Tag:

faille

Une faille de sécurité critique dans le navigateur Opera : mettez à jour dès maintenant

par KingofgeeK 1 novembre 2024

Attention, utilisateurs d’Opera ! Une vulnérabilité récemment découverte pourrait exposer vos informations personnelles. Des chercheurs en cybersécurité de GuardioLabs ont identifié une faille, surnommée « CrossBarking », qui permettrait à des acteurs malveillants d’accéder à des API privilégiées du navigateur.

Comprendre la vulnérabilité « CrossBarking »

Cette faille repose sur le fait que plusieurs sous-domaines publics appartenant à Opera ont un accès privilégié à des API internes du navigateur. Ces sous-domaines prennent en charge diverses fonctionnalités, telles que le Pinboard et le portefeuille Opera. En exploitant des extensions malveillantes, des attaquants pourraient injecter du code JavaScript nuisible dans ces domaines, accédant ainsi aux API sensibles.

Risques potentiels pour les utilisateurs

L’accès non autorisé à ces API pourrait permettre aux attaquants de :

Prendre des captures d’écran de vos onglets ouverts.
Récupérer des cookies de session, offrant un accès à vos comptes en ligne.
Modifier les paramètres DNS-over-HTTPS du navigateur, redirigeant potentiellement vers des sites frauduleux, tels que de fausses pages bancaires.

Exemple d’exploitation

Pour démontrer la faisabilité de cette attaque, GuardioLabs a publié une petite extension de navigateur sur le Chrome Web Store. Lorsqu’un utilisateur d’Opera installait cette extension, son appareil était compromis. Cependant, l’extension nécessitait des autorisations spécifiques pour exécuter du JavaScript sur n’importe quelle page web, en particulier celles ayant accès aux API privées.

Google Chrome et les Cookies : Ce Que Ça Change pour Vous !

Réponse d’Opera

Heureusement, Opera a rapidement réagi en corrigeant cette faille dans la version 113.0.5230.132. Il est donc essentiel de mettre à jour votre navigateur pour éviter tout risque inutile.

Importance de la vigilance

Les navigateurs sont des cibles privilégiées pour les cybercriminels. Bien que des produits comme Chrome, Firefox, Safari, Opera ou Edge soient généralement considérés comme sûrs, les extensions développées par des tiers peuvent présenter des risques. Il est donc crucial de n’installer que des extensions provenant de sources fiables et de rester vigilant quant aux autorisations qu’elles requièrent.

Comment mettre à jour votre navigateur Opera

Pour assurer votre sécurité, suivez ces étapes simples :

Ouvrez Opera.
Cliquez sur le logo d’Opera dans le coin supérieur gauche.
Sélectionnez « Mise à jour et récupération ».
Le navigateur vérifiera automatiquement les mises à jour et installera la dernière version disponible.

Conclusion

La sécurité en ligne est une responsabilité partagée entre les développeurs et les utilisateurs. En restant informé des dernières vulnérabilités et en maintenant vos logiciels à jour, vous contribuez activement à votre protection sur le web.

Restez vigilant et naviguez en toute sécurité !

1 novembre 2024 0 commentaires

Grosse faille de securite sur Instagram iOS

par KingofgeeK 5 décembre 2012

Les fans d’Apple ont toujours vanté la sécurité impénétrable des équipements iOS par rapport aux autres systèmes d’exploitation (Surtout Android). Sauf que…

Eh bien ce n’est pas aussi sûr que ça. Une faille de sécurité a récemment été découverte dans l’application Instagram iOS qui pourrait permettre à un pirate d’accéder à votre compte.

La faille provient de l’authentification avec les serveurs Instagram. Vos informations de compte sont stockées et transférées dans un fichier crypté sous forme de cookie. Si vous êtes sur un réseau non sécurisé, un individu malveillant pourrait techniquement récupérer ce cookie et accéder à votre compte.

Apparemment, la personne qui a découverte la faille a essayé de le communiquer à Instagram, mais apparemment il a été accueilli par une indifférence totale.

On ne sait pas encore si la même application sur Android a un trou de sécurité similaire, il faudrait tester pour voir. En tout cas, Instagram a lancé une nouvelle mise à jour de son application.

Pour ceux qui ne connaissent pas Instagram, c’est une application de partage de photo disponible sur iOS, Android et peut être prochainement sur Windows Phone avec comme spécificité la possibilité de retoucher ses photos grâce à des filtres. Instagram a été racheté cette année par Facebook pour un montant incroyable d’un Milliard de dollars

5 décembre 2012 0 commentaires

Insolite Smartphones

Google a oublié Décembre sur son Android 4.2

par KingofgeeK 19 novembre 2012

L’application Contact de Google Android 4.2 a oublié le mois de décembre 2012 dans son calendrier.

