Selon le bulletin US-CERT pour la semaine du 10 avril (SB17-114)
Connectez-vous sur l'outil d'analyse des bulletins CERT pour visualiser les top10 survolés ici, les liens sur les bulletins des vulnérabilités y sont listés.
On passe de 196 entrées (classifiées) à 73, forte baisse; le bulletin précédent était donc bien conséquent, celui-ci n'est juste pas le plus léger de l'année (avant-dernier, le plus légér en 2017 étant le 2ème de l'année, SB17-009, avec 57 entrées). La tendance annuelle reste toutefois à la hausse. Au niveau des moyennes des scores les tendances:
Google avec Android est le seul à se prendre un score de 10 dans les vulnérabilités à haute sévérité (CVE-2016-6726). Mais ça concerne que une vulnérabilité (non spécifiée) sur les composants Qualcomm du Nexus 6 et de l'Android One. Pas trop de soucis par ici.
Du côté des sévérités hautes, ça continue pour LibreOffice, notamment dans son interpréteur WMF.
Apache fixe des vulnérabilités sur son serveur java "tomcat" et son serveur proxy "traffic_server", ce dernier hérité de Yahoo.
Pour tomcat, c'est assez sérieux. Il y a en plus un souci de mélanges de réponses, le serveur peut envoyer une réponse d'une autre requête pour une requête.
Les résolutions existent, il faut patcher ces produits avec les dernières mises-à-jour.
L'extension imagemagick (7.0.5-4) de PHP souffre de quelques vulnérabilités dont l'exploitation n'est pas forcément évidente et les dégâts "limités", les sévérités restent en classe moyenne. Les mises-à-jour sont disponibles.
Niveau CMS, MediaWiki, Drupal et Moodle souffrent d'un bon lot de nouvelles vulnérabilités; plusieurs n'ont pas encore de sévérité attribuée, il s'agit principalement de vulnérabilités XSS et de fuite d'information sensible.
Niveau hardware, on a Netgear qui nous en fait une probablement mémorable, car leurs access points wireless révèlent - entre autres - des mots de passe admin via SNMP !
Microsoft a patché une vulnérabilité en mars, exploitée par la faille nommée "Double Pulsar". C'est une porte d'accès dérobée pour la NSA. Apparemment des dizaines de milliers de machines sont infectées, une des plus grosses dispersions depuis Confiker (04/2009).
Google préparerait un système de blocage de publicités pour son navigateur Chrome desktop et mobile. La source est le Wall Street Journal. L'information n'est pas officielle mais est déjà largement relayée.
Ils ajoutent un lecteur d'empreinte sur les cartes de crédit. Le lecteur (capacitif) fonctionne une fois la carte insérée dans un lecteur. Le problème est que l'empreinte digitale n'est pas un facteur d'authentification précis; discuté lors du précédent podcast et explication reprise dans le bulletin SR précédent.
BrickerBot passe en versions 3 et 4. Ce malware fait partie de la classe de ceux qui opèrent en vue de détruire autant que possible le matériel ciblé.
Oui, le MIT en a(vait) 16 millions et en a vendu 8 à Amazon. Et on se demande d'où vient la pénurie...
FIN DU BULLETIN