X
IDNOMIC : l'identité innovante

News Partenaire

IDNOMIC : l'identité innovante

Spécialiste de la gestion et de la protection de l’identité numérique, IDNOMIC poursuit son développement en proposant de nouvelles solutions pour la sécurisation des objets connectés et du monde industriel. Retour sur 15 ans d’innovations au sein d’une entreprise qui se réinvente de façon permanente.

ThreadX : deux vulnérabilités découvertes

Une équipe de chercheurs a découvert un ensemble de bugs dans le système d'exploitation temps réel, dont deux sont particulièrement sévères. ThreadX est présent selon son éditeur sur 6,2 milliards d’appareils.

ThreadX est un système d'exploitation temps réel (RTOS) embarqué dans de nombreux produits, ordinateurs portables, routeurs, consoles de jeux, objets connectés, matériel médical, équipements industriels… Express Logic, son éditeur, revendique 6,2 milliards d'unités déployées.

Soit autant d’appareils potentiellement vulnérables, selon la société Embedi, dont les chercheurs ont découvert deux vulnérabilités dans le RTOS. La première permet pour le pool de blocs ThreadX d’écraser le pointeur vers le prochain bloc libre et d'en contrôler l’allocation,  plaçant ainsi ce bloc de sorte à pouvoir exécuter du code malveillant.

Corruption mémoire

La seconde concerne le SoC Marvell Avastar et en particulier le micrologiciel Marvell WiFi. Là encore, l’attaquant est en mesure d’exécuter du code malveillant en écrasant simplement l’espace supplémentaire du bloc suivant si celui-ci est occupé. Si l’exploitation de ces deux vulnérabilités requiert une escalade de privilège pour l’exécution de code, celle-ci est chose aisée selon les chercheurs, qui ont également publié un PoC d’une attaque contre le SteamLink de Valve.

« Cette faille offre la possibilité d’attaquer les périphériques avec une interaction zéro-clic dans n'importe quel état de connexion sans fil » précise Embedi. Toutefois, selon Express Logic, ces vulnérabilités sont dues à l’implémentation de ThreadX, et non au RTOS lui-même. Il serait donc faux de penser que les 6 milliards de terminaux embarquant ThreadX sont vulnérables. L’entreprise précise que les correctifs sont en cours de développement et devraient être prochainement disponibles.


Inscription gratuite à la newsletter de L'Informaticien.


Noter cet article (de 1 = Nul à 5 = Excellent) Valider
Autres infos Sécurité


Google et les DSI

Google et les DSI

Malgré les condamnations en justice, les augmentations tarifaires, l’abandon de Google +… la firme de Mountain View aurait gagné du crédit auprès des DSI français. Depuis 2018, les contrats...

Blockchain

Blockchain

Si les premières applications exploitant des blockchains ont souvent été développées par des petites start-up innovantes, la fête est finie. Les géants de l’IT se bousculent sur un...

Informaticien « green »

Informaticien « green »

Savoir réduire l’impact environnemental de l’IT, mais aussi exploiter le digital pour faciliter la transition énergétique et de développement durable. Ces compétences sont de plus en plus...

RSS
Afficher tous les dossiers

SMARTPHONES PLIABLES : juste un truc de geeks ? - Toutes les nouveautés du MWC - La 5G en entreprise - Kit de survie en mobilité - La faillite du "10 nm" chez Intel - DaaS : la fièvre du "as a service" gagne le desktop - Identifier les bugs grâce à l'IA - Développeurs : les meilleures plates-formes pour le recrutement - Inner source : de nouvelles communautés open source...

 

BIG DATA : la maturité ! marché, technologies, retours d'expérience - L'informatique du Grand Débat - Google & les DSI : des armes de séduction fatales ? - Dataops ou quand les méthodes agiles rencontrent le Big Data - Entretien avec Luc Julia, co-créateur de Siri - Tests assistants vocaux avec écrans...

 

CYBER-RÉSILIENCE : une question d'anticipation - Tendances 2019 : Edge, SD-Wan, Cloud hybride, collaboratif, IA/deep learning, Blockchain, SaaS - 5G enjeux sécurité - Cloud chez soi : idée géniale ou idiote ? - Fin des mainframes ? - Langages les plus buggés - Véhicules autonomes : les débouchés pour les informaticiens...

 

Afficher tous les derniers numéros

L’Intelligence Artificielle promet de révolutionner la perception de la cybersécurité au coeur des entreprises, mais pas uniquement. Ce changement de paradigme engage, en effet, une redéfinition complète des règles du jeu pour les DSI et les RSSI, ainsi que l’ensemble des acteurs de la sécurité.


Lorsque l'on déploie des postes de travail, ils ont généralement tous la même configuration matérielle et logicielle (avec certaines spécificités selon les services). Mais on ne peut pas toujours tout prévoir et il arrive par exemple que de nouveaux programmes doivent être installés ou n’aient pas été prévus. L’accumulation de logiciels « lourds » est susceptible de provoquer des lenteurs significatives sur un PC allant jusqu’à l’extinction nette de l’application. Ce livre blanc explique comment optimiser les performances au travers de 5 conseils rapides à mettre en place.


Ce guide est conçu pour aider les entreprises à évaluer les solutions de sécurité des terminaux. Il peut être utilisé par les membres de l'équipe de réponse aux incidents et des opérations de sécurité travaillant avec des outils de sécurité des points finaux sur une base quotidienne. Il peut également être utilisé par les responsables informatiques, les professionnels de la sécurité, les responsables de la conformité et d’autres personnes pour évaluer leurs performances. les capacités de l’entreprise en matière de cybersécurité, identifier les lacunes dans la sécurité des terminaux et sélectionner les bons produits pour combler ces lacunes.