Si vous avez un Google Nexus, que ce soit en version Smartphone, mini tablette ou grande tablette, et que vous ne voulez rater aucun anniversaire, changez de téléphone 🙂 Votre appareil oubliera de vous rappeler les anniversaires parce que… il a oublié le mois de Décembre.

Le problème affecte les détenteurs du tout nouveau Android 4.2 Jelly Bean. Le calendrier passe directement du mois de Novembre 2012 au Janvier 2013

Google a reconnu le problème et a déclaré travailler sur un correctif. Ce qui veut dire qu’il y’aura une version 4.2.1 du système d’exploitation Android qui sortira sous peu.

en attendant, achetez un bloc notes et notez vos anniversaires du mois de décembre 🙂

19 novembre 2012 0 commentaires

Sécurité

Un gros Bug de réinitialisation de mot sur Skype

par KingofgeeK 15 novembre 2012

Skype vient de fixer une faille majeure de sécurité qui pouvait donner l’accès à vos comptes Skype à n’importe qui.

C’est la malédiction de Windows Live Messenger qui tombe sur Microsoft. Peu après l’annonce de l’abandon du fameux MSN Messenger pour le compte de Skype, Un gros bug de mot de passe un peu embarrassant tombe sur Skype. Un bug qui permettrait à toute personne possédant l’adresse e-mail d’un utilisateur de Skype de réinitialiser le mot de passe via un formulaire simple et sans avoir besoin d’accéder à la boîte de courrier électronique associée. Skype a été mise au courant hier de la faille de sécurité et a résolu le problème.

Skype a déclaré dans un article de blog : « Tôt ce matin, nous avons été informés des préoccupations des utilisateurs autour de la sécurité de la fonction de réinitialisation de mot sur notre site Internet. Ce problème a affecté certains utilisateurs, où plusieurs comptes Skype ont été enregistrés à la même adresse électronique. Nous avons alors suspendu et réinitialisé ces mots de passe. »

Nous vous recommandons alors de vérifier vos comptes Skype et par précaution, réinitialiser vos mots de passe.

KingofgeeK

15 novembre 2012 0 commentaires

Sécurité

Un massacre sur World of Warcraft

par KingofgeeK 11 octobre 2012

Une faille a permis a des joueurs de tuer des milliers de personnages sur le World of Warcraft.

Des piles de squelettes s’amoncelaient sur le sol des villages de World of Warcraft. Des personnages de level 1 « des noobs » ont réussi à terroriser les terres d’Azeroth et à tuer des milliers de chevaliers d’un coup de clavier.

La faille, découverte cette semaine a permis à quelques malins de tuer tout ce qui bouge, que ce soit un joueur ou un PNJ ( Personnage non joueur ), rendant le jeu injouable sur quelques Maps. Blizzard a réagi rapidement en installant un patch, mais le temps de tout remettre tout en marche, Orgrimmar et d’autres cités se sont transformés en véritables dépôts de squelettes.

Une petite vidéo pour montrer l’ampleur du génocide 🙂

[youtube]6o8e1abGlEk[/youtube]

11 octobre 2012 0 commentaires

Sécurité Smartphones

Le NFC: une nouvelle porte pour les pirates

par KingofgeeK 21 septembre 2012

En utilisant une faille zero day ( 0 day = faille méconnue ), une équipe de chercheurs en sécurité du Royaume-Uni ont piraté un téléphone Samsung Galaxy S3 sous Android 4.0.4 en transmettant un ver via NFC.

Source image : Cnet

dans le cadre du concours Pwn2Own, l’équipe L’équipe Tyrone Erasmus, Jacques Louw, Jon Butler et Nils ont gagné la somme de 30 000 $ grâce à leur technique d’exploitation d’une faille sur le NFC (near field communication, Communication en champ proche en français )

Selon Erasmus, l’attaque a été rendue possible grâce au NFC, la technologie sans fil à courte portée permettant l’échange de petites charges utiles de données entre un tag NFC et un dispositif sous Android. Les pirates ont exploité une faiblesse de la manière dont NFC est mis en œuvre dans les Galaxy S3 pour livrer un fichier malveillant qui est ouvert automatiquement par le visionneur de documents Android.

Une fois le fichier ouvert, l’équipe a exploité une faille zero-day dans la visionneuse de documents pour lancer une attaque d’exécution de codes. Une seconde vulnérabilité Android escalade alors les privilèges, faille zero-day aussi, pour être utilisée utilisé pour obtenir les droits complets sur l’appareil.

Avec des droits plus élevés, l’équipe a eu accès à toutes les données sur le Samsung Galaxy S3, y compris le courrier électronique et les bases de données SMS, le carnet d’adresses, la galerie de photos et l’accès aux données des applications tierces.

La faille a été transmise à Samsung pour réparation. Le NFC est une nouvelle technologie, ce qui veut surement dire plusieurs failles à corriger. On se rappelle tous du début du bluetooth et toutes les failles qui ont suivi ses débuts.

