le transfert de 12,22 milliards de dollars sur le dernier trimestre.

Acrobat Reader : Adobe corrige la faille sur le PDF

lotusss — Fri, 09 Nov 2007 09:56:00 +0100

Près d'un mois après la découverte d'une faille de sécurité dans le logiciel Adobe Acrobat Reader (version 7, 8.0 et 8.1), qui permettrait, sous Windows XP et via un fichier PDF modifié, d'exécuter du code malicieux, Adobe se décide à réagir en publiant une nouvelle version de son logiciel.

La version 8.1.1 d'Adobe Acrobat Reader permet effectivement de corriger cette faille qualifiée d'importante. Bien qu'Internet Explorer 7 soit mis en cause dans cette faille, c'est bien Adobe qui a décidé de réagir et non Microsoft en publiant un correctif.

La mise à jour peut être obtenue via le module de mise à niveau du logiciel Adobe Acrobat Reader.

Les mises à jour de sécurité d'octobre en ligne

lotusss — Tue, 23 Oct 2007 20:37:00 +0200

Comme prévu, Microsoft vient de mettre en ligne sa fournée mensuelle de mises à jour de sécurité pour ses systèmes d'exploitation. Ce mois-ci, le géant des logiciels propose six mises à jour de sécurité dont quatre sont de niveau critique et deux jugées simplement « importantes ». La première faille critique concerne le logiciel Kodak Image Viewer (anciennement Wang) qui, avec certains types d'image peut permettre l'exécution de code à distance. Ici, seuls Windows 2000, Windows Server 2003 et Windows XP (tous Service Pack confondus) sont concernés. La seconde mise à jour revient sur une faille d'Outlook Express et de Windows Mail qui peut permettre une exécution de code lors de l'utilisation du protocole NNTP. Le navigateur Internet Explorer profite d'une mise à jour cumulative qui corrige un total de trois nouvelles vulnérabilités. Le dernier patch critique concerne tout particulièrement Word, puisqu'il revient sur une faiblesse du format de documents qui peut permettre, là encore, l'exécution de code à distance, une grande spécialité chez Microsoft ces temps-ci. A noter, Word 2007 n'est ici pas concerné par la faille.

Du côté des correctifs jugés importants, Microsoft prévoyait initialement de revenir sur un problème de spoofing (le pirate se fait ici passer pour l'utilisateur) affectant tous les Windows y compris Vista. Seulement voilà, ce patch a été retiré de la mise à jour mensuelle au dernier moment, vraisemblablement pour des raisons de qualité. Du coup, seule une vulnérabilité pouvant être exploitée afin de lancer des attaques de type DoS (Denial Of Service) est proposée ce mois-ci, mais ici Windows XP et Vista ne sont pas concernés. Le deuxième patch revient quant à lui sur une faille des services SharePoint.

Comme tous les mois, Microsoft en profite bien sûr pour mettre à jour le filtre de courrier indésirable de sa messagerie électronique, Outlook, alors que l'outil de suppression des logiciels malveillants est lui aussi rafraîchi. Lancez le téléchargement sans tarder dans le centre de sécurité s'il est activé ou rendez-vous sur Windows Update pour le téléchargement de ces mises à jour dont certaines requièrent un redémarrage système.