Gestion des vulnérabilités et des correctifs (patchs)
Sont ici rassemblés tous les articles portant sur les solutions de gestion des vulnérabilités. Ces solutions sont conçues pour détecter, identifier, évaluer pour en fin de compte répondre aux menaces qui pèsent sur les systèmes d’informations des entreprises. Un moteur d’analyse remonte les vulnérabilités détectées dans l’infrastructure, le réseau et les applications et effectue un classement en fonction de leur criticité. Elles permettent d’optimiser la sécurité du SI, dans un contexte marqué par une cybercriminalité de plus en plus marquée.
-
Actualités
18 nov. 2024
PAN-OS : les interfaces d’administration visées par des cyberattaques
Palo Alto Networks confirme que des acteurs malveillants exploitent une vulnérabilité dans les interfaces d’administration des pare-feu PAN-OS. Il encourage ses clients à les sécuriser depuis une semaine. Lire la suite
-
Opinion
12 nov. 2024
Brice Augras, fondateur de BZHunt : un « allumé » du bounty en Bretagne
Allumé, mais pas révolté. Juste passionné. Derrière son air de garçon sage se cache une sacrée détermination. Brice Augras a construit un parcours exemplaire dans le domaine plutôt pointu du Bug Bounty. Lire la suite
-
Dans ce numéro:
- Magazine Information Sécurité 30 : Là où commencent les cyberattaques
- Chakib Gzenayi : « L’EASM est important, mais le renseignement est plus important que tout »
- Michelin face à la problématique de gestion de la surface d’attaque exposée
-
Actualités
10 oct. 2017
Dnsmasq : des correctifs qui restent à appliquer
Les rustines sont disponibles depuis une semaine. Mais elles semblent avoir été peu appliquées, laissant vulnérables un grand nombre d’appareils directement accessibles en ligne. Lire la suite
-
Actualités
03 oct. 2017
Equifax : pris au piège entre lenteurs internes et difficultés techniques
Dans une déposition devant des parlementaires américains, l’ancien Pdg de l’entreprise retrace la chronologie de l’importante brèche révélée début septembre. Ainsi que des mesures prises depuis sa découverte. Lire la suite
-
Actualités
18 sept. 2017
Equifax, victime de l’exploitation d’une vulnérabilité Apache Struts
Le spécialiste de l’évaluation de la solvabilité a confirmé qu’il n’avait pas appliqué le correctif disponible depuis le mois de mars. Ses DSI et RSSI ont démissionné. Lire la suite
-
Actualités
14 sept. 2017
Bluetooth : un nid à vulnérabilités insoupçonnées ?
L’attaque BlueBorne profite de failles dans l’implémentation du standard sans fil. Elle ne nécessite aucune intervention de l’utilisateur et fonctionne hors mode d’appairage. Et elle pourrait n’être qu’un début. Lire la suite
-
Actualités
11 sept. 2017
Apache Struts : une vulnérabilité présente depuis 2008
Découverte en juillet par un chercheur, elle permet de forcer l’exécution de code arbitraire à distance sur les serveurs affectés. La vulnérabilité apparaît activement exploitée. Un correctif est disponible. Lire la suite
-
Actualités
31 juil. 2017
Microsoft lance son programme de bug bounty pour Windows
L’éditeur offrira jusqu’à 200 000 $ pour certaines vulnérabilités critiques affectant ses systèmes d’exploitation, y compris sur processeur ARM, et même jusqu’à 250 000 $ pour celles concernant Hyper-V. Lire la suite
-
Actualités
29 juin 2017
Un nouveau bug critique affecte Windows Defender
Une vulnérabilité de Windows Defender, tout juste dévoilée, peut permettre de prendre le contrôle complet d’une machine à distance, et d’y créer des comptes d’administrateur. Lire la suite
-
Projet IT
27 juin 2017
Comment Tilkee fait la chasse aux vulnérabilités avec Yogosha
En tout d’année, la jeune pousse a choisi de miser sur le Bug Bounty pour identifier d’éventuelles vulnérabilités fonctionnelles dans ses services. Les résultats ont dépassé les attentes. Lire la suite
-
Actualités
21 juin 2017
Rapid7 alerte sur les risques d’attaques sur les bases de données