21 septembre 2012 0 commentaires

Navigateurs Sécurité

Le gouvernement Allemand interdit l’utilisation de internet Explorer de Microsoft

par KingofgeeK 18 septembre 2012

Le gouvernement allemand a invité le public ce mardi à cesser d’utiliser le navigateur Internet Explorer de Microsoft suite à la découverte d’un bug dans le navigateur Web qui rend les PC vulnérables aux attaques de pirates.

Une nouvelle faille vient d’être découverte dans le navigateur Internet Explorer. Microsoft a déclaré lundi que les attaquants peuvent exploiter Le bug pour infecter le PC de quelqu’un qui visite un site web malicieux, puis prendre le contrôle de l’ordinateur de la victime.

L’Office fédéral du gouvernement allemand pour la sécurité de l’information, ou BSI, a dit qu’il était au courant des attaques et que « Une propagation rapide du code est à craindre»

BSI a conseillé à tous les utilisateurs d’Internet Explorer d’utiliser un autre navigateur jusqu’à ce que le constructeur ait publié une mise à jour de sécurité.

Des responsables de Microsoft n’ont pas répondu à une demande de commentaires sur l’initiative prise par le gouvernement allemand. Ils n’ont pas donné de date précise pour la mise en ligne du correctif, mais on sait que ce sera fait durant cette semaine.

Internet Explorer est le deuxième navigateur le plus utilisé au monde, le mois dernier, avec environ 33 pour cent de part de marché, Il n’était pas loin derrière Chrome, qui a obtenu 34 pour cent du marché. Firefox descend à la troisième place.

Retrouvez notre comparatif des navigateurs sur notre article dédié.

18 septembre 2012 0 commentaires

Sécurité

AntiSec affirme avoir arraché 12 millions d’identifiants Apple au FBI

par KingofgeeK 4 septembre 2012

Le groupe de hackers Antisec vient de révéler une liste de pas moins de 12 millions de UDID (Unique Device Identifier) , des identifiants Apple américains, détenus par le FBI

Un groupe de pirates nommé Antisec viennent de poster sur Internet 12 millions d’identificateurs uniques d’utilisateurs Apple UDID, ce UDID est une chaîne unique de nombres qui identifie chaque appareil iOS, anciennement utilisé par les développeurs pour faire tester les applications aux utilisateurs avant de les mettre sur le Appstore

En tout, AntiSec affirme avoir obtenu plus de 12 millions UDIDs, y compris les noms d’utilisateurs et les adresses. Tout ceci grâce à un ordinateur portable utilisé par un agent du FBI (un Dell vostro) qui a été piraté. Cet agent du FBI Christopher K. Stangl travaille à la FBI Regional Cyber Action Team et son ordinateur portable a été infiltré à l’aide de la vulnérabilité AtomicReferenceArray sur Java, au cours d’une session shell certains fichiers ont été téléchargés à partir de son dossier Bureau, l’un d’eux s’appelait « NCFTA_iOS_devices_intel.csv » contenait les 12 millions d’UDIDS

Ceci montre clairement la volonté du gouvernement de l’Oncle Sam de garder un oeil sur ses citoyens, ainsi revient la fameuse interrogation sur le respect de la vie privée dans le monde et dans les states en particulier. Les autorités ont-ils le droit de s’introduire dans notre quotidien sans Mandat?

Telle est la question!

Vous voulez jeter un petit coup d’oeil sur le fichier, visitez le Poste du groupe AntiSec

4 septembre 2012 0 commentaires

Sécurité Systèmes

Oracle corrige une grosse faille dans Java

par KingofgeeK 31 août 2012

Oracle a corrigé une faille majeure dans Java qui avait alerté les experts en sécurité

Le dimanche, les chercheurs de FireEye ont signalé la découverte d’une faille sérieuse dans Java 7, permettant l’exécution de code arbitraire à distance à l’aide d’applet Java spécialement conçu et intégré dans une page Web

En raison de la gravité élevée de ces vulnérabilités, Oracle recommande aux clients d’appliquer le correctif mis en place par ces derniers dès que possible.
Chester Wisniewski, conseiller en sécurité chez Sophos, a noté que la mise à jour comprenait également des correctifs pour des failles jusque-là inconnues, indiquant que ces vulnérabilités peuvent être déjà en cours d’utilisation par les pirates.

« Les bonnes nouvelles sont que les clients qui ont besoin de Java dans leurs environnements peuvent désormais déployer un correctif officiel et procéder avec moins de risques», a t-il ajouté . « Les mauvaises nouvelles sont que Java 6 peut être affecté aussi, ainsi, tout le monde a besoin de ce patch, pas seulement ceux qui exécutent Java 7. »
Oracle a été accusé de laxisme puisque cette faille a été signalé depuis plus de 5 mois et aucune réaction n’a été observée depuis.

Les correctif est en téléchargement sur le site de Java.

31 août 2012 0 commentaires