Netactualité

Estampillée 9.0.124.0, la dernière version en date de l'Adobe Flash Player corrige selon l'éditeur une série d'au moins sept failles de sécurité qualifiées de critiques. L'un des correctifs adresse la vulnérabilité utilisée par un hacker lors de la conférence CanSecWest, début mars. Cette mise à jour intègre également de nouvelles fonctionnalités dédiées à la sécurité. L'une d'elles vise par exemple à protéger la façon dont se font les échanges lorsqu'un script est appelé par une page distante.

D'autre part, indique Adobe, le paramètre AllowScriptAccess, qui gère l'autorisation qu'a un contenu Flash d'exécuter les scripts présents sur la page HTML dans laquelle il est intégré, voit son comportement par défaut modifié. Un second bulletin de sécurité est adressé aux éditeurs de sites Web qui utilisent la technologie Flash, de façon à ce qu'ils puissent éventuellement adapter leur mode de diffusion aux nouvelles contraintes de sécurité liées à cette mise à jour.

Les spécialistes en sécurité d'iSEC viennent de mettre au jour une faille critique dans le noyau du système d'exploitation libre Linux. Concernant tous les noyaux compris entre les versions 2.6.17 et 2.6.24.2, la faille permet une élévation de privilège, n'importe quel compte utilisateur pouvant se voir attribuer les droits liés au compte « root ».

Visiblement reproductible sur toutes les distributions GNU/Linux, la faille serait en cours de correction, les développeurs en charge du noyau étant à pied d'oeuvre pour colmater au plus vite la brêche.

Pour ma part,j'utilise Ubuntu et c'est déjà corrigé depuis hier !! lol

Paypal, le service de paiement en ligne propriété d'eBay, annonce aujourd'hui la mise en place progressive sur le Web américain de Paypal Secure Card, une nouvelle fonctionnalité permettant à ses utilisateurs d'effectuer des versements vers des sites qui n'ont normalement pas recours aux services de Paypal. Ils pourront ainsi éviter de transmettre leurs informations bancaires au site marchand. Mis au point en collaboration avec Mastercard et Orbiscom, Paypal Secure Card prendra la forme d'un plugin pour les navigateurs Internet Explorer et Firefox (Safari en cours de développement).

A chaque fois que l'internaute se connectera chez un commerçant en ligne qui n'accepte pas les paiements en ligne par l'intermédiaire de Paypal, il génèrera un numéro de carte de crédit unique et se chargera de remplir automatiquement le formulaire de paiement pour que l'utilisateur n'ait plus qu'à valider sa transaction. Paypal précise que les informations confidentielles relatives aux paiements des utilisateurs de son service resteront stockées sur ses propres serveurs pour des raisons de sécurité.

Paypal trouve donc le moyen de s'ouvrir aux commerçants en ligne qui jusqu'ici ne souhaitaient pas adhérer à son service, et propose aux internautes qui ne souhaitent pas utiliser leur carte de crédit en ligne une alternative théoriquement sécurisée. La firme indique que Paypal Secure Card a déjà été testé par trois millions d'Américains. Le service devrait être déployé largement aux Etats-Unis à partir du 20 novembre avant d'être porté dans d'autres pays les semaines suivantes.

Probable réponse à la montée de Google Checkout, la solution de paiement de la firme du même nom, Paypal Secure Card repose sur un concept déjà testé par de nombreuses banques. Jusqu'ici, le succès n'avait pas été au rendez-vous. Le volume des transactions en ligne ne cesse toutefois de progresser, justifiant de telles solutions de paiement sécurité. Paypal aurait ainsi permis le transfert de 12,22 milliards de dollars sur le dernier trimestre.

Comme prévu, Microsoft vient de mettre en ligne sa fournée mensuelle de mises à jour de sécurité pour ses systèmes d'exploitation. Ce mois-ci, le géant des logiciels propose six mises à jour de sécurité dont quatre sont de niveau critique et deux jugées simplement « importantes ». La première faille critique concerne le logiciel Kodak Image Viewer (anciennement Wang) qui, avec certains types d'image peut permettre l'exécution de code à distance. Ici, seuls Windows 2000, Windows Server 2003 et Windows XP (tous Service Pack confondus) sont concernés. La seconde mise à jour revient sur une faille d'Outlook Express et de Windows Mail qui peut permettre une exécution de code lors de l'utilisation du protocole NNTP. Le navigateur Internet Explorer profite d'une mise à jour cumulative qui corrige un total de trois nouvelles vulnérabilités. Le dernier patch critique concerne tout particulièrement Word, puisqu'il revient sur une faiblesse du format de documents qui peut permettre, là encore, l'exécution de code à distance, une grande spécialité chez Microsoft ces temps-ci. A noter, Word 2007 n'est ici pas concerné par la faille.

Du côté des correctifs jugés importants, Microsoft prévoyait initialement de revenir sur un problème de spoofing (le pirate se fait ici passer pour l'utilisateur) affectant tous les Windows y compris Vista. Seulement voilà, ce patch a été retiré de la mise à jour mensuelle au dernier moment, vraisemblablement pour des raisons de qualité. Du coup, seule une vulnérabilité pouvant être exploitée afin de lancer des attaques de type DoS (Denial Of Service) est proposée ce mois-ci, mais ici Windows XP et Vista ne sont pas concernés. Le deuxième patch revient quant à lui sur une faille des services SharePoint.

Comme tous les mois, Microsoft en profite bien sûr pour mettre à jour le filtre de courrier indésirable de sa messagerie électronique, Outlook, alors que l'outil de suppression des logiciels malveillants est lui aussi rafraîchi. Lancez le téléchargement sans tarder dans le centre de sécurité s'il est activé ou rendez-vous sur Windows Update pour le téléchargement de ces mises à jour dont certaines requièrent un redémarrage système.