Selon l’éditeur, des attaques majeures sur les bases de données sont à anticiper. A moins que les entreprises ne prennent la peine de les sécuriser correctement. Lire la suite
-
Actualités
15 juin 2017
Microsoft corrige à nouveau des vulnérabilités dans Windows XP
Le lot de rustines de l’éditeur pour le mois de juin contient de nouveaux correctifs pour son système d’exploitation client censé défunt. Une mesure de précaution alors que des outils attribués à la NSA sont dans la nature. Lire la suite
-
Actualités
14 juin 2017
Le hacking d'une brosse à dent connectée souligne la vulnérabilité de l'IoT
Les menaces liées aux lacunes de sécurité des objets connectés vont bien au-delà du détournement de systèmes embarqués élaborés comme des routeurs, des caméras ou même des téléviseurs. Avec des risques multiples. Lire la suite
-
Actualités
09 juin 2017
Vulnérabilités : comment les pirates conservent une longueur d’avance
Une importante part de vulnérabilités seraient ouvertement discutées en ligne avant leur publication officielle. Et parfois pendant longtemps, bien assez en tout cas pour laisser aux acteurs malveillant le temps de commencer à les exploiter. Lire la suite
-
Actualités
02 juin 2017
SMBv1 : vulnérable, mais encore requis par de nombreux produits
Les vulnérabilités connues de ce protocole ont notamment été mises à profit par WannaCry pour sa distribution. Las, il reste impossible d’y renoncer complètement. Des équipes de Microsoft montrent pourquoi. Lire la suite
-
Actualités
24 mai 2017
WannaCry : les entreprises françaises affichent leurs faiblesses
L’application des correctifs disponibles n’avait pas été intégralement réalisée, soulignant encore la criticité de la gestion des vulnérabilités. Mais ce n'est pas la seule lacune. Lire la suite
-
Actualités
23 mai 2017
Une récente attaque de distributeurs de billets appelle une nouvelle approche de la sécurité
Près d’une trentaine de personnes viennent d’être arrêtées en Europe à la suite de piratages de distributeurs automatiques de billets. Des attaques qui renvoient à des vulnérabilités connues et devraient interpeler bien au-delà du secteur bancaire. Lire la suite
-
Actualités
10 mai 2017
Intel AMT : des machines durablement vulnérables ?
La faille critique récemment découverte dans les technologies d’administration d’Intel, qui permet de prendre le contrôle complet des machines vulnérables, pourrait affecter durablement systèmes concernés. Lire la suite
-
Actualités
12 avr. 2017
Rapid7 déporte sa solution de gestion des vulnérabilités dans le Cloud
Avec InsightVM, l’éditeur propose de profiter de sa solution Nexpose en mode Cloud. Il étend ainsi le périmètre fonctionnel de sa plateforme de gestion de la sécurité Insight. Lire la suite
-
Guide
10 avr. 2017
Gestion des vulnérabilités : un impératif en forme de défi
Ce guide aborde l'évolution d'un domaine de plus en plus central dans la sécurité du SI. Il revient également sur les bases de la mise en place d'un tel projet et sur les outils disponibles. Lire la suite
-
Actualités
03 avr. 2017
IIS 6.0 : une vulnérabilité corrigée par micro-correctif tiers
L’équipe de 0patch propose une rustine qui doit empêcher l’exploitation d’une vulnérabilité nouvellement découverte et affectant les serveurs Web IIS 6.0 dont la fonctionnalité WebDAV est activée. Lire la suite
-
Actualités
31 mars 2017
VMware corrige d’importantes vulnérabilités
Révélées lors de la compétition Pwn2Own, mi-mars, celles-ci permettent à un attaquant de sortir de l’espace confiné d’une machine virtuelle pour compromettre l’hôte. Lire la suite
-
Actualités
30 mars 2017
Tenable lance une plateforme d’administration des vulnérabilités en mode Cloud
L’éditeur a récemment présenté une plateforme Cloud où les entreprises peuvent importer et exporter leurs données afin de gérer les vulnérabilités présentes sur leur infrastructure. Lire la suite
-
Actualités
29 mars 2017
La gestion des vulnérabilités reste le point noir de la sécurité
