Vue normale

Il y a de nouveaux articles disponibles, cliquez pour rafraîchir la page.
À partir d’avant-hierFlux principal

Analyser les vulnérabilités de vos conteneurs Docker avec Grype

Par : Korben
26 décembre 2023 à 09:00

On est en plein hiver et tous les petits vieux normalement constitués sont maintenant vaccinés contre la grippe. C’est cool, Raoult Raoul !

Mais avez-vous pensé à la santé de vos images Docker ? Et bien oui, parce qu’à force de télécharger tout un tas de conteneurs anciens et pas maintenus, vous avez sans le savoir des vulnérabilités dans vos conteneurs.

Mais alors, comment savoir ? Et bien grâce à Grype qui n’est pas un virus, mais un incroyable scanner de vulnérabilités qui peut analyser les images de conteneurs Docker, OCI et Singularity et les systèmes de fichiers.

Cet outil est ainsi capable de débusquer des vulns sur les systèmes d’exploitation containérisés tels que Alpine, Amazon Linux, BusyBox, CentOS, Debian, Ubuntu, mais également tout ce qui est vulnérabilités relatives à des langages de dev tels que Ruby, Java, JavaScript, Python, Dotnet, Golang, sans oublier PHP !

Pour l’installer, vous pouvez récupérer le binaire sur Github ou lancer la commande Curl suivante :

curl -sSfL https://raw.githubusercontent.com/anchore/grype/main/install.sh | sh -s -- -b /usr/local/bin

Si vous êtes sous Mac, en plus d’être un beau gosse, vous pouvez aussi l’installer avec Brew :

brew tap anchore/grype
brew install grype

Ensuite, pour le lancer, rien de plus simple, vous appelez la commande, suivi du nom de l’image Docker telle qu’on la trouve sur le hub.docker.com par exemple. Voici un exemple de scan avec cette image de l’éditeur Balena :

./grype balena/open-balena-vpn

Et pour ne voir que les vulnérabilité existantes pour lesquelles il existe un fix, vous pouvez également ajouter le paramètre suivant :

./grype balena/open-balena-vpn --only-fixed

Par défaut Grype scanne uniquement les vulnbérabilités visibles du conteneur, mais si vous voulez faire un truc plus en profondeur et scanner toutes les couches de ce même conteneur, ajoutez le paramètre suivant :

./grype balena/open-balena-vpn --scope all-layers

Au niveau des exports, vous pouvez sortir tout ça sous la forme d’un tableau dans le terminal, ou d’un rapport JSON ou XML pour ensuite l’interroger avec des outils comme jq.

L’utilisation de Grype vous permet également un niveau élevé de personnalisation. Vous pouvez ainsi définir la portée de la recherche avec des expressions permettant d’inclure ou exclure certains fichiers ou répertoires.

Un autre atout majeur de Grype est sa capacité à intégrer des sources de données externes pour une meilleure correspondance des vulnérabilités. Ainsi, il peut analyser les données provenant de bases telles que Alpine Linux SecDB ou Debian Linux CVE Tracker pour vous fournir des informations encore plus précises sur les failles potentielles que votre image pourrait présenter.

En parlant d’intégration, si vous travaillez avec GitHub et utilisez les Actions GitHub, Grype s’intègre parfaitement pour exécuter des analyses de vulnérabilités lors de vos workflows CI, assurant ainsi la sécurité de votre code et de vos conteneurs à chaque étape du processus.

Bref, dans l’ensemble, Grype est un outil essentiel pour tous ceux qui souhaitent garantir la sécurité et l’intégrité de leurs images Docker et pas que. Que ce soit pour identifier les vulnérabilités ou tirer parti des fonctionnalités avancées telles que les sources externes et l’intégration des actions GitHub, Grype est un allié de taille dans la lutte continuelle contre les failles potentielles qui peuvent compromettre votre infrastructure.

