Août
28
2020
Résumé de la semaine #35 (du 22 au 28 août)
Chaque semaine, les consultants du service de veille synthétisent et analysent les faits marquants de la semaine écoulée.
étiquette : Vulnérabilité
Août
20
2020
Une vulnérabilité dans les clients mails permet d’exfiltrer des fichiers via un lien mailto:
La vulnérabilité a été découverte par des chercheurs de la Ruhr University Bochum et de la Münster University of Applied Sciences. Via un lien spécialement conçu, elle permet de voler silencieusement les fichiers locaux de la victime et de les envoyer à l’attaquant via un email.
Juin
17
2020
Découverte de 19 vulnérabilités affectant la bibliothèque TCP/IP Treck : Ripple20
Le laboratoire de recherche JSOF a découvert 19 vulnérabilités résidant dans la bibliothèque bas-niveau TCP/IP développé par Treck Inc.
Juin
11
2020
Un défaut de configuration trivial identifié sur de nombreuses instances Service Now permettant d’importantes fuites de données
Un chercheur en cybersécurité a publié le 5 juin un document sur la plateforme Medium afin de décrire un problème de configuration important identifié sur des instances Service Now.
Juin
09
2020
CallStranger : exfiltration de données, déni de service et scan de port via une vulnérabilité du protocole UPnP affectant des milliards d’appareils
Une vulnérabilité critique réside dans le protocole UPnP (Universal Plug and Play) affectant la majorité des appareils de l’Internet des objets (IoT).
Mai
22
2020
Découverte de la vulnérabilité NXNSAttack qui permet de provoquer le déni de service d’un serveur DNS
Des chercheurs ont découvert une vulnérabilité affectant le protocole DNS (toutes les implémentations sont donc concernées), qu’ils ont baptisé NXNSAttack.
Mai
14
2020
Une vulnérabilité critique affectant les forums vBulletin a été corrigée
Les responsables du projet vBulletin ont récemment annoncé une mise à jour comportant un important correctif de sécurité.
Avr
02
2020
Le service de visioconférence Zoom critiqué pour de graves problèmes de sécurité
Dans le contexte actuel où le télétravail et les vidéo-conférences sont mis à l’honneur, le service Zoom, permettant de faire des vidéos-conférences et utilisé quotidiennement par 200 millions d’utilisateurs, s’est retrouvé, bien malgré lui, sous le feu des critiques pour de graves problèmes de sécurité.
Fév
21
2020
7 questions pour comprendre la dernière vulnérabilité affectant Tomcat (CVE-2020-1938)
Le 20 février 2020, un utilisateur a publié un code exploitant l’une de ces vulnérabilités sur la plateforme Github. L’exploitation de cette vulnérabilité permettait d’accéder à n’importe quel fichier contenu sur le serveur, voire d’exécuter du code arbitraire. Nous vous proposons de synthétiser cette actualité en 7 questions afin de vous donner toutes les clés nécessaires pour votre prise de décision.
Fév
13
2020
Une vulnérabilité critique affectant les utilisateurs d’Android est exploitable sans interaction utilisateur
Les utilisateurs d’appareils Android devraient sans attendre appliquer les derniers correctifs de sécurité publiés lundi dernier par Google. En effet, ces derniers corrigent une vulnérabilité critique liée au composant Bluetooth.