Flexera a observé plus de vulnérabilités l’an passé que l’année précédente. Le segment des vulnérabilités hautement critiques a particulièrement progressé. Lire la suite
-
Conseil
28 mars 2017
Comment composer avec les logiciels les plus vulnérables
Trois logiciels sont particulièrement visés pour leurs vulnérabilités, selon un récent rapport de Digital Shadows. L’expert Nick Lewis explique comment les gérer. Lire la suite
-
Actualités
27 mars 2017
Rapid7 s’attaque aux objets connectés hors Ethernet
Metasploit peut désormais mettre à profit des équipements d’analyse du spectre radio pour découvrir et étudier les protocoles utilisés à la recherche de vulnérabilités potentielles. Lire la suite
-
Actualités
21 mars 2017
Fuites de Wikileaks : Cisco découvre une faille de sécurité critique
L’examen, par l’équipementier, des documents internes à la CIA dévoilés par Wikileaks, a l’identification d’une faille du système d’exploitation de ses produits, IOS, permettant d’entre prendre le contrôle complet, à distance. Lire la suite
-
Actualités
20 mars 2017
Waterfall ouvre son Cloud Connect à Predix
L’équipementier supporte désormais le PaaS de GE Digitals pour la gestion sécurisée des journaux d’activité. Une option de plus pour contrôler le passage à l’Internet des Objets dans le monde industriel. Lire la suite
-
Actualités
17 mars 2017
La gestion des correctifs Windows 10 s’invite dans AirWatch 9.1
La plateforme de gestion de la mobilité d’entreprise de VMware fait un pas de plus en direction de l’administration unifiée des terminaux des utilisateurs. Lire la suite
-
Actualités
16 mars 2017
Pluie de correctifs de vulnérabilités critiques à l’occasion du Patch Tuesday de Microsoft
Le lot de rustines de mars couvre notamment neufs alertes aux vulnérabilités critiques susceptibles de permettre l’exécution de code arbitraire à distance. Lire la suite
-
Actualités
14 mars 2017
DenyAll fait évoluer son offre en pensant aux DevOps
Ses outils se dotent de fonctions visant à accélérer la sécurisation et la correction de vulnérabilité des applications et services exposés sur le Web, à la mise en service et en continu. Lire la suite
-
Actualités
14 mars 2017
Intel Security met enfin à jour son SIEM
L’éditeur a lancé la version 10 d’Enterprise Security Manager, son système de gestion des informations et des événements de sécurité. Une mouture qui met l’accent sur l’interface utilisateur et les performances, en particulier pour les grands déploiements. Lire la suite
-
Actualités
10 mars 2017
Apache Struts 2 : une importante vulnérabilité à corriger d’urgence
Une vulnérabilité dans le framework pour applications Web Java EE apparaît activement exploitée : elle permet d’exécution de code à distance. Mais un correctif est déjà disponible. Lire la suite
-
Actualités
09 mars 2017
Multiples vulnérabilités dans un modèle chinois de caméra Wi-Fi très répandu
Le logiciel embarqué, permettant notamment d’accéder au flux vidéo à distance, est réutilisé dans plus de 1200 références de caméras sans fil connectées commercialisées sous différentes marques. Lire la suite
-
Actualités
08 mars 2017
Fuites de la CIA : entre menace et chance pour la cybersécurité
S’il n’y a rien de surprenant à ce qu’une agence du renseignement espionne, il est plus étant qu’elle ne parvienne pas à protéger son infrastructure au point que puissent lui être volés des actifs informationnels critiques. Mais c’est peut-être une chance pour toute l’industrie IT. Lire la suite
-
Actualités
08 mars 2017
LeMagIT lance « Information Sécurité », un nouveau magazine dédié à la sécurité
Ce trimestriel, téléchargeable gratuitement au format PDF, reviendra sur les évolutions continues des cyber-menaces et sur les nouvelles stratégies de cyber-défense pour y faire face. Le numéro 1, disponible dès à présent, se penche sur les SOC. Lire la suite
-
Actualités
07 mars 2017
CA Technologies s’offre un spécialiste de la sécurité applicative
