Découvrez l’actualité Sécurité de la semaine avec la newsletter Adacis:

Au menu:

• Publication de la Faille Venom par CrowdStrike, qui permet de casser l’étanchéité d’une machine virtuelle

« L’exploit permet à un attaquant de pénétrer une machine virtuelle, d’exécuter du code sur la machine hôte et d’accéder à n’importe quelle autre machine virtuelle qui fonctionnerait sur ce serveur. Pire, l’attaquant pourrait potentiellement obtenir « des droits d’accès élevés au réseau local de l’hôte et aux systèmes adjacents » »

• RSnake découvre la faille de comparaison de hash en PHP « Magic Hash »

« Because of a security flaw according to which PHP tackles ‘hashed’ strings in specific situation attackers are given the opportunity to try and breach passwords, authentication systems and other functions being run on PHP hash comparisons, WhiteHat security researcher says […]The problem occurs in the way hashed strings are handled by PHP when either “!=” or “==” (double equal) operators are being utilized to compare ‘em. »

• Le moteur de recherche Punkspider doit permettre d’identifier automatiquement des sites vulnérables

« Une fois par an, fin mai, ils scannent des millions de sites à la recherche de failles potentielles et proposent ça gratuitement sur leur site, qui est si vous préférez, un genre de « Google de la vuln ». Si je vous en parle, c’est parce que le prochain scan aura lieu fin mai de cette année et qu’il va falloir surveiller ça pour être certain que vous n’êtes pas indexé comme site vulnérable sur leur site. »

• Combien ça coûte d’embaucher un hacker ?

« According to a recent investigation conducted by the Business Insider if you want to hack someone’s Gmail account, you will have to pay about $90 (…)if you want to take over into someone’s Facebook account you have to spend around $350 (…)The takeover of a NetFlix account is very cheap and goes for $1.25 … »

• Le point de vue d’OVH sur le Loi sur le Renseignement

« Je souhaite d’abord m’exprimer sur la loi elle-même. Cette loi n’est pas bonne pour notre pays (…) Le gouvernement a décidé de nous lier tous à cet état d’urgence terroriste (…) Mais la modification de la loi que nous avons obtenue nous permet aujourd’hui de dire que la loi est compatible avec les datacentres et l’activité d’hébergement. Nous veillerons à ce que les décrets d’application ne dénaturent pas les avancées obtenues dans l’amendement… »

• Désobfusquer des Macros VBA malicieuses avec Python 

• Analyse de l’ASLR sous Android très détaillée

• Patch Tuesday Microsoft pour avril 2015

• Patch Tuesday Adobe du 12 mai, des failles corrigées