À découvrir ici

Patchez Jenkins : des exploits disponibles pour ces failles permettant l’exécution de code à distance

29 janvier 2024 à 08:56

La solution open source Jenkins est affectée par plusieurs failles de sécurité critiques pour lesquelles il y a déjà des exploits PoC disponibles sur Internet. Voici ce qu'il faut savoir sur ces vulnérabilités déjà exploitées au sein d'attaques.

Pour rappel, Jenkins est une solution open source très appréciée par les développeurs et les DevOps, notamment pour mettre en place un pipeline CI/CD.

Les chercheurs en sécurité de SonarSource ont fait la découverte de deux failles de sécurité dans Jenkins : CVE-2024-23897 et CVE-2024-23898. Jenkins a été informé de la découverte de ces vulnérabilités le 13 novembre 2023.

En lisant le rapport qu'ils ont mis en ligne, on apprend que l'exploitation de ces deux vulnérabilités permet à un attaquant d'accéder aux données hébergées sur le serveur Jenkins. Dans certains cas, l'attaquant pourrait même exécuter des commandes à distance sur le serveur vulnérable.

Il y a déjà plusieurs exploits PoC disponibles pour ces vulnérabilités, et d'après certains honeypots mis en place par des chercheurs en sécurité, des cybercriminels tentent déjà d'exploiter ces failles de sécurité.

Jenkins - CVE-2024-23897

Commençons par évoquer la faille de sécurité CVE-2024-23897 jugée comme critique et qui permet à un attaquant non authentifié, et disposant de la permission "overall/read", de lire les données des fichiers présents sur le serveur. Sans cette permission, il est possible de lire les premières lignes des fichiers. SonarSource précise qu'un attaquant pourrait utiliser cette technique pour consulter le fichier "/etc/passwd" afin d'obtenir la liste des utilisateurs présents sur le système.

Ce problème de sécurité réside dans la bibliothèque args4j utilisée par Jenkins. À ce sujet, Jenkins précise : "Cet analyseur de commandes dispose d'une fonctionnalité qui remplace le caractère @ suivi d'un chemin de fichier dans un argument par le contenu du fichier (expandAtFiles). Cette fonctionnalité est activée par défaut et Jenkins 2.441 et antérieurs, LTS 2.426.2 et antérieurs ne la désactive pas."

Jenkins - CVE-2024-23898

En ce qui concerne la vulnérabilité CVE-2024-23898, elle permet à un attaquant d'exécuter des commandes à distance en incitant un utilisateur à cliquer sur un lien malveillant. Cette vulnérabilité de type "cross-site WebSocket hijacking (CSWSH)" est moins grave que la première vulnérabilité découverte par SonarSource.

En principe, les navigateurs doivent atténuer les risques liés à l'exploitation de cette vulnérabilité, mais tous les navigateurs n'appliquent pas les mêmes règles de sécurité par défaut.

Comment se protéger ?

Pour protéger votre serveur et vos données, vous devez mettre à jour Jenkins afin d'utiliser l'une de ces deux versions :

  • Jenkins 2.442
  • Jenkins LTS 2.426.3

En complément, vous pouvez consulter le bulletin de sécurité de Jenkins sur cette page, car l'éditeur donne des informations sur les scénarios d'attaques envisageables, ainsi que des mesures d'atténuation possibles (en attendant d'installer le patch).

Source

The post Patchez Jenkins : des exploits disponibles pour ces failles permettant l’exécution de code à distance first appeared on IT-Connect.

Les failles Leaky Vessels dans runc permettent de s’évader des conteneurs Docker

5 février 2024 à 09:24

Un ensemble de vulnérabilités surnommé Leaky Vessels a été découvert dans l'outil CLI runc, utilisé notamment dans Docker et Kubernetes. En exploitant ces vulnérabilités, un attaquant peut s'échapper du container et accéder aux données de l'hôte physique. Faisons le point.

En novembre 2023, Rory McNamara, chercheur en sécurité chez Snyk, a fait la découverte de 4 failles de sécurité importantes présentes dans runc mais aussi dans Buildkit. Peut-être que ces noms ne vous disent rien, mais pourtant sachez qu'ils sont utilisés par des solutions populaires comme Docker et Kubernetes.