L’éditeur rachète Veracode, l’éditeur d’une plateforme SaaS de test de la sécurité des applications capable d’intégration dans les environnements DevOps, notamment. Lire la suite
-
Actualités
28 févr. 2017
Windows, Internet Explorer, Edge : Microsoft pressé de produire des rustines
Les chercheurs du projet zéro de Google viennent de lever le voile à la suite sur plusieurs vulnérabilités affectant les logiciels de Microsoft. Et cela alors même que ce dernier a fait l’impasse sur son dernier rendez-vous mensuel de correctifs. Lire la suite
-
Conseil
02 févr. 2017
Aperçu du système de gestion de vulnérabilités Saint 8 Security Suite
L’expert Ed Tittel se penche sur la Saint 8 Security Suite, un produit qui analyse systèmes d’exploitation, bases de données et applications Web pour identifier d’éventuelles vulnérabilités. Lire la suite
-
Actualités
02 févr. 2017
Barracuda Networks veut automatiser la correction des vulnérabilités Web
L’équipementier lance un service de recherche en continu de vulnérabilités sur les applications Web, assorti de mécanismes de remédiation automatisés. Lire la suite
-
Definition
23 janv. 2017
Test d'intrusion
Un test d'intrusion est la pratique qui consiste à tester un système informatique, un réseau ou une application Web pour y déceler des vulnérabilités susceptibles d'être exploitées par un pirate. Lire la suite
-
Actualités
06 janv. 2017
Cybersécurité : l’autorité américaine de la concurrence poursuit D-Link
La FTC vient d’engager des poursuites contre le constructeur en estimant qu’il a échoué à sécuriser « raisonnablement » routeurs et caméras connectées. Lire la suite
-
Actualités
05 janv. 2017
MongoDB : des bases de données mal sécurisées prises en otage
Des milliers de bases de données sont la cible de pirates qui menacent d’en effacer les contenus à moins de verser la rançon demandée. Une menace pour laquelle l’alerte avait été lancée il y a longtemps. Lire la suite
-
Actualités
02 janv. 2017
Patch et repatch pour PHPMailer
La très populaire librairie a fait l’objet d’un premier correctif pour une importante vulnérabilité. Mais celui-ci pouvait être contourné. Un second correctif est distribué. Lire la suite
-
Definition
02 janv. 2017
Vecteur d'attaque
Un vecteur d'attaque est une voie ou un moyen qui permet à un pirate informatique d'accéder à un ordinateur ou à un serveur pour envoyer une charge utile (payload) ou obtenir un résultat malveillant. Les vecteurs d'attaque permettent aux pirates d'exploiter les failles des systèmes, notamment humaines. Lire la suite
-
Actualités
21 déc. 2016
Alerte sur la sécurité des systèmes de divertissement en vol
Un chercheur a identifié plusieurs vulnérabilités sur les systèmes signés Panasonic. Pas forcément de quoi détourner un avion, mais potentiellement voler des données sensibles, notamment. Lire la suite
-
Actualités
20 déc. 2016
Bug Bounty : un moyen de démocratiser la recherche de vulnérabilités
Wavestone vient de lancer une offre de bug bounty privé. Les chercheurs sollicités sont rémunérés à la faille trouvée. De quoi ouvrir la recherche de vulnérabilité à un public plus large. Lire la suite
-
Conseil
30 nov. 2016
Patching automatique : ce que les entreprises devraient considérer
Les entreprises s’intéressent aux systèmes de correction automatique de vulnérabilités pour renforcer leur posture de sécurité. Lire la suite
-
Conseil
24 nov. 2016
Aperçu du scanner de vulnérabilités Tenable Nessus
L’expert Ed Tittel se penche sur les scanner de vulnérabilité Nessus de Tenable. Des produits proposés en mode Cloud comme en local. Lire la suite
-
Definition
21 nov. 2016
Système de détection d'intrusion (IDS)
Un système de détection d'intrusion (IDS) est un système de cybersécurité qui surveille le trafic réseau à la recherche d'activités suspectes et qui émet des alertes lorsque de telles activités sont découvertes. Lire la suite
-
Conseil
18 nov. 2016
Comment gérer les correctifs de sécurité avec les administrateurs systèmes ?
