Le Royaume-Uni affirme que l’Iran n’a attaqué que la base…

Rosalia divine mais divisée pour son concert à l’Accor Arena de…

Arrêté après 13 jours de cavale, Ilyas Kherbouch, fugitif de…

Logiciels

Avec 0 jours sur Chrome, iOS et des dizaines d’autres ce mois-ci, aucun logiciel n’est-il sûr ? Ars Technica

Lire aussi :

Les actions de HubSpot chutent de 12 % après…

Un nouveau groupe de ransomware exploite la vulnérabilité du…

L’expression Zero Day peut être repérée sur un écran d’ordinateur monochrome rempli de uns et de zéros.

Les utilisateurs finaux, les administrateurs et les chercheurs feraient mieux de se préparer : le nombre d’applications corrigées pour les vulnérabilités du jour zéro a grimpé en flèche ce mois-ci et risque de s’aggraver dans les semaines à venir.

Les gens ont fait des heures supplémentaires ces dernières semaines pour corriger une série de vulnérabilités activement exploitées dans la nature, les offres d’Apple, Microsoft, Google, Mozilla, Adobe et Cisco étant toutes affectées depuis le début du mois. Le nombre de jours zéro suivis ce mois-ci est considérablement supérieur à la moyenne mensuelle de cette année. Jusqu’à présent, le nombre de personnes en septembre est de 10, contre un total de 60 de janvier à août, selon la société de sécurité Mandiant. L’entreprise a suivi 55 jours zéro en 2022 et 81 en 2021.

Un échantillon des sociétés et produits concernés comprend iOS et macOS, Windows, Chrome, Firefox, Acrobat et Reader, le VPN Atlas, ainsi que le logiciel d’appliance de sécurité adaptative de Cisco et sa défense contre les menaces Firepower. Le nombre d’applications est susceptible d’augmenter car une vulnérabilité unique qui permet aux pirates informatiques d’exécuter du code malveillant lorsque les utilisateurs ouvrent une image piégée incluse dans un message ou une page Web est présente dans éventuellement des centaines d’applications.

Cette vulnérabilité, identifiée comme CVE-2023-4863, provient d’une bibliothèque de code largement utilisée connue sous le nom de libwebp, que Google a créée il y a plus de dix ans pour restituer le nouveau format graphique WebP. Libwebp, à son tour, est incorporé dans environ 70 bibliothèques en aval qui sont incluses dans d’autres bibliothèques et applications populaires. Une seule bibliothèque intermédiaire concernée, connue sous le nom d’Electron, par exemple, fonctionne dans Microsoft Teams, Slack, Skype, Discord et la version de bureau de Signal Messenger, pour n’en nommer que quelques-uns. Les développeurs d’Electron ont corrigé le bug mardi.

Entre-temps, deux zéros différents qui occupent les utilisateurs iOS et macOS ont été récemment utilisés dans la nature pour infecter des cibles avec un logiciel espion avancé connu sous le nom de Pegasus. Pegasus et les exploits qui l’accompagnent utilisés pour l’installer sont développés par le vendeur controversé NSO. Les exploits livrés dans les attaques contre lesquelles Apple a mis en garde la semaine dernière ont été transmis via des appels iMessage et ont fonctionné même lorsqu’un utilisateur n’a pris aucune mesure.

Ces vulnérabilités, identifiées comme CVE-2023-41064 et CVE-2023-41061, ont plusieurs points communs avec la vulnérabilité libwebp. D’une part, ils offrent tous deux des capacités d’exécution de code à distance via des images malveillantes. Et d’autre part, ils ont tous deux été découverts par une équipe composée de l’équipe d’ingénierie et d’architecture de sécurité d’Apple et de Citizen Lab, un groupe de recherche de l’Université de Toronto qui suit les cyberattaques des États-nations. On ignore actuellement quelle relation, le cas échéant, CVE-2023-41064 et CVE-2023-41061 entretiennent avec CVE-2023-4863.