Au cours de l'année 2018, VansonBourne a mené une enquête pour le compte de Nutanix afin de connaître les intentions des entreprises en matière d'adoption de clouds privés, hybrides et publics.

 


Pour gérer le risque informationnel et permettre à l'entreprise d'aller de l'avant, vous avez besoin d'une stratégie solide et d'un plan d'ordre en marche. RSA a développé ce livre blanc comme aide sur ces deux besoins. Il vous guide pas à pas pour mettre en place un programme de gestion des risques, basé sur des principes GRC éprouvés.


Tous les Livres Blancs
Derniers commentaires
Depuis l'incendie de Notre-Dame, des entreprises ou organisations, comme Targo, Art graphique et patrimoine, GE-A, Ubisoft ou l'université de Vassar (États-Unis) ont annoncé qu'elles possédaient des plans numériques de la cathédrale ou d'une de ses parties. Tour d'horizon des technologies et de l'utilité de tels plans numériques. [Lire la dépêche...]

L'astronaute américaine Christina Koch, le 14 mars 2019, à Baïkonour au KazakhstanL'astronaute américaine Christina Koch va rester environ onze mois à bord de la Station spatiale internationale (ISS), ce qui lui permettra de battre le record féminin établi par Peggy Whitson en 2017, a annoncé la Nasa mercredi. [Lire la dépêche...]

Image de synthèse de la cathédrale Notre-Dame de Paris, créée à partir de mesures par laser réalisées par Andrew Tallon, professeur d'art américain décédé en novembre 2018

Sur le campus de Vassar College au nord de New York, une semaine avant l'incendie de Notre-Dame de Paris, une équipe universitaire s'est réunie pour planifier un ambitieux projet: répertorier un gigantesque volume de données de modélisation en 3D de la cathédrale - parmi les plus riches au monde. [Lire la dépêche...]

Sur les rives de la rivière Han à Séoul 13 octobre 2016Toute donnée mérite salaire: c'est l'idée derrière un nouveau type d'applications qui payent les internautes pour marcher ou recevoir des emails, surfant sur la vague de défiance face à la collecte massive d'informations privées en ligne. [Lire la dépêche...]

Photomontage du logo d'Apple et du fournisseur de puces Qualcomm qui ont enterré le 16 avril la hache de guerre au lendemain de l'ouverture d'un procès sur ce sujet complexe mettant en jeu des milliards de dollarsAprès deux ans de bataille juridique sur toute la planète, Apple et le fournisseur de puces Qualcomm ont enterré mardi la hache de guerre au lendemain de l'ouverture d'un procès sur ce sujet complexe mettant en jeu des milliards de dollars. [Lire la dépêche...]

Le nombre de plaintes déposées auprès de la Cnil, chargée de s'assurer du bon usage des données personnelles, a augmenté de plus de 32% en 2018Le nombre de plaintes déposées auprès de la Cnil, chargée de s'assurer du bon usage des données personnelles, a augmenté de plus de 32% en 2018, principalement du fait de l'entrée en vigueur du Règlement européen de protection des données (RGPD) en mai dernier. [Lire la dépêche...]

La réforme controversée du droit d'auteur dans l'UE a été définitivement validée.La réforme controversée du droit d'auteur européen a été définitivement validée lundi avec un dernier vote des ministres de l'UE réunis à Luxembourg, point final d'un marathon de plus de deux ans. [Lire la dépêche...]

Le président Trump et le président de la FCC Ajit Pai s'expriment sur le développement rapide de la 5G aux Etats-Unis, le 12 avril 2019 à la Maison BlancheL'administration Trump a dévoilé vendredi ses plans pour accélérer l'installation de réseaux 5G, y compris la promesse de milliards de dollars pour donner aux régions rurales les plus isolées accès à des communications mobiles ultra-rapides. [Lire la dépêche...]

Toutes les dépêches AFP
AgendaIT

DEVOXX

Devoxx France qui se présente comme la première conférence indépendante pour les développeurs en France tient sa 8ème édition du 17 au 19 avril 2019 à Paris au Palais de Congrès de la Porte Maillot. Organisée par Quantixx.

F8

F8 F8

Conférence développeurs Facebook au McEnery Convention Center de San Jose (Californie) les 30 avril et 1er mai 2019. Organisé par Facebook.

BUILD

L'événement annuel développeurs Microsoft se tient au Washington State Convention Center de Seattle (WA, USA) du 6 au 8 mai 2019. Organisé par Microsoft.

GOOGLE I/O

Google reçoit sa communauté de développeurs pour 3 jours de keynotes et ateliers du 7 au 9 mai 2019 au Shoreline Amphitheatre de Mountain View près de son siège social en Californie. Organisé par Google.

VIVA TECHNOLOGY

Pour sa 4ème édition, Viva Technology, salon de l'innovation et de la croissance des start-up, se tient du 16 au 18 mai 2019 à Paris (Paris Expo, porte de Versailles). Organisé par Publicis et Les Echos.

READY FOR IT

La première édition de Ready For IT se déroule du 20 au 22 mai 2019 à Monaco (Grimaldi Forum) : conférences, keynotes, ateliers et rendez-vous one-to-one. Organisé par DG Consultants.

COMPUTEX

Plus grand événement IT de la zone Asie du Sud-Est, Computex couplé avec InnoVEX se tient à Taipei du 28 mai au 1er juin 2019. Organisé par Taitra.
RSS
Voir tout l'AgendaIT