Quel rôle joue le RSSI lorsqu’il s’agit de faire appliquer les correctifs de sécurité ? L’expert Mike O. Villegas se penche sur la meilleure façon de partager là les responsabilités. Lire la suite
-
Actualités
14 nov. 2016
La dernière vulnérabilité inédite de Windows fait le bonheur d’APT 28
Le groupe de cybercriminels met activement à profit une vulnérabilité dévoilée par Google avant que Microsoft n’ait le temps de diffuser un correctif. Lire la suite
-
Projet IT
08 nov. 2016
Comment EDF fait face à 10 millions de cyber-attaques par an
EDF s'est appuyé sur Orange pour mettre en place un Security Operations Center (SOC) afin de faire face aux multiples attaques dont est victime son SI chaque seconde. Plus d'une année et demi de travail a été nécessaire tant le contexte d'EDF est complexe et l'intensité des assauts élevée. Lire la suite
-
Actualités
04 nov. 2016
AtomBombing : un vecteur d’attaque qui paraît bien difficile à corriger
Ce nouveau vecteur s’appuie sur les briques fondamentales de Windows. Toutes les versions du système d’exploitation sont donc affectées par une vulnérabilité en l’état impossible à corriger. Lire la suite
-
Actualités
24 oct. 2016
Dirty Cow : une grave vulnérabilité Linux redécouverte
Présente dans le noyau Linux depuis plus d’une décennie, celle-ci permet d’obtenir les privilèges les plus élevés sur presque n’importe quel système fonctionnant sous Linux. Lire la suite
-
Actualités
13 oct. 2016
IBM étend son partenariat avec Carbon Black
Le groupe entend ainsi proposer une solution de sécurité adaptative intégrant réseau et poste de travail, en profitant à la fois de ses outils BigFix et de son SIEM QRadar. Lire la suite
-
Actualités
05 oct. 2016
Sécurité des sites web en France : le bilan chiffré
Les sites Web sont omniprésents dans notre quotidien, qu’ils soient professionnels ou privés. Mais ils sont fréquemment vulnérables. Wavestone a tenté de quantifier le phénomène à partir de 128 audits de sécurité. Lire la suite
-
Actualités
29 sept. 2016
Sqreen veut simplifier la sécurité des applications Web
La jeune pousse française mise sur l’instrumentation des applications pour détecter vulnérabilités et tentatives d’attaque. Lire la suite
-
Actualités
20 juil. 2016
D’importantes vulnérables dans de nombreux anti-virus
De nombreux logiciels de protection du poste de travail et de gestion des performances applicatives ont recours à des mécanismes d’interception des appels aux interfaces système. Mais avec des implémentations peu robustes. Lire la suite
-
Actualités
08 juil. 2016
Android : un chiffrement suffisamment vulnérable pour les autorités
Les vulnérabilités présentes dans les appareils équipés de composants Qualcomm permettent de contourner le chiffrement du stockage supporté par Android. Lire la suite
-
Actualités
30 juin 2016
Plusieurs vulnérabilités critiques dans les produits Symantec
Les équipes du projet Zéro de Google ont découvert de graves failles dans les produits Symantec et Norton, exploitables sans interaction de l’utilisateur. Lire la suite
-
Actualités
17 juin 2016
Une importante vulnérabilité dans des routeurs VPN Cisco
L’équipementier vient d’alerter sur une vulnérabilité affectant trois de ses routeurs VPN sans fil pour PME et permettant l’exécution de code à distance. Lire la suite
-
Actualités
18 mai 2016
Google dévoile une grave vulnérabilité dans l’antivirus de Symantec
Découverte par les équipes du projet Zéro, elle peut être exploitée sans interaction de l’utilisateur et s’avère aussi « grave qu’il est possible de l’être ». Lire la suite