Trois jours zéro différents ont été révélés mardi, deux de Microsoft et un d’Adobe. L’un d’eux, CVE-2023-36761, permet aux pirates d’obtenir des informations sensibles telles que des hachages de mots de passe en envoyant à une cible un document Word malveillant. L’autre vulnérabilité Microsoft réside dans le proxy du service de streaming dans les versions prises en charge de Windows. La vulnérabilité Adobe, suivie comme CVE-2023-26369 et résidant dans Acrobat et Reader, a un indice de gravité de 7,8 sur 10 possibles. Elle permet aux attaquants d’exécuter du code à distance.

Deux autres jours zéro signalés au cours des deux dernières semaines comprennent :

  • CVE-2023-20269 dans le logiciel de l’appliance de sécurité adaptative de Cisco et sa défense contre les menaces Firepower. La société a révélé lundi qu’elle était exploitée dans le cadre d’attaques de ransomware.
  • CVE-2023-35674, une vulnérabilité dans Android qui permet aux pirates d’obtenir des privilèges élevés.

Le 1er septembre, un chercheur s’est rendu sur Reddit pour publier un exploit concernant une vulnérabilité non corrigée dans le VPN Atlas. Il permet à un attaquant de connaître l’adresse IP des personnes utilisant le VPN. Les représentants d’Atlas n’ont pas immédiatement répondu à un e-mail demandant l’état de la vulnérabilité.

Il est possible qu’un autre jour zéro ait été exploité ces dernières semaines. Des chercheurs du Project Zero de Google ont déclaré la semaine dernière que des pirates informatiques soutenus par le gouvernement nord-coréen l’exploitaient dans des attaques visant des chercheurs en sécurité. Les chercheurs n’ont pas nommé le logiciel concerné.

Avec 70 zéro-day découverts jusqu’à présent cette année, 2023 est en passe de battre le précédent record de 81 établi en 2021. Le remède le plus efficace consiste à installer les correctifs de sécurité dès qu’ils sont disponibles. Bien entendu, ces conseils ne font rien pour les cibles touchées avant que les exploits ne soient rendus publics et que des correctifs aient été publiés. Nous devons répéter nos conseils de précaution :

  • Méfiez-vous des liens, en particulier de ceux contenus dans les e-mails ou les messages, et ne suivez jamais les invites pour installer ou mettre à jour des applications ou des extensions de navigateur.
  • Utilisez un pare-feu tel que celui de Windows ou le pare-feu LuLu pour macOS. Ces programmes ne vous empêcheront pas d’être infecté par des failles Zero Day ou d’autres types d’exploits. Mais en exigeant que les applications nouvellement installées reçoivent une autorisation la première fois qu’elles tentent d’établir une connexion sortante sur Internet, les pare-feu peuvent contenir les dégâts que tout logiciel malveillant installé peut causer.
  • Exécutez un logiciel antivirus.

Une autre chose à retenir concernant les jours zéro : la plupart d’entre nous ne sont pas susceptibles d’être ciblés par un tel jour. Les exploits pour cette classe de vulnérabilité coûtent souvent 1 million de dollars ou plus, et une fois qu’ils sont déclenchés sur Internet, ce n’est généralement qu’une question de jours avant qu’ils deviennent publics et perdent leur valeur. Cela signifie que les zéros jours ne seront probablement utilisés que sur une très petite base de cibles considérées comme de grande valeur, telles que des représentants du gouvernement, des dissidents, de grandes entreprises et des détenteurs de grandes quantités de cryptomonnaies.

www.actusduweb.com
Suivez Actusduweb sur Google News


vous pourriez aussi aimer Plus d'articles de l'auteur
Plus d'Articles

Les actions de HubSpot chutent de 12 % après qu’Alphabet ait…

Un nouveau groupe de ransomware exploite la vulnérabilité du logiciel…

Comment les équipes de plateformes créent des entreprises meilleures,…

Datadog (NASDAQ:DDOG) : meilleurs résultats du premier trimestre pour…

iOS 18 propose un nouveau fond d’écran dynamique aux couleurs…

8 raisons pour lesquelles les développeurs aiment Go et 8 raisons pour…

1 De 351

Ce site utilise des cookies pour améliorer votre expérience. Nous supposerons que cela vous convient, mais vous pouvez vous désinscrire si vous le souhaitez. J'accepte Lire la suite