FreshRSS

🔒
❌ À propos de FreshRSS
Il y a de nouveaux articles disponibles, cliquez pour rafraîchir la page.
À partir d’avant-hierFlux principal

Une faille Zero Day découverte dans Adobe Reader : un correctif est disponible

17 mai 2021 à 08:37

La semaine dernière, Adobe a publié un ensemble de correctifs à destination de ses produits dans le but de corriger 44 failles de sécurité, dont une faille Zero Day activement exploitée dans Adobe Reader.

Adobe a publié un total de 12 correctifs pour combler 44 failles de sécurité au total, dans différents produits dont voici la liste : Experience Manager, InDesign, Illustrator, InCopy, Adobe Genuine Service, Acrobat et Reader, Magento, Creative Cloud Desktop, Media Encoder, After Effects, Medium, et enfin Animate.

Intéressons-nous à la vulnérabilité qui touche Adobe Reader et qui est la plus critique, même si les autres ne doivent pas être négligées pour autant.

Adobe Reader et la faille CVE-2021-28550

La faille de sécurité CVE-2021-28550 est une faille Zero Day activement exploitée par les pirates informatiques et qui touche Adobe Reader, le célèbre lecteur PDF d'Adobe. Cette faille de sécurité touche aussi bien Adobe Reader sous Windows que sous macOS, autant pour la version gratuite que la version payante. Néanmoins, les attaques relevées jusqu'ici concernent uniquement des machines sous Windows.

Les chercheurs en sécurité de la Zero Day Initiative expliquent que du code malveillant aurait pu être exécuté sur la machine cible si l'utilisateur dispose d'une version vulnérable d'Adobe Reader. Le code malveillant sera exécuté dans le contexte du processus d'Adobe Reader. Pour mener à bien cette attaque, il suffit à l'attaquant de créer un fichier PDF piégé et conçu pour exécuter le code malveillant à l'ouverture.

Au-delà de cette faille de sécurité Zero Day, il y a eu d'autres failles de sécurité importantes corrigées dans Adobe Reader.

Si vous utilisez Adobe Acrobat ou Adobe Reader, ne tardez pas pour mettre à jour le logiciel sur votre machine. Pour Acrobat DC et Acrobat Reader DC, la version patchée est la version 2021.001.20155.

➡Voir sur le site d'Adobe

Pour rappel, Microsoft a également publié son Patch Tuesday de Mai 2021, vous pouvez retrouver toutes les informations utiles dans notre article : Patch Tuesday Mai 2021

The post Une faille Zero Day découverte dans Adobe Reader : un correctif est disponible first appeared on IT-Connect.

Patch Tuesday – Mai 2021 : 55 vulnérabilités et 3 failles Zero Day corrigées

12 mai 2021 à 08:22

Pour ce Patch Tuesday de Mai 2021, Microsoft a corrigé 55 vulnérabilités, dont 4 considérées comme critiques et 3 failles Zero Day.

Trois failles Zero Day corrigées

Commençons par les trois failles Zero Day corrigées au sein des produits Microsoft. Bien qu'elles étaient connues publiquement, elles ne sont pas exploitées dans le cadre d'attaques. Les trois failles en question sont les suivantes :

- CVE-2021-31204

Il s'agit d'une faille dans .NET et Visual Studio qui permet une élévation de privilèges. Cela concerne les framework .NET 5.0 et .NET Core 3.1, tandis que pour Visual Studio, il y a plusieurs versions touchées : Visual Studio 2019 version 16.X sur Windows et Visual Studio 2019 version 8.9 sur macOS.

- CVE-2021-31207

Cette faille de sécurité au sein d'Exchange a été découverte lors de la compétition de hacking Pwn2Own 2021 par l'équipe Devcore. Il s'agit d'une attaque complexe à mettre en œuvre d'après Microsoft et qui nécessite des privilèges élevés. D'ailleurs, lors de la compétition Pwn2Own, l'équipe de Devcore a effectué une élévation de privilèges avant de pouvoir exploiter cette faille.

Voici les versions d'Exchange Server concernées :

➡ Microsoft Exchange Server 2013 Cumulative Update 23
➡ Microsoft Exchange Server 2016 Cumulative Update 19 et Cumulative Update 20
➡ Microsoft Exchange Server 2019 Cumulative Update 9 et Cumulative Update 8

- CVE-2021-31200

Cette troisième et dernière faille Zero Day touche la boîte à outils Microsoft Neural Network Intelligence (NNI). Il s'agit d'une faille qui permet une exécution de code à distance. Abhiram V. de chez Resec System a corrigé cette faille directement sur le Github du projet, en poussant une nouvelle version du fichier common_utils.py.