-
Actualités
17 mai 2016
Alerte à une vulnérabilité dans les plateformes Java de SAP
Le Cert-US alerte sur une vulnérabilité affectant les plateformes Java de SAP datant de 2010, corrigée mais largement exploitée. Lire la suite
-
Actualités
17 mars 2016
Une vulnérabilité Java non corrigée ravive la question de la divulgation responsable
Un chercheur vient de présenter un code exploitant une vulnérabilité Java vieille de 30 mois. Oracle pensait l’avoir corrigée, mais elle était restée béante. Le chercheur n’a pas prévenu l’éditeur. Lire la suite
-
Actualités
29 févr. 2016
Des VPN majoritairement vulnérables
Une étude montre que la plupart des serveurs VPN publiquement accessibles en IPv4 sont configurés de telle manière qu’ils n’offrent pas de véritables garanties de sécurité. Lire la suite
-
Actualités
05 févr. 2016
Importantes vulnérabilités dans un outil d’administration Netgear
Le système d’administration réseau ProSafe NMS300 de Netgear présente deux importantes vulnérabilités, dont l’une permettant l’exécution de code à distance avec un haut niveau de privilèges. Lire la suite
-
Projet IT
02 févr. 2016
Avec iKare, le CHU d’Amiens se dote d’une visibilité accrue sur les vulnérabilités
Le centre hospitalier utilise l’outil d’iTrust pour conduire ses propres audits de vulnérabilités sur son infrastructure. De quoi en améliorer la régularité et le périmètre. Lire la suite
-
Actualités
01 févr. 2016
Authentification : Cisco corrige une vulnérabilité dans ses équipements
L’équipementier distribue un correctif pour une vulnérabilité permettant de contourner l’authentification sur son interface d’administration Web. Lire la suite
-
Actualités
20 janv. 2016
Linux : une grave vulnérabilité présente depuis 2012
Le noyau Linux embarque depuis 4 ans une vulnérabilité jusqu’ici passée inaperçue et permettant à un attaquant de gagner des privilèges élevés sur un système affecté. Lire la suite
-
Actualités
15 janv. 2016
OpenSSH : Une mise à jour comble une importante vulnérabilité
Le nouvelle version 7.1p2 de l’outil d’administration corrige une vulnérabilité vieille de près de 6 ans et susceptible d’exposer les clés privées du poste client. Lire la suite
-
Actualités
07 janv. 2016
SlientCircle corrige une importante vulnérabilité dans son Blackphone
Cette vulnérabilité affectant le modem de la première génération de Blackphone pouvait permettre son détournement. Lire la suite
-
Actualités
16 déc. 2015
Une grave vulnérabilité affecte les équipements FireEye
Les chercheurs en sécurité de Google ont découvert une vulnérabilité permettant aisément de compromettre les équipements de protection de FireEye. Un correctif a été rapidement développé. Lire la suite
-
Actualités
14 déc. 2015
Langages interprétés du Web : des nids à vulnérabilités
Selon Veracode une écrasante majorité des applications Web développées avec des langages interprétés contient d’importantes vulnérabilités. Lire la suite
-
Actualités
11 déc. 2015
Une vulnérabilité pour passer au travers des pare-feu de nouvelle génération
BugSec et Cynet ont découvert un moyen de retourner contre eux une fonctionnalité des pare-feu de nouvelle génération afin d’exfiltrer des données en toute furtivité. Lire la suite
-
Actualités
26 nov. 2015
Des objets connectés toujours plus vulnérables
Un chercheur de Symantec vient de faire la démonstration de la prise en otage d’un téléviseur connecté sous Android par un rançongiciel. Lire la suite
-
Actualités
25 nov. 2015
Un nouveau certificat vulnérable sur les PC Dell
