Windows 10, Edge, Office, vulnérabilités
X

News Partenaire

Conformité d’un hébergeur cloud au RGPD : des preuves techniques ?

A l’heure où le règlement général sur la protection des données va entrer en application, entreprises et administrations se demandent toujours comment procéder. Certaines décident d’y aller seules, d’autres se tournent vers des hébergeurs cloud pour les aider et les accompagner. Agarik assume ce rôle en mettant en avant son expertise en matière de sécurité.

Windows 10 a des problèmes avec la police

La flopée de correctifs de sécurité contenues dans la mises à jour de sécurité a permis d’en apprendre de belles sur les vulnérabilités de Windows 10, d’Office et de Edge. Parmi elles, une est particulièrement croustillante : il suffisait d’une simple police de caractères vérolée pour prendre le contrôle de tout le système.

Ce n’était pas Redstone 4 mais le Patch Tuesday du 10 avril recelait quelques pépites parmi les dizaines de « security updates » qu’il comportait. On apprend ainsi qu’une faille dans la façon dont Office gérait les objets OLE permettait à un attaquant de concevoir un mail en RTF (Rich Text Format) pour récupérer des informations sensibles.

De même, ce cher navigateur Edge semblait avoir des difficultés à traiter des objets en mémoire. Alors via un site web compromis un attaquant pouvait « obtenir des informations pour compromettre davantage le système de l'utilisateur ». « La mise à jour corrige la vulnérabilité en modifiant la façon dont Microsoft Edge gère les objets en mémoire » précise Microsoft : le danger est passé.

Microsoft soulève de la fonte

Mais il y a plus croustillant encore ! Cinq failles, CVE-2018-1010, CVE-2018-1012, CVE-2018-1013, CVE-2018-1015 et CVE-2018-1016, permettaient la prise de contrôle par un attaquant du système infecté. Leur vecteur : une police de caractères. Le problème vient de la manière dont « la bibliothèque de polices Windows gère les polices intégrées spécialement conçues ». Un individu malintentionné pourrait alors exploiter cette faille pour injecter du code à distance et « installer des programmes; afficher, modifier ou supprimer des données ou créer de nouveaux comptes avec des droits d'utilisateur complets ».

Et l’exploitation n’a rien de très compliqué. Dans les deux scénarios développés par l’éditeur, il suffit d’une fonte spécialement programmée pour injecter ledit code malveillant. Laquelle sera exécutée par la bibliothèque de polices Windows soit à l’occasion de la consultation d’un site compromis, soit par le biais d’un « fichier de document spécialement conçu pour exploiter cette vulnérabilité » que la victime, pour une raison X ou Y, ouvrirait. Ces failles sont corrigées par les patches publiés par Microsoft mardi.


Inscription gratuite à la newsletter de L'Informaticien.


Noter cet article (de 1 = Nul à 5 = Excellent) Valider
Autres infos Sécurité


A votre avis...

THD filaire partout !

THD filaire partout !

Yann Serra
Du gigabit Ethernet déployé à partir d’un simple tableau électrique permet, pour moins de 250 €, de desservir une douzaine de postes en TPE, dans un point de vente, ou en habitation.

Mobilité indoor

Mobilité indoor

Disposer d’une connexion mobile haut débit à l’intérieur d’un local n’est pas toujours chose aisée. Plusieurs centaines de communes françaises demeurent en zones blanches, les nouveaux...

Cryptoradiateur

Cryptoradiateur

Chauffer gratuitement et écologiquement des bâtiments et des logements grâce à la chaleur issue de serveurs informatiques ! C’est ni plus ni moins la promesse magique de Qarnot Computing.

RSS
Afficher tous les dossiers

LOGICIELS D'ENTREPRISE : UNE TRANSFORMATION PROFONDE - Licences logicielles : éditeurs/entreprises, le clash ! - La 5G sort des labos - Windows Subsystem for Linux - Recherche désespérément ingénieurs système - 3 solutions pour booster le réseau WiFi - Rencontre avec Serge Tisseron : nous devons savoir à tout moment avec qui/quoi nous interagissons...

 

BÂTIR LA MAISON INTELLIGENTE - GitHub by Microsoft + alternatives - FIDO2, l'après mot de passe - Open Street Map alternative à Google Maps ? - Java 10/Java 11 ne loupez pas le train - Marseille, 1er port numérique européen ? - OpenClassrooms : l'e-learning "non élitiste" à la conquête du monde...

 

DOSSIER ANTI-VIRUS : chronique d'une mort annoncée... ou mutation profonde ? - DPO/DPD : notification des violations de données personnelles - Tribune Philippe Loudenot - Entretien avec Isabelle Falque-Pierrotin, Présidente de la Cnil - Aspects juridiques du Bug Bounty - Reportage au X-Force Command center IBM à Wroclaw - Cylance, le nouveau trublion - MOOC Anssi - Portrait Manuel Dorne alias "Korben"...

 

Afficher tous les derniers numéros

Pour répondre aux exigences de rapidité du modèle DevOps en conservant une cybersécurité efficace, de nouvelles approches doivent être adoptées en matière de sécurité de l'information, comme la sécurité intégrée, l’automatisation et la prévention proactive.