Mai 2021 - Patch cumulatif pour Windows 10

Pour information, voici les noms des KB pour Windows 10 :

- Windows 10 version 1507 — KB5003172 (OS Build 10240.18932)
- Windows 10 version 1607 — KB5003197 (OS Build 14393.4402)
- Windows 10 version 1703 — Fin de support
- Windows 10 version 1709 — Fin de support
- Windows 10 version 1803 — KB5003174 (OS Build 17134.2208)
- Windows 10 version 1809 — KB5003171 (OS Build 17763.1935)
- Windows 10 version 1909 — KB5003169 (OS Build 18363.1556)
- Windows 10 version 2004 et 20H2 — KB5003173 (OS Build 19041.985 et 19042.985)

Les autres mises à jour de Mai 2021...

Mise à part les failles Zero Day, Microsoft a corrigé des vulnérabilités dans d'autres produits comme Windows 10, Office ou encore Internet Explorer. La liste des produits est longue et variée comme d'habitude.

Attention à ces quatre failles considérées comme critiques :

CVE-2021-31166 - Pile du protocole HTTP

- CVE-2021-26419 - Internet Explorer

- CVE-2021-28476 - Hyper-V

- CVE-2021-31194 - Windows OLE

D'ailleurs, la faille Hyper-V est particulièrement inquiétante : l'attaque s'effectue par le réseau, et Microsoft précise sur son site que le niveau de complexité pour l'exploiter est faible et qu'il ne faut pas spécialement de privilèges élevés. La Zero Day Initiative a attribué un score CVSS de 9.9 sur 10 à cette faille de sécurité.

La Zero Day Initiative alerte également les entreprises sur la faille qui touche la pile du protocole HTTP. En effet, cette faille permet à un attaquant non authentifié d'exécuter du code dans le noyau de Windows. Un paquet spécialement conçu peut affecter une machine non patchée. En plus, à la question "Is this wormable ?" Microsoft a précisé "Yes" sur son site donc on peut considérer que cette faille de sécurité est exploitable par un ver informatique.

Retrouvez la liste complète des mises à jour sur cette page : Microsoft - Sécurité Mai 2021

Bon, maintenant, il ne reste plus qu'à espérer qu'il n'y ait pas de trop de problèmes sur nos machines dans les prochains jours après l'installation des patchs... En tout cas, pour le moment c'est Outlook qui est en difficulté : Outlook : une mise à jour vous empêche de lire ou d'écrire un nouvel e-mail

Source

The post Patch Tuesday – Mai 2021 : 55 vulnérabilités et 3 failles Zero Day corrigées first appeared on IT-Connect.

Deux failles Zero-Day corrigées par Apple : CVE-2021-30657 et CVE-2021-30661

28 avril 2021 à 08:30

Apple a corrigé deux failles Zero-Day exploitées par les hackers et qui touchent macOS et iOS, iPadOS mais aussi watchOS. Ces deux failles critiques sont référencées CVE-2021-30657 et CVE-2021-30661.

Si vous avez un ou plusieurs appareils Apple, il est temps de faire une session de maintenance pour faire les mises à jour ! D'autant plus que la faille qui touche macOS est exploitée par un malware bien connu sur Mac : Shlayer. En janvier 2020, Kaspersky avait publié un rapport où il était mentionné que Shlayer avait attaqué 10% des Mac.

Voici ce qu'il faut savoir sur ces deux vulnérabilités...

? CVE-2021-30657 : macOS

Cette première vulnérabilité touche toutes les versions de macOS supérieures ou égales à la version 10.5. Elle permet de contourner l'intégralité des contrôles de sécurité qui se déclenchent lorsque l'utilisateur télécharge un fichier depuis Internet. Une aubaine pour les pirates puisqu'il devient plus facile de passer entre les mailles du filet en exploitant cette vulnérabilité.

Lorsque l'on parle de "contrôles de sécurité" sur macOS, on fait référence à la vérification de la signature du développeur via Gatekeeper, la mise en quarantaine et l'analyse de malware. En complément, cela permet de passer au travers du système de notarisation d'Apple qui permet d'analyser et de signer les applications, afin qu'une application sûre soit certifiée par ce mécanisme de protection.

? CVE-2021-30661 : iOS, iPadOS, watchOS

Cette seconde vulnérabilité touche le module de stockage de WebKit, ce dernier étant le moteur de rendu utilisé dans Safari. Finalement, plusieurs systèmes sont touchés par cette faille iOS, iPadOS, et watchOS. L'exploitation de cette faille permet au pirate d'exécuter du code malveillant sur l'appareil distant à l'aide d'une page spécialement conçue.

De nombreux appareils sont concernés : tous les iPad Pro, les montres connectées Apple Watch Série 3 (et supérieur), iPhone 6S (et supérieur), iPad Air 2 (et supérieur), iPad 5 (et supérieur), iPad Mini 4 (et supérieur) et enfin l'iPod Touch 7ème génération.

En complément, Apple a corrigé d'autres failles de sécurité moins critiques à l'occasion de la publication de ces nouvelles mises à jour. En tout cas, depuis novembre dernier, Apple a corrigé 9 failles Zero-Day au sein de ses OS.

➡CERT-FR

Source

The post Deux failles Zero-Day corrigées par Apple : CVE-2021-30657 et CVE-2021-30661 first appeared on IT-Connect.
❌