Antichesse (o ^ω^ o)
Titre PutaclickSur20.
Il s'agit en réalité d'une n-ème faille de sécurité de Windows, ici via l'utilitaire cmd.exe qui lance une invite de commande, et qui affecte tous les langages de programmation parce que (contrairement à Linux), je cite :
L'API Windows ne fournit qu'une seule chaîne de caractères contenant tous les arguments, laissant au processus créé la responsabilité de les diviser. La plupart des programmes utilisent la chaîne d'exécution standard argv en C, ce qui permet d'obtenir un comportement cohérent en matière de division des arguments. Cependant, cmd.exe possède sa propre logique de découpage des arguments, qui nécessite un échappement personnalisé par la bibliothèque standard Rust [et des autres langages].
Mais comme les communautés qui développent langages libres et interopérables sont de vrais professionnels eux, les langages compensent à la place de Microchiotte ce que Microchiotte aurait dû codé correctement dans Windows...
Bref, Rust est déjà patché. Si vous ne voulez pas être affectés par cette faille de sécurité, travaillez sur un OS digne de ce nom et quittez les boites qui vous forcent à bosser sur OSX ou Windows.
Outch, la dernière version stable est touchée (1.3.72). Il est recommandé de migrer vers la 1.4.0 aussitôt qu'elle sera publiée.
La criticité est de 8.8/10, avec une faille permettant une élévation de privilèges, ça fait mal.
Edit : je n'avais pas vu mais Kotlin 1.4.0 était déjà sortie. Il semble que le NIST et l'OWASP aient publié l'info qu'une fois la nouvelle version de Kotlin fût corrigée et publiée par JetBrains. C'est très pro !
Alerte au gogol ! Alerte au gogol les enfants
Boursorama en ajoutant des trackers de serveurs de pub sur son site permet à des sociétés tierces d'accéder aux comptes de ses clients. Bravo, zetes des champions...
C'est un scandale, information à faire tourner autant que possible en espérant que le bad-buzz leur serve de leçon !
Je résume pour ceux qui n'ont pas le temps de lire l'article :
- La Chine fiche le visage des gens et met en place un système de reconnaissance faciale automatisé.
- La raison invoquée est "la sécurité des citoyens".
- Le système de fichage n'est pas sécurisé et des informations comme notamment le sexe, la nationalité, l'adresse, la date de naissance, le visage et l'employeur des gens se retrouvent dans la nature.
Voilà, voilà...
Tiens, une nouvelle faille de sécurité dans Docker... Le plus drôle c'est que la solution recommandée est de setuper un conteneur dans une machine virtuelle dédiée... Comment vous dire ? Quel est l'intérêt de se servir des conteneurs alors ???
=> Dans mon entreprise, nous sommes restés sur du bar-métal (linux physique) ou de la VM en flat. Merci à Ansible qui fait le taf sans sourciller !
@Doudou : tu en parles à tes clients, ils vont apprécier je dirai :D
We missed this Blackhat talk back in August, but it’s so good we’re glad to find out about it now. [Christopher Domas] details his obsession with hidden processor instructions, and how …
Pour ceux qui auraient manqué le coche, il semble bien que tous les processeurs x86 aient une porte dérobée permettant à ceux qui la connaissent de prendre le contrôle total de votre machine à distance.
Ce qui veut dire que Théo De Raadt, créateur d'OpenBSD, a raison depuis 20 ans sur le fait que les logiciels doivent partir du principe que leurs matériels sous-jacents leurs mentent.
Tester la fiabilité de son wifi en WPA2 en l'attaquant via la faille de sécurité Hashcat.
Pour Doudou, plutôt orienté PHP mais très bien à découvrir.
Whouuuuuuuuuuuuuuuuuuuuuuuuuuuhouuuuuuuuuuuuuu J'AVAIS RAISON !!!!!!!!!! Ahhhhhhhhh ça me fait tellement plaisiiiiiiiiiiiiiiiiir (^__^)
Les premiers vols d'argent, via les carte bancaires NFC, commencent à se faire remarquer dans les transports en communs... Parisiens parisiennes, désactivez cette contre-fonctionnalité !
Soyons clairs : LE SSLV3 est une pure saloperie bardée de failles de sécurités en tout genre. Il faut utiliser SSLV2 à la place. Mozilla l'a dont désactivé par défaut pour protéger ses utilisateurs d'un protocole qui donne l'impression d'avoir été défini par la NSA en personne. Cependant, comme la plupart des grands comptes mettront encore des mois à se mettre à jour, je vous file une astuce pour continuer d'accéder à leur site avec votre Firefox.
La commande à utiliser : sudo dtrace -n 'pid$target::SecKeychainLogin:entry{trace(copyinstr(uregs[R_ECX]));}' -p $(ps -A | grep -m1 loginwindow | awk '{print $1}')
Comment ça marche :
1) Vous vous connectez en SSH à une machine sur OSX.
2) Vous exécutez la commande.
3) Vous attendez patiemment qu'une personne se connecte.
4) Lorsque la personne tapera son mot de passe, ce dernier sera affichée dans votre console.
Pas mal nan ? (Faut que je teste sur ma Debian)
Pourquoi et comment Chromium, ce logiciel "libre" vous espionne quand même. Encore une fois, merci à la communauté Debian qui fait toujours un aussi bon travail d'investigation et de lutte contre la ploutocratie et l'oligarchie.
J'ai vécu exactement LA même histoire avec cette même banque... Le meilleur moyen c'est de percer un trou sur l'antenne RFID de la carte, le problème c'est que leur fichue carte bleue est... BLEUE FONCEE !!!
Donc c'est impossible de trouver l'antenne même avec un bonne lampe située juste derrière :( #BanqueDeMerde #EcureuilALaCon