PROTECTION ENDPOINT NEXT-GEN : ÉVOLUTION OU RÉVOLUTION ?, un Livre Blanc SOPHOS.

Après la révolution Next-Gen Firewall de ces dernières années, une nouvelle révolution Next-Gen est cours dans le domaine de la sécurité des systèmes Endpoint. Au-delà du débat pour savoir s’il s’agit d’une révolution ou d’une simple évolution, il est certain qu’une série de nouvelles technologies est en train de rapidement émerger, en apportant une contribution significative à la lutte contre les menaces avancées.


En tant que professionnel de l'informatique, vous en avez sans doute assez d'entendre parler de transformation numérique. Après tout, vous vous occupez déjà d'optimiser la gestion des actifs et de déployer les programmes big data, tout en assurant la protection et la restauration de toutes les données de votre organisation. Or, la transformation numérique peut devenir un projet d'envergure qui ne consiste pas seulement à gérer des données, mais aussi à repenser entièrement le modèle de l'entreprise et/ou à développer une nouvelle stratégie produit innovante, dans les scénarios les plus ambitieux.

  


Atteignez vos objectifs de conformité tout en améliorant votre sécurité avec le PAM (Privileged Access Management = Gestion des accès à privilèges). Un Livre Blanc Wallix.

  


Aujourd’hui, les entreprises doivent ouvrir leur SI à un nombre toujours plus important de prestataires extérieurs, d’abord pour réduire le budget informatique – recours à des prestataires externes pour des compétences qui ne font pas partie du cœur de métier de la DSI - ensuite pour gagner en rapidité dans le déploiement de nouvelles solutions.

  


Tous les Livres Blancs
Derniers commentaires
Google souffle ses vingt bougies ce 24 septembre 2018 Google, né en septembre 1998, fête ses 20 ans lundi avec une conférence de presse à San Francisco. Simple moteur de recherche au départ, il est désormais l'une des multinationales les plus puissantes de la planète, qui engrange les milliards et... les critiques.  [Lire la dépêche...]

L'application mobile du réseau social Black & Black, le 21 septembre2018 à Rio de Janeiro, au Brésil À l'approche des élections générales brésiliennes, le réseau social Black & Black se présente comme le premier au monde destiné à la communauté noire, donnant plus de visibilité aux candidats de couleur dans un pays gravement touché par le racisme. [Lire la dépêche...]

Une propriété en vente à Pasadena, le 20 juin 2018 en CalifornieJames et Candace Butcher allaient enfin acheter la maison dont ils rêvaient pour leurs vieux jours en faisant un virement électronique de 272.000 dollars. Mais quelques heures plus tard, la somme s'était volatilisée. [Lire la dépêche...]

Le président américain Donald Trump, le 21 septembre 2018 à Springfeld, dans le MissouriLa Maison Blanche examinerait un projet de décret donnant instruction aux agences fédérales de mener une enquête antitrust sur les pratiques des plateformes de médias sociaux, comme Google, Facebook ou Twitter, selon un document obtenu par l'agence Bloomberg News. [Lire la dépêche...]

La Colombie est le premier pays où peut être utilisé Dating, site du réseau social Facebook permettant à ses abonnés de rencontrer des personnes aux intérêts similaires, a annoncé le groupe américain. [Lire la dépêche...]

Des employés de Google ont voulu contrer le décret migratoire de Trump, selon le Wall Street JournalDes employés de Google ont discuté de stratégies pour contrer le décret migratoire de Donald Trump empêchant l'entrée aux Etats-Unis de ressortissants de pays à majorité musulmane, en favorisant des contenus proposant de l'aide à ces personnes, révèle vendredi le Wall Street Journal. [Lire la dépêche...]

Précurseur de l'ère des podcasts et programme radiophonique le plus téléchargé de l'histoire, l'émission américaine Précurseur de l'ère des podcasts et programme radiophonique le plus téléchargé de l'histoire, l'émission américaine "Serial" a mis en ligne jeudi le premier épisode de sa troisième saison, consacré à des affaires judiciaires ordinaires à Cleveland. [Lire la dépêche...]

Des visiteurs jouent aux anciens jeux vidéo, au Tokyo Game Show, le 21 septembre 2018Ce n'est pas ce qui épate le plus, mais à en juger par la gaieté de ceux qui s'y adonnent au Tokyo Game Show, les jeux vidéo rétro des années 80 ont un vrai public, ravi que les fabricants remettent leurs premières consoles au goût du jour. [Lire la dépêche...]

Toutes les dépêches AFP
AgendaIT

DREAMFORCE

Salesforce convie ses utilisateurs et partenaires à sa conférence annuelle Dreamforce du 25 au 28 septembre 2018 à San Francisco (Moscone Center). Organisée par Salesforce.
Journée de partage d’expériences sur l'IA, la Blockchain, l'Internet des Objets, le Cloud, la Sécurité, le 9 octobre 2018 à Paris (Carrousel du Louvre). Organisée par IBM.

LES ASSISES

Grand rendez-vous annuel des RSSI, les Assises de la sécurité des systèmes d'information se tiennent à Monaco (Grimaldi Forum) du 10 au 13 octobre 2018. Organisées par DG Consultants.
RSS
Voir tout l'AgendaIT