Après eDellRoot, un autre certificat exposant sa clé privée a été découverte sur les machines Dell. Lire la suite
-
Actualités
20 nov. 2015
Des vulnérabilités trop nombreuses pour être gérées efficacement
Une étude de NopSec sur la gestion des vulnérabilités fait apparaître des RSSI noyés sous l’information et les faux positifs, et minés par le manque de ressources. Lire la suite
-
Actualités
10 nov. 2015
D’importantes vulnérabilités sur SAP HANA
Onapsis vient d’identifier 21 vulnérabilités de sécurité susceptibles de menacer les déploiements HANA, dont 9 qualifiées de critiques. Lire la suite
-
Actualités
10 nov. 2015
SecludIT s’attaque à la surveillance en continu des vulnérabilités
Fondée en 2011, cette start-up française propose une solution permettant d’accélérer le rythme des recherches régulières de vulnérabilités dans l’infrastructure sans perturber la production. Lire la suite
-
Actualités
30 oct. 2015
Xen corrige une vulnérabilité critique vieille de sept ans
Les porteurs du projet Xen viennent de corriger un bug permettant à une machine virtuelle hôte de prendre le contrôle complet du système hôte. Il traîne dans le code de l’hyperviseur depuis sept ans. Lire la suite
-
Actualités
23 oct. 2015
Cartes bancaires : une vulnérabilité connue exploitée discrètement
Des chercheurs viennent de publier un rapport d’étude sur l’exploitation concrète mais discrète d’une vulnérabilité affectant les cartes EMV et connue depuis plus de 5 ans. Lire la suite
-
Actualités
15 sept. 2015
Une importante vulnérabilité dans l’embarqué VxWorks
Un chercheur a profité de la conférence londonienne 44Con pour dévoiler d’importantes vulnérabilités dans le système d’exploitation embarqué VxWorks. Lire la suite
-
Actualités
14 sept. 2015
Vulnérabilités : FireEye au cœur d’une controverse
L'équipementier est pointé du doigt pour ses demandes appuyées de suppression d'informations relatives à des vulnérabilités découvertes dans ses produits. Protection de sa propriété intellectuelle, répond-il. Lire la suite
-
Actualités
09 sept. 2015
Microsoft corrige cinq vulnérabilités critiques
Le train de correctifs de l’éditeur pour le mois de septembre concerne cinq vulnérabilités critiques, dont deux permettant d’exécution de code à distance dans Office. Lire la suite
-
Actualités
08 sept. 2015
Des vulnérabilités dans les produits Kaspersky et FireEye
L’éditeur russe a réagi dans les 24h à la divulgation d’une vulnérabilité, remerciant au passage le chercheur controversé Tavis Ormandy pour son travail. Lire la suite
-
Actualités
04 sept. 2015
Fortinet corrige des vulnérabilités dans son agent pour poste client
L’agent FortiClient pour les postes utilisateurs est disponible dans une version mise à jour après la découverte de vulnérabilité permettant de prendre le contrôle à distance des machines compromises. Lire la suite
-
Actualités
21 août 2015
Quicksand : une vulnérabilité iOS dédiée aux entreprises
Alors qu’Apple s’efforce depuis plusieurs années de répondre aux attentes des entreprises avec son système d’exploitation mobile, ce dernier s’avère affecté par une sévère vulnérabilité corrigées avec sa toute récente version 8.4.1. Lire la suite
-
Actualités
20 août 2015
Analyse comportementale : dépasser la vulnérabilité de l’humain
Comment savent-elles qui fait quoi ? Les nouvelles technologies comportementales utilisent les sciences des données pour superviser l’activité des utilisateurs sur le réseau. Lire la suite
-
Actualités
28 juil. 2015
Une nouvelle vulnérabilité façon Venom pour Qemu