Par principe, un conteneur représente une application packagée qui contient les exécutables, toutes les dépendances nécessaires à son exécution, et tout le code nécessaire pour que l'application soit opérationnelle. Ceci crée un environnement isolé, vis-à-vis de l'hôte qui exécute le conteneur. Toutefois, si un pirate parvient à exploiter les failles de sécurité Leaky Vessels, il peut s'échapper du conteneur afin d'interagir avec l'hôte..

Voici les 4 failles de sécurité Leaky Vessels :

  • CVE-2024-21626
  • CVE-2024-23651
  • CVE-2024-23652
  • CVE-2024-23653

La vulnérabilité la plus critique, c'est bien la CVE-2024-21626 puisqu'elle permet, potentiellement, de compromettre l'hôte où sont exécutés les conteneurs. "L'exploitation de ce problème peut entraîner l'évasion du conteneur vers le système d'exploitation hôte sous-jacent, soit par l'exécution d'une image malveillante, soit par la construction d'une image à l'aide d'un fichier Docker malveillant ou d'une image en amont (c'est-à-dire lors de l'utilisation de FROM).", précise Snyk dans son rapport.

Quelles sont les versions affectées ? Comment se protéger ?

Même si pour le moment rien n'indique que ces failles de sécurité sont exploitées dans le cadre de cyberattaques, il est préférable d'installer les correctifs dès que possible. En effet, elles sont désormais divulguées publiquement et corrigées... Donc la situation pourrait évoluer.

Toutes les versions de runc sont affectées, et les développeurs ont mis en ligne runc 1.1.12 le 31 janvier 2024 afin de corriger ces vulnérabilités. En ce qui concerne Buildkit, les failles ont été corrigées avec la version 0.12.5.

A la même date, Docker a mis en ligne de nouvelles versions pour permettre de patcher ces vulnérabilités. Vous devez passer sur Docker 24.0.9 ou Docker 25.0.2. Pour Kubernetes, vous pouvez trouver des informations sur cette page. En complément, il y a d'autres bulletins de sécurité disponibles notamment du côté de chez AWS et Ubuntu.

Source

The post Les failles Leaky Vessels dans runc permettent de s’évader des conteneurs Docker first appeared on IT-Connect.

iPhone : la mise à jour iOS 17.4 corrige deux failles de sécurité zero-day déjà exploitées !

6 mars 2024 à 07:49

Apple a mis en ligne de nouvelles mises à jour de sécurité à destination des propriétaires d'iPhone et d'iPad dans le but de corriger deux failles de sécurité zero-day déjà exploitées au sein d'attaques : CVE-2024-23225 et CVE-2024-23296.

Il y a quelques heures, Apple a publié iOS 17.4 pour les iPhone et iPadOS 17.4 pour les iPad. Ces mises à jour apportent différentes nouveautés, mais elles corrigent aussi plusieurs vulnérabilités, dont deux failles de sécurité zero-day. À ce sujet, la firme de Cupertino précise ce qui suit dans son bulletin de sécurité : "Apple a pris connaissance d'un rapport selon lequel ce problème pourrait avoir été exploité."

Associées aux références CVE-2024-23225 et CVE-2024-23296, ces vulnérabilités sont présentes dans le Kernel et dans RTKit, ce qui impacte directement le noyau du système d'exploitation. En l'exploitant, un attaquant peut contourner les protections de la mémoire du noyau.

Voici les appareils impactés par ces deux vulnérabilités, et qui bénéficient d'une mise à jour :

  • iPhone XS et versions ultérieures,
  • iPad Pro 12,9 pouces 2e génération et versions ultérieures,
  • iPad Pro 10,5 pouces,
  • iPad Pro 11 pouces 1re génération et versions ultérieures,
  • iPad Air 3e génération et versions ultérieures,
  • iPad 6e génération et versions ultérieures,
  • iPad mini 5e génération et versions ultérieures.

Sachez que si vous ne pouvez pas installer iOS 17.4 ou iPadOS 17.4, vous pouvez tout de même bénéficier d'un correctif de sécurité pour la CVE-2024-23225. En effet, Apple a également publié des versions pour ses appareils plus anciens : iOS 16.7.6 et iPadOS 16.7.6.

