Un bogue VPN Nord, un correctif (entre autres) Microsoft, des données Zynga mises en batterie, etc. • The Register – Serveur d’impression
Roundup Voici les dernières nouvelles sur la sécurité sous forme abrégée de récits que vous avez peut-être manqués la semaine dernière.
Un bogue NordVPN provoque la confusion dans la connexion
Reg Le lecteur Tony H écrit pour nous signaler un problème de sécurité intéressant qui survient lors de l’exécution de NordVPN en tandem avec le service Cloudflare 1.1.1.1 WARP sur iOS. Le résultat final est une connexion qui semble être protégée par NordVPN, mais en réalité, elle est complètement exposée.
Voilà comment cela fonctionne:
L’utilisateur se connecte d’abord à la version 1.1.1.1 avec Warp, puis désactive l’application sans désactiver Warp. Ensuite, lors de la connexion à un serveur NordVPN avec le protocole ikev2, le périphérique iOS indiquera qu'il est connecté à NordVPN et sécurisé, sans être réellement connecté. En d'autres termes, vous êtes connecté et protégé, mais vous ne l'êtes pas.
Notre homme nous dit qu’il a déjà signalé ce problème à NordVPN. Par conséquent, s’ils le jugent suffisamment sérieux pour être corrigé, attendez-vous à une mise à jour. Si vous utilisez Nord et 1.1.1.1 en tandem, il peut être judicieux de vérifier que votre adresse IP est bien cachée.
ESET sonne l'alarme après l'attaque de Casabaneiro
L'équipe de recherche d'ESET a décrit en détail une opération de piratage bancaire qui touche à la fois les opérations de fiat et les opérations de crypto-monnaie au Mexique et au Brésil.
Connue sous le nom de Casabaneiro, cette attaque utilise de fausses fenêtres contextuelles pour inciter les utilisateurs à entrer les détails de leur compte, qui sont ensuite envoyés par le logiciel malveillant à un serveur de commande et de contrôle.
Selon ESET, cette attaque a pour particularité de gérer son système de commande et de contrôle. Les ordinateurs infectés ne vont pas directement au serveur de commandes, mais plutôt à une page YouTube dans laquelle un lien vers l'ordinateur C & C est intégré à la description de la vidéo. Les machines infectées accèdent à la page, puis suivent le lien, ce qui apparaît aux administrateurs comme si l'utilisateur venait de regarder une vidéo.
"Ce qui rend cette technique dangereuse, c'est qu'elle ne soulève pas beaucoup de suspicion sans contexte", explique ESET.
"La connexion à YouTube n'est pas considérée comme inhabituelle et même si la vidéo est examinée, le lien à la fin de la description de la vidéo peut facilement passer inaperçu."
Nous sommes en 2019 et WhatsApp peut être remplacé par un GIF.
Si vous n'avez pas mis à jour votre copie de WhatsApp depuis un moment, ce serait un bon moment. En effet, Awakened, un chasseur de bogues basé à Singapour, a révélé le défaut d'exécution de code à distance dans l'outil de messagerie.
La vulnérabilité, désignée CVE-2019-11932, est exposée lorsque l'utilisateur ouvre ou reçoit d'un ami (et ouvre automatiquement) une image GIF spécialement conçue. Le fichier déclenche ensuite une vulnérabilité double libre qui permettrait potentiellement l'exécution de code.
Pour éviter le bogue, assurez-vous que vous utilisez WhatsApp version 2.19.244 ou ultérieure.
Microsoft pousse la mise à jour pour une mise à jour
Redmond a lancé une deuxième tentative à son patch de CCE-2019-1367.
Le fabricant Windows avait d’abord essayé de corriger le bogue de corruption de la mémoire d’exécution de code à distance le mois dernier, mais devait rappeler et remplacer la mise à jour à la suite de rapports indiquant que le correctif empêchait certaines machines de s’imprimer correctement. Les utilisateurs et les administrateurs voudront obtenir ce correctif le plus tôt possible, au moins avant mardi, lorsque le patch de vidage d'octobre sera atteint.
Signal élimine la faille de surveillance d'appel
L'application de messagerie Signal a corrigé une erreur de logique qui aurait potentiellement rendu les utilisateurs vulnérables à la surveillance.
Natalie Silvanovich, de Google Project Zero, a déclaré que, dans les versions Android et iOS de l'application, les utilisateurs disposant d'une application modifiée pourraient appeler quelqu'un d'autre et forcer leur client à accepter l'appel.
En pratique, cela signifie qu'un appelant peut passer un appel à sa cible et l'écouter sans que le destinataire n'en soit averti. La mise à jour vers les dernières versions de Signal pour iOS et Android corrigera le bogue.
Mais le cofondateur de Signal, Moxie Marlinspike, a souligné que la faille ne se trouve que dans la version Android de l'application de messagerie sécurisée, et a été corrigée.
Bug trouvé dans l'outil Ghidra de la NSA
La prochaine fois que vous commettez une erreur de codage stupide, rappelez-vous que tout le monde, même la NSA, se plaint de temps en temps. L’organisme d’intelligence dit que son outil expérimental de recherche sur la sécurité Ghidra contient CVE-2019-16941, un bogue d’exécution de code à distance pouvant être déclenché avec un fichier XML spécialement conçu.
La faille peut être corrigée en mettant à jour la dernière version de Ghidra.
Bye-Zynga: le fabricant de jeux mobiles perd 218 millions d'utilisateurs
La société de jeux Zynga a été libérée par les pirates informatiques des noms, adresses e-mail, identifiants de connexion et mots de passe hachés de plus de 200 millions de joueurs. On dit également que la base de données volée contient des numéros de téléphone, des jetons de réinitialisation de mot de passe, des identifiants Facebook et des identifiants de compte Zynga.
Si vous jouez à un jeu Zynga, ce ne serait pas une mauvaise idée de changer votre mot de passe dès que possible, et si vous réutilisez le mot de passe sur d'autres sites (ne le faites pas), vous voudrez également le changer. ®
Sponsorisé:
Serverless Computing London – 6-8 novembre 2019
Commentaires
Laisser un commentaire