Celle-ci permet d’échapper au confinement d’une machine virtuelle pour remonter à l’hôte, mais cette fois-ci par l’émulation de lecteur de disque optique. Lire la suite
-
Actualités
27 juil. 2015
HP effraie avec des vulnérabilités Windows Phone
Dans le cadre de son initiative Zero Day, HP vient de dévoiler quatre vulnérabilités critiques permettant l’exécution de code à distance via Internet Explorer. Mais pour la version dédiée aux smartphones Windows, pas aux postes de travail. Lire la suite
-
Actualités
24 juil. 2015
Des montres connectées hautement vulnérables
HP Fortify s’est penché sur la sécurité applicative de dix montres connectées. Suffisant selon le groupe pour dénoncer des résultats « décevants » et une sécurité plus que perfectible. Mais l’étude pêche par son manque de transparence. Lire la suite
-
Actualités
21 juil. 2015
Smartphones : Hacking Team montre une vulnérabilité généralisée
Les données dérobées chez Hacking Team montre, si c’était encore nécessaire, qu’aucune plateforme mobile n’est à l’abri d’attaquants déterminés. Même BlackBerry qui a pourtant longtemps fait de la sécurité son principal argument commercial. Lire la suite
-
Actualités
29 juin 2015
Nouvelle vulnérabilité dans Qemu
Après Venom, une vulnérabilité affecte Qemu, cette fois-ci via son émulateur d’interface réseau PCNET. De quoi attaquer l’hôte avec les privilèges accordés au processus Qemu. Lire la suite
-
Actualités
23 juin 2015
Vulnérabilité dans IE : en désaccord avec Microsoft, HP balance
En février dernier, une équipe de chercheurs de HP a été récompensée par Microsoft pour une vulnérabilité découverte dans Internet Explorer mais que l’éditeur ne souhaite pas corriger. Lire la suite
-
Actualités
19 juin 2015
SAP HANA, une cible alléchante et vulnérable
ERPScan alerte d’un intérêt croissant des pirates pour SAP HANA, lequel présente un nombre important de vulnérabilités connues. Lire la suite
-
Actualités
18 juin 2015
Graves vulnérabilités au sein d’OS X et d’iOS
Six chercheurs ont identifié des vulnérabilités permettant à des applications malveillantes d’échapper au sandboxing d’Apple pour accéder aux données sensibles d’autres applications. Lire la suite
-
Actualités
05 juin 2015
F-Secure s’offre un spécialiste du test de vulnérabilités
L’éditeur vient d’annoncer le rachat du danois nSense, spécialiste du test d’intrusion et de l’évaluation de vulnérabilités. Lire la suite
-
Actualités
20 mai 2015
Logjam : une vulnérabilité majeure dans l’échange de clés
Plusieurs chercheurs viennent de montrer comment l’algorithme d’échange de clés de chiffrement Diffie-Hellman s’avère vulnérable aux attaques de type man-in-the-middle. Les serveurs VPN, SSH et HTTPS sont concernés. Lire la suite
-
Actualités
19 mai 2015
Venom, une vulnérabilité spécifique aux environnements virtuels
Une vulnérabilité affecte le code utilisé pour émuler un lecteur de disquettes dans les machines virtuelles. Elle pourrait permettre de remonter jusqu’à l’hôte physique. Lire la suite
-
Actualités
13 mai 2015
AlienVault corrige des vulnérabilités dans ses SIEM
AlienVault propose des correctifs pour ses plateformes de gestion des informations et des événements de sécurité, après qu’un chercheur y avait découvert plusieurs vulnérabilités. Lire la suite
-
Actualités
11 mai 2015
Anssi : deux vulnérabilités potentielles dans OpenPGP
L’agence a étudié deux « fragilités théoriques » dans trois implémentations du format de communication chiffré. Deux d’entre elles ont été mises à jour en conséquence. Lire la suite