Pour le moment, et dans le but de préserver ses utilisateurs, Apple n'a pas dévoilé de détails techniques sur ces vulnérabilités.

Pour les utilisateurs Européens, sachez qu'iOS 17.4 et iPadOS 17.4 intègrent des modifications pour que ces systèmes soient en conformité avec le Digital Markets Act (DMA). Par exemple, il y a désormais une prise en charge des magasins d'applications tiers, et la possibilité de choisir son navigateur Web par défaut afin de ne pas imposer Safari.

Source

The post iPhone : la mise à jour iOS 17.4 corrige deux failles de sécurité zero-day déjà exploitées ! first appeared on IT-Connect.

Patchez VMware ESXi, Workstation et Fusion pour vous protéger de 4 failles de sécurité critiques !

7 mars 2024 à 07:17

VMware by Broadcom a publié des mises à jour de sécurité pour ses hyperviseurs VMware ESXi, Workstation et Fusion. L'objectif : corriger plusieurs vulnérabilités pouvant permettre d'accéder à l'hôte physique à partir d'une VM. Faisons le point.

Un nouveau bulletin de sécurité a été publié sur le site de VMware. Il fait référence à quatre failles de sécurité : CVE-2024-22252, CVE-2024-22253, CVE-2024-22254, CVE-2024-22255, présentes dans VMware ESXi, VMware Workstation Pro / Player, VMware Fusion Pro / Fusion et VMware Cloud Foundation.

Les failles CVE-2024-22252 et CVE-2024-22253 permettent à un attaquant, avec des droits administrateurs sur une machine virtuelle, de pouvoir exécuter du code sur l'hôte physique, c'est-à-dire sur l'hyperviseur, en agissant au nom du processus VMX. Il s'agit de faiblesses de type "Use-after free" présentes dans les contrôleurs XHCI et UHCI USB.

Par ailleurs, la faille CVE-2024-22254 présente dans VMware ESXi permet à un attaquant ayant les privilèges du processus VMX d'écrire en dehors de la région mémoire prédéterminée (donc en dehors des limites). Résultat, il peut s'échapper de la sandbox. Enfin, la vulnérabilité CVE-2024-22255 permet à un attaquant de déclencher une fuite des données en mémoire du processus VMX.

Les versions affectées

Le tableau ci-dessous, issu du site de l'éditeur, montre que VMware ESXi 7.0 et 8.0 sont dans la liste des produits affectés par ces vulnérabilités. En regardant plus attentivement le bulletin de sécurité, nous pouvons constater que ces failles affectent aussi les versions plus anciennes de VMware ESXi. VMware a fait l'effort de proposer des correctifs pour toutes les versions car ces vulnérabilités sont critiques.

VMware - Bulletin de sécurité - Mars 2024

Comment se protéger ?

La meilleure solution de se protéger, c'est d'installer le nouveau patch de sécurité mis en ligne par VMware pour chaque produit que vous utilisez. Voici un récapitulatif des versions à installer pour VMware ESXi :

La suite VMware Cloud Foundation (VCF) bénéficie aussi de correctifs pour les versions 5.x, 4.x et 3.x, comme l'explique cette page et celle-ci.

Et pour les autres produits :

Si vous ne pouvez pas installer la mise à jour dans l'immédiat, sachez qu'il y a une solution d'atténuation qui consiste à retirer le contrôleur USB des VM. Attention, ceci peut avoir un impact et doit être fait en ayant conscience que ceci empêche l'utilisation des ports USB virtuels de la VM. Ainsi, il n'est plus possible de connecter une clé USB, par exemple.

Source

The post Patchez VMware ESXi, Workstation et Fusion pour vous protéger de 4 failles de sécurité critiques ! first appeared on IT-Connect.

Patchez votre NAS QNAP pour vous protéger de ces 3 failles de sécurité critiques !

