Windows 10, Edge, Office, vulnérabilités
X
WINDEV au cœur de Battlekart

News Partenaire

WINDEV au cœur de Battlekart

Découvrez dans cette vidéo comment l’environnement de développement WINDEV a été mis à contribution pour améliorer de façon spectaculaire le plaisir du karting et gagner un temps précieux dans le développement des applications. L’interaction entre les projecteurs, les PC, les tablettes embarquées dans les karts, les bornes,… tout a été créé à partir de WINDEV.

Windows 10 a des problèmes avec la police

La flopée de correctifs de sécurité contenues dans la mises à jour de sécurité a permis d’en apprendre de belles sur les vulnérabilités de Windows 10, d’Office et de Edge. Parmi elles, une est particulièrement croustillante : il suffisait d’une simple police de caractères vérolée pour prendre le contrôle de tout le système.

Ce n’était pas Redstone 4 mais le Patch Tuesday du 10 avril recelait quelques pépites parmi les dizaines de « security updates » qu’il comportait. On apprend ainsi qu’une faille dans la façon dont Office gérait les objets OLE permettait à un attaquant de concevoir un mail en RTF (Rich Text Format) pour récupérer des informations sensibles.

De même, ce cher navigateur Edge semblait avoir des difficultés à traiter des objets en mémoire. Alors via un site web compromis un attaquant pouvait « obtenir des informations pour compromettre davantage le système de l'utilisateur ». « La mise à jour corrige la vulnérabilité en modifiant la façon dont Microsoft Edge gère les objets en mémoire » précise Microsoft : le danger est passé.

Microsoft soulève de la fonte

Mais il y a plus croustillant encore ! Cinq failles, CVE-2018-1010, CVE-2018-1012, CVE-2018-1013, CVE-2018-1015 et CVE-2018-1016, permettaient la prise de contrôle par un attaquant du système infecté. Leur vecteur : une police de caractères. Le problème vient de la manière dont « la bibliothèque de polices Windows gère les polices intégrées spécialement conçues ». Un individu malintentionné pourrait alors exploiter cette faille pour injecter du code à distance et « installer des programmes; afficher, modifier ou supprimer des données ou créer de nouveaux comptes avec des droits d'utilisateur complets ».

Et l’exploitation n’a rien de très compliqué. Dans les deux scénarios développés par l’éditeur, il suffit d’une fonte spécialement programmée pour injecter ledit code malveillant. Laquelle sera exécutée par la bibliothèque de polices Windows soit à l’occasion de la consultation d’un site compromis, soit par le biais d’un « fichier de document spécialement conçu pour exploiter cette vulnérabilité » que la victime, pour une raison X ou Y, ouvrirait. Ces failles sont corrigées par les patches publiés par Microsoft mardi.


Inscription gratuite à la newsletter de L'Informaticien.


Noter cet article (de 1 = Nul à 5 = Excellent) Valider
Autres infos Sécurité


A votre avis...

Cryptojacking

En seulement quelques mois, le cryptojacking est devenu le nouvel eldorado des cybercriminels du monde entier. Les cryptomineurs débarquent.

Honolulu

Honolulu

Certains diront «Enfin !»… Avec Project Honolulu, Microsoft compte révolutionner le pilotage de Windows Server au travers d’une console web moderne et graphique, unifiant les divers anciens outils...

La folie blockchain !

La folie blockchain !

Depuis quelques mois, l’actualité autour de la blockchain est plus palpitante que jamais. L’été 2017 aura été l’occasion d’un feuilleton haletant pour le Bitcoin. Ce sujet est autant...

RSS
Afficher tous les dossiers

BÂTIR LA MAISON INTELLIGENTE - GitHub by Microsoft + alternatives - FIDO2, l'après mot de passe - Open Street Map alternative à Google Maps ? - Java 10/Java 11 ne loupez pas le train - Marseille, 1er port numérique européen ? - OpenClassrooms : l'e-learning "non élitiste" à la conquête du monde...

 

DOSSIER ANTI-VIRUS : chronique d'une mort annoncée... ou mutation profonde ? - DPO/DPD : notification des violations de données personnelles - Tribune Philippe Loudenot - Entretien avec Isabelle Falque-Pierrotin, Présidente de la Cnil - Aspects juridiques du Bug Bounty - Reportage au X-Force Command center IBM à Wroclaw - Cylance, le nouveau trublion - MOOC Anssi - Portrait Manuel Dorne alias "Korben"...

 

GÉRER LE CLOUD HYBRIDE - Kubernetes et les Cloud CaaS - Annonces Build 2018 - Internet plus sûr avec TLS 1.3 - WiFi 802.11ax - Data Warehouse du futur - Au coeur d'Hexatrust : Gatewatcher, l'innovation chevillée au corps - Formations Blockchains - IoT pour tous avec Sens'It de Sigfox...

 

Afficher tous les derniers numéros
News Mag-Securs

Retrouvez actualités, dossiers et communiqués sur la sécurité du système d'information sur le portail Mag-Securs

En tant que professionnel de l'informatique, vous en avez sans doute assez d'entendre parler de transformation numérique. Après tout, vous vous occupez déjà d'optimiser la gestion des actifs et de déployer les programmes big data, tout en assurant la protection et la restauration de toutes les données de votre organisation. Or, la transformation numérique peut devenir un projet d'envergure qui ne consiste pas seulement à gérer des données, mais aussi à repenser entièrement le modèle de l'entreprise et/ou à développer une nouvelle stratégie produit innovante, dans les scénarios les plus ambitieux.

