Netactualité

Estampillée 9.0.124.0, la dernière version en date de l'Adobe Flash Player corrige selon l'éditeur une série d'au moins sept failles de sécurité qualifiées de critiques. L'un des correctifs adresse la vulnérabilité utilisée par un hacker lors de la conférence CanSecWest, début mars. Cette mise à jour intègre également de nouvelles fonctionnalités dédiées à la sécurité. L'une d'elles vise par exemple à protéger la façon dont se font les échanges lorsqu'un script est appelé par une page distante.

D'autre part, indique Adobe, le paramètre AllowScriptAccess, qui gère l'autorisation qu'a un contenu Flash d'exécuter les scripts présents sur la page HTML dans laquelle il est intégré, voit son comportement par défaut modifié. Un second bulletin de sécurité est adressé aux éditeurs de sites Web qui utilisent la technologie Flash, de façon à ce qu'ils puissent éventuellement adapter leur mode de diffusion aux nouvelles contraintes de sécurité liées à cette mise à jour.

Les spécialistes en sécurité d'iSEC viennent de mettre au jour une faille critique dans le noyau du système d'exploitation libre Linux. Concernant tous les noyaux compris entre les versions 2.6.17 et 2.6.24.2, la faille permet une élévation de privilège, n'importe quel compte utilisateur pouvant se voir attribuer les droits liés au compte « root ».

Visiblement reproductible sur toutes les distributions GNU/Linux, la faille serait en cours de correction, les développeurs en charge du noyau étant à pied d'oeuvre pour colmater au plus vite la brêche.

Pour ma part,j'utilise Ubuntu et c'est déjà corrigé depuis hier !! lol

Près d'un mois après la découverte d'une faille de sécurité dans le logiciel Adobe Acrobat Reader (version 7, 8.0 et 8.1), qui permettrait, sous Windows XP et via un fichier PDF modifié, d'exécuter du code malicieux, Adobe se décide à réagir en publiant une nouvelle version de son logiciel.

La version 8.1.1 d'Adobe Acrobat Reader permet effectivement de corriger cette faille qualifiée d'importante. Bien qu'Internet Explorer 7 soit mis en cause dans cette faille, c'est bien Adobe qui a décidé de réagir et non Microsoft en publiant un correctif.

La mise à jour peut être obtenue via le module de mise à niveau du logiciel Adobe Acrobat Reader.

La fondation Mozilla distribue depuis quelques heures une mise à jour de sécurité destinée à son navigateur vedette, Firefox qui se voit donc désormais estampillé de la référence 2.0.0.7. Ce correctif vise principalement à combler une faille de sécurité liée à la fonctionnalité QuickTime Media Link de Quicktime, découverte il y a plus d'un an, dont les modalités d'exploitation ont été publiées voilà une semaine sur le Web. Certains auront sans doute déjà remarqué l'activation du module de mise à jour automatique.

Cette vulnérabilité aurait été décelée il y a environ un an par un chercheur anglais nommé Petko Petkov, qui fit à l'époque un rapport à Apple. La mise à jour Quicktime distribuée en mars dernier visait notamment à combler cette vulnérabilité, mais n'aurait pas correctement envisagé l'éventualité dans laquelle le lecteur multimédia est appelé par Firefox dans les versions 2.0.0.6 et antérieures. La semaine dernière, ce chercheur a donc finalement décidé de publier sur son blog un « proof of concept », ou démonstration de l'existence de cette faille.

La vulnérabilité en question permettrait à un pirate mal intentionné d'envoyer à Quicktime du code Javascript, qui est alors interprété par le navigateur Internet de l'utilisateur. Jusqu'ici, l'utilisation de l'extension No Script pour Firefox permettait de se protéger de ce type de menace. Le problème se voit ainsi résolu par cette mise à jour du navigateur Mozilla. Petko Petkov entreprend maintenant de sensibiliser l'opinion au sujet d'une faille similaire permettant d'exploiter des vulnérabilités du moteur d'Internet Explorer à partir de fichiers multimédia appelés dans Windows Media Player, même si l'utilisateur ne surfe qu'avec Firefox, Opera ou tout autre navigateur...