11 mars 2024 à 08:39

Si vous utilisez un NAS QNAP, vous devez installer la dernière mise à jour du système dès que possible ! Le fabricant taïwanais vient de corriger 3 failles de sécurité critiques ! Faisons le point.

QNAP a mis en ligne un bulletin de sécurité faisant référence à trois vulnérabilités découvertes dans ses différents systèmes : QTS, QuTS hero, QuTScloud, et myQNAPcloud. Il s'agit de systèmes utilisés par les produits de la marque, notamment les NAS.

Il est à noter que la faille de sécurité CVE-2024-21899 peut être exploitée à distance, sans être authentifié. De plus, cette vulnérabilité peut être exploitée facilement, et sans interaction de la part d'un utilisateur.

Voici ce que précise QNAP au sujet de cette faille de sécurité critique : "Si elle est exploitée, cette vulnérabilité de type improper authentication pourrait permettre aux utilisateurs de compromettre la sécurité du système via le réseau. - Même si ce n'est pas explicitement indiqué, nous pouvons imaginer que cette vulnérabilité permet de compromettre le NAS, ou d'accéder à des données.

Les deux autres vulnérabilités, associées aux références CVE-2024-21900 et CVE-2024-21901, sont aussi considérées comme critiques. La première permet d'exécuter des commandes à distance, tandis que la seconde est une injection SQL qu'un attaquant peut également exploiter à distance. Toutefois, bien qu'elles soient critiques, le risque d'exploitation est moins élevé, car il faut être authentifié pour exploiter ces deux vulnérabilités.

Quelles sont les versions affectées ?

Voici la liste des versions affectées, pour chaque système :

  • QTS 5.1.x et QTS 4.5.x
  • QuTS hero h5.1.x et QuTS hero h4.5.x
  • QuTScloud c5.x
  • myQNAPcloud 1.0.x

Comment se protéger ?

Pour vous protéger de ces failles de sécurité, vous devez utiliser l'une de ces versions :

  • QTS 5.1.3.2578 build 20231110 et supérieur
  • QTS 4.5.4.2627 build 20231225 et supérieur 
  • QuTS hero h5.1.3.2578 build 20231110 et supérieur 
  • QuTS hero h4.5.4.2626 build 20231225 et supérieur 
  • QuTScloud c5.1.5.2651 et supérieur 
  • myQNAPcloud 1.0.52 (2023/11/24) et supérieur

Pour le moment, rien n'indique que ces vulnérabilités sont exploitées par des cybercriminels dans le cadre d'attaques. Néanmoins, la faille de sécurité CVE-2024-21899 pourrait intéresser les pirates dans les prochaines semaines, notamment, car elle s'exploite à distance et sans être authentifié. Étant donné qu'il y a de nombreux NAS exposés sur Internet, ceci représente un réel risque.

Source

The post Patchez votre NAS QNAP pour vous protéger de ces 3 failles de sécurité critiques ! first appeared on IT-Connect.

Patch Tuesday – Mars 2024 : 60 vulnérabilités corrigées !

13 mars 2024 à 08:28

Le mardi 12 mars, Microsoft a publié son troisième Patch Tuesday de l'année 2024 ! Cette fois-ci, les équipes de Microsoft ont corrigé 60 failles de sécurité, et il n'y a pas la moindre zero-day. Faisons le point !

À l'occasion du Patch Tuesday de Mars 2024, Microsoft a corrigé 2 failles de sécurité critiques et elles sont toutes les deux présentes dans Hyper-V : CVE-2024-21407 et CVE-2024-21408. La première permet une exécution de code à distance sur l'hyperviseur (et serait difficile à exploiter), tandis que la seconde permet un déni de service. Au total, 18 vulnérabilités permettent une exécution de code à distance.

La grande majorité des autres vulnérabilités sont considérées comme importantes et elles affectent différents produits et services de chez Microsoft. Notamment : Exchange Server, SharePoint, l'agent Intune pour Linux, Microsoft WDAC OLE DB provider for SQL, le client Skype, Visual Studio Code, Windows Installer, l'implémentation de Kerberos dans Windows, le driver ODBC, le driver d'impression USB, ou encore plusieurs failles de sécurité dans le noyau Windows. À noter également la correction de 4 vulnérabilités dans le navigateur Edge, ainsi qu'une faille de sécurité dans l'application Microsoft Authenticator.