  


Atteignez vos objectifs de conformité tout en améliorant votre sécurité avec le PAM (Privileged Access Management = Gestion des accès à privilèges). Un Livre Blanc Wallix.

  


Aujourd’hui, les entreprises doivent ouvrir leur SI à un nombre toujours plus important de prestataires extérieurs, d’abord pour réduire le budget informatique – recours à des prestataires externes pour des compétences qui ne font pas partie du cœur de métier de la DSI - ensuite pour gagner en rapidité dans le déploiement de nouvelles solutions.

  


Adoptée le 6 juillet 2016, la directive NIS (pour Network Infrastructure Security) doit être transposée par les Etats membres de l’Union Européenne au plus tard le 9 mai 2018.

Ce Livre Blanc éclaire les enjeux et les impacts de la directive NIS sur les pratiques de cybersécurité des pays européens.

  


"L'entreprise numérique", un Livre Blanc IDC/Interxion.

Ce livre blanc présente les résultats d'une enquête menée auprès de plus de 750 entreprises européennes.

Vous y découvrirez l'approche adoptée par les leaders du numérique, combinant l’adoption des services Cloud avec une politique d’hébergement externalisé.  

  


Tous les Livres Blancs
Derniers commentaires
Décollage de la fusée Ariane 5 avec quatre satellites Galileo, lors d'une précédente opération, le 12 décembre 2017 à Kourou, en GuyaneL'Europe spatiale s'apprête à lancer mercredi quatre nouveaux satellites Galileo, qui permettront à ce système de navigation d'avoir une couverture mondiale et d'affiner encore sa précision, un an et demi après le lancement de ses premiers services. [Lire la dépêche...]

Une salle du cinéma Pathé équipée d'un écran Screen X, le 20 juillet 2018 au Parc de La Villette, à Paris 
  Images sur les côtés, écran géant ou fauteuils qui bougent: de Paris à Séoul les cinémas parient de plus en plus sur la technologie pour faire des films une expérience unique, à l'heure de la concurrence grandissante des plateformes en ligne. [Lire la dépêche...]

Une étudiante utilise un smartphone sur le campus d'Islamabad le 12 juillet 2018Une foule de jeunes, la plupart armés de smartphones, entoure la voiture d'un député et commence à filmer une scène peu commune au Pakistan: des électeurs en colère réclament désormais des comptes en direct à leurs représentants. [Lire la dépêche...]

Facebook, Google, Microsoft et Twitter ont décidé de collaborer pour faciliter la portabilité des données personnelles des internautes qui voudraient transférer leurs données d'un service à l'autreFacebook, Google, Microsoft et Twitter ont décidé de collaborer pour faciliter la portabilité des données personnelles des internautes qui voudraient transférer leurs données d'un service à l'autre, ont-ils annoncé vendredi. [Lire la dépêche...]

Google Maps a acquis une domination écrasante sur le marché de la cartographie pour les sites internetGoogle Maps est devenu payant pour les entreprises, une petite révolution qui réveille un marché de la cartographie sur internet longtemps anesthésié par la quasi-gratuité des services du géant américain. [Lire la dépêche...]

Cyberattaque sans précédent à Singapour: 1,5 million de dossiers médicaux volésDes hackers ont volé des dossiers médicaux appartenant à 1,5 million d'habitants de Singapour, y compris au Premier ministre Lee Hsien Loong, spécifiquement visé par cette attaque "sans précédent", ont annoncé vendredi les autorités. [Lire la dépêche...]

La messagerie WhatsApp a annoncé vendredi limiter les transferts de messages en Inde, une mesure destinée à freiner la propagation de La messagerie WhatsApp a annoncé vendredi limiter les transferts de messages en Inde, une mesure destinée à freiner la propagation de "fake news" qui ont causé une série de violences meurtrières dans ce pays d'Asie du Sud. [Lire la dépêche...]

Un projet de ballon-transmetteur d'internet de Google présenté à Christchurch, le 16 juin 2013 en Nouvelle-ZélandeAlphabet, la maison-mère de Google, va déployer au Kenya pour la première fois commercialement ses ballon-transmetteurs d'internet destinés à fournir des connexions dans des régions isolées, a indiqué jeudi Loon, filiale d'Alphabet, qui met au point cette technologie. [Lire la dépêche...]

Toutes les dépêches AFP
AgendaIT

NEXT

Conférence et exposition sur le futur du cloud selon Google à San Francisco, Moscone Center, du 24 au 26 juillet 2018 (bootcamps le 23). Organisé par Google.

BLACK HAT

Événement majeur mondial sur la sécurité de l'information la conférence Black Hat USA a lieu du 4 au 9 août 2018 à Las Vegas (Mandalay Bay). Organisé par UBM.

RURALITIC

Evénement de la rentrée pour les acteurs du développement numérique des territoires, Ruralitic tient à Aurillac (centre des congrès) sa 13ème édition du 28 au 30 août 2018. Organisé par monterritoirenumerique.com et le conseil départemental du Cantal.

IFA

IFA IFA
Le plus grand salon professionnel européen de l'électronique grand public a lieu à Berlin du 31 août au 5 septembre 2018. Organisé par Messe Berlin.

LES ASSISES

Grand rendez-vous annuel des RSSI, les Assises de la sécurité des systèmes d'information se tiennent à Monaco (Grimaldi Forum) du 10 au 13 octobre 2018. Organisées par DG Consultants.
RSS
Voir tout l'AgendaIT