Aucune zero-day

Ce mois-ci, Microsoft n'a pas corrigé la moindre faille de sécurité zero-day. Néanmoins, ceci ne signifie pas que les vulnérabilités corrigées par Microsoft ne représentent pas un risque, ou qu'elles ne seront pas exploitées par les attaquants dans les prochaines semaines.

Voici quelques vulnérabilités à surveiller :

  • CVE-2024-26199 - Élévation de privilèges dans Microsoft Office, ce qui permet à l'attaquant d'obtenir les droits SYSTEM sur la machine locale.
  • CVE-2024-20671 - Contournement de la sécurité de Microsoft Defender, car cette vulnérabilité peut empêcher la solution de sécurité de démarrer, ce qui la rend inopérante. Toutefois, une mise à jour automatique de Windows Defender Antimalware Platform permet de corriger cette faille de sécurité.
  • CVE-2024-21411 - Exécution de code malveillant au travers de l'application Skype for Consumer, à partir d'un lien ou d'une image malveillante.

D'autres articles sur les nouvelles mises à jour pour Windows 10 et Windows 11 seront publiés dans la journée.

Source

The post Patch Tuesday – Mars 2024 : 60 vulnérabilités corrigées ! first appeared on IT-Connect.

Passez sur GLPI 10.0.13 pour vous protéger de 6 failles de sécurité, dont une injection SQL

14 mars 2024 à 06:00

Mercredi 13 mars 2024, l'éditeur Teclib a publié une nouvelle version de la solution GLPI ! Cette nouvelle version, estampillée 10.0.13, corrige au total 6 failles de sécurité. Faisons le point.

Parmi les 6 failles de sécurité corrigées par l'équipe de développeurs de GLPI, il y a 5 vulnérabilités avec une sévérité modérée et 1 vulnérabilité de type "injection SQL" associée à une sévérité élevée. Au-delà de cette injection SQL, il y a plusieurs vulnérabilités XSS et un problème de sécurité de type SSRF.

Voici la liste des vulnérabilités :

  • CVE-2024-27096 (élevée) : injection SQL à travers le moteur de recherche
  • CVE-2024-27098 : SSRF aveugle utilisant l’instanciation arbitraire d’objets
  • CVE-2024-27104 : XSS stockée dans les tableaux de bord
  • CVE-2024-27914 : XSS reflétée en mode debug
  • CVE-2024-27930 : Accès à des données sensibles via les listes déroulantes
  • CVE-2024-27937 : Énumération des emails des utilisateurs

À première vue, et même si ce n'est pas précisé, il faut que l'attaquant soit connecté sur l'application GLPI pour espérer exploiter l'une de ces vulnérabilités (ceci est une déduction vis-à-vis des fonctionnalités affectées). Néanmoins, il est probable que ces vulnérabilités permettent à un utilisateur standard authentifié d'élever ses privilèges, d'exécuter du code sur le serveur, ou d'accéder à des informations sensibles. Difficile d'être plus précis car Teclic ne fournit pas le moindre détail technique, ni même d'informations sur les risques potentiels.

Attention : n'installez pas la version 10.0.13, mais passez directement sur la version 10.0.14 car la précédente version a introduit deux bugs plutôt gênants, comme le mentionne cette page.

GLPI : les mises à jour de sécurité s'enchaînent

Depuis le dernier trimestre de l'année 2024, les mises à jour de sécurité s'accumulent, pour GLPI. Tout a commencé au mois d'octobre dernier lorsque Teclib a publié GLPI 10.0.10 pour corriger 10 vulnérabilités, dont une faille de sécurité critique permettant d'exécuter du code PHP : CVE-2023-42802. Puis, en décembre 2023, la version GLPI 10.0.11 a été publiée pour corriger 3 failles de sécurité (dont deux "injection SQL").

Au mois de février 2024, Teclic a publié GLPI 10.0.12 pour corriger deux failles de sécurité. Cette fois-ci, la nouvelle version permet d'en corriger 6 supplémentaires.

Si vous utilisez GLPI 10, il est temps de passer sur GLPI 10.0.13 pour vous protéger contre une bonne vingtaine de failles de sécurité. J'en profite pour vous annoncer qu'un tutoriel sur la mise à jour de GLPI sera publié dans les prochains jours !

Source

The post Passez sur GLPI 10.0.13 pour vous protéger de 6 failles de sécurité, dont une injection SQL first appeared on IT-Connect.

Code Scanning Autofix – GitHub lance la correction de vulnérabilités par IA

Par : Korben
21 mars 2024 à 11:09

Les failles de sécurité dans le code sont le cauchemar des développeurs et des équipes de sécurité et font surtout le régal des hackers. Alors pour y remédier, GitHub a décidé de sortir l’artillerie lourde avec Code Scanning Autofix ! Attention les yeux, cet outil mêle IA et analyse statique et nous fait la promesse de corriger les vulnérabilités en un clin d’œil pendant que vous codez.

Concrètement, Code Scanning Autofix (actuellement en bêta publique) est activé par défaut sur tous les dépôts privés des clients GitHub Advanced Security. Et devinez quoi ? Il gère déjà plus de 90% des types d’alertes pour JavaScript, TypeScript, Java et Python. De quoi mettre une sacrée claque à la dette de sécurité applicative !

En coulisse, cette magie opère grâce à deux technologies de pointe made in GitHub : Copilot pour l’IA et CodeQL pour l’analyse statique. Une fois Code Scanning Autofix activé, il vous propose des correctifs quasi tout cuits qui sont censés régler les deux tiers des vulnérabilités détectées, le tout sans trop d’efforts de votre part.

Voici un exemple de correctif proposé :

Pour chaque faille repérée dans un des langages pris en charge, vous obtenez une explication en langage naturel du correctif suggéré, avec un aperçu du bout de code à valider, modifier ou rejeter. Cela peut inclure des changements dans le fichier en cours, d’autres fichiers, voire des dépendances du projet. Bien entendu, vous gardez le contrôle et pouvez vérifier si le correctif résout bien le problème sans casser la fonctionnalité.

L’intérêt est donc de décharger les experts en sécurité de la fastidieuse traque aux vulnérabilités introduites pendant le développement. Ils pourront alors se concentrer sur la sécurité globale de leur projet.

GitHub promet d’étendre prochainement Code Scanning Autofix à d’autres langages, en commençant par C# et Go. Et pour en savoir plus, foncez sur la doc de GitHub !

Source

Dans Firefox 124.0.1, Mozilla a corrigé deux failles de sécurité zero-day !

24 mars 2024 à 14:00

Quelques jours après avoir dévoilé Firefox 124.0, la fondation Mozilla a mis en ligne la version 124.0.1 de Firefox dans le but de patcher deux failles de sécurité zero-day ! Voici ce qu'il faut savoir sur ces vulnérabilités.

Le mardi 19 mars 2024, la fondation Mozilla a publié la version 124.0 de son navigateur Firefox, dans le but de corriger 12 failles de sécurité, dont cinq vulnérabilités importantes et une vulnérabilité critique. D'ailleurs, cette faille de sécurité critique, associée à la référence CVE-2024-2615, pourrait permettre à un attaquant d'exécuter du code arbitraire sur la machine de l'utilisateur.

Puis, le vendredi 22 mars 2024, Mozilla a mis en ligne une nouvelle version de son navigateur Firefox : 124.0.1. Cette fois-ci, l'objectif est de corriger deux failles de sécurité zero-day découvertes et exploitées un jour plus tôt lors de la compétition de hacking Pwn2Own Vancouver 2024.

D'ailleurs, à l'occasion de cette compétition de hacking, les participants sont parvenus à découvrir 29 failles de sécurité dans différents produits. En ce qui concerne les vulnérabilités dans Firefox, elles ont été découvertes par Manfred Paul (récompensé à auteur de 100 000 dollars) pour avoir exploité une faille de type "out-of-bounds write" (CVE-2024-29943) permettant d'exécuter du code à distance et d'échapper à la sandbox de Mozilla Firefox en exploitant une faiblesse dans une fonction du navigateur (CVE-2024-29944). Manfred Paul est membre de la Trend Micro Zero Day Initiative.

Dans son bulletin de sécurité, Mozilla a apporté quelques détails supplémentaires sur ces vulnérabilités qui affectent les versions desktop de son navigateur Firefox. Pour le moment, elles ne sont pas exploitées par les cybercriminels.

Pour vous protéger, vous devez passer sur Firefox 124.0.1 ou Firefox ESR 115.9.1, en fonction de la version que vous utilisez. Enfin, nous pouvons saluer la réactivité des équipes de Mozilla pour la correction de ces deux failles de sécurité, ainsi que Manfred Paul, grand gagnant de cette édition avec 25 points Master of Pwn. Grâce aux vulnérabilités qu'il a découvertes dans Mozilla Firefox, Apple Safari, Google Chrome et Microsoft Edge, il a pu empocher 202 500 dollars de gain en cash.

Source

The post Dans Firefox 124.0.1, Mozilla a corrigé deux failles de sécurité zero-day ! first appeared on IT-Connect.

Aujourd’hui — 28 mars 2024Flux principal

Mettez à jour Google Chrome pour vous protéger de 7 vulnérabilités, dont 2 zero-day

28 mars 2024 à 06:00

Mardi 26 mars 2024, Google a publié une nouvelle version de son navigateur Chrome dans le but de corriger 7 vulnérabilités, dont 2 failles de sécurité zero-day découvertes lors du Pwn2Own 2024 de Vancouver. Faisons le point sur cette mise à jour !

Les utilisateurs de Google Chrome sur Windows Mac et Linux vont pouvoir passer par la case maintenance : l'entreprise américaine a mis en ligne plusieurs versions pour protéger ses utilisateurs. Tout d'abord, nous allons évoquer les deux failles de sécurité zero-day découvertes et exploitées lors du Pwn2Own 2024, une compétition de hacking.

La première vulnérabilité, associée à la référence CVE-2024-2886, a été découverte par Seunghyun Lee (@0x10n) de KAIST Hacking Lab, le 21 mars 2024. Il s'agit d'une faiblesse de type "use after free" présente dans WebCodecs.

La seconde vulnérabilité, associée à la référence CVE-2024-2887, a été découverte par Manfred Paul de l'équipe Trend Micro Zero Day Initiative. Il s'agit d'une faiblesse de type "type confusion" présente dans le composant WebAssembly. Ces deux vulnérabilités sont considérées comme importantes.

Par ailleurs, d'autres vulnérabilités ont été reportées directement à Google, notamment la faille de sécurité critique CVE-2024-2883, découverte par Cassidy Kim le 3 mars 2024. Il s'agit d'une vulnérabilité de type "use after free" dans ANGLE.

Pour vous protéger, vous devez mettre à jour Google Chrome pour passer sur les versions 123.0.6312.86/.87 pour Windows et Mac, ainsi que la version 123.0.6312.86 pour Linux. Les versions antérieures sont vulnérables. Vous pouvez obtenir plus d'informations dans le bulletin de sécurité de Google.

Pour rappel, suite aux vulnérabilités découvertes à l'occasion de cette compétition de hacking, la Fondation Mozilla a mis en ligne une nouvelle version pour son navigateur afin de combler deux failles de sécurité zero-day : Firefox 124.0.1. Enfin, sachez que Manfred Paul est le grand gagnant de cette édition du Pwn2Own Vancouver 2024 grâce à plusieurs vulnérabilités découvertes dans Mozilla Firefox, Apple Safari, Google Chrome et Microsoft Edge.

The post Mettez à jour Google Chrome pour vous protéger de 7 vulnérabilités, dont 2 zero-day first appeared on IT-Connect.

❌
❌