Mai 2012
Une pluie de correctifs de sécurité avant Pwn2Own 2011
par Christophe Laporte le 04.03.2011 à 18:10
Du 9 au 11 mars, les hackers et chercheurs en sécurité venus du monde entier se réuniront à Vancouver le temps d'un week-end pour hacker les principaux navigateurs et smartphones du marché (lire : CanSecWest : Mac et PC vont souffrir). Pwn2Own étant devenu au fil des années un événement très suivi, les éditeurs tentent de mettre le maximum de chances de leur côté en sortant des mises à jour de leurs logiciels juste avant le début de la conférence.
Après Mozilla (lire : Mises à jour pour Firefox et Thunderbird) et Google qui ont récemment sorti des révisions de sécurité, ce serait au tour d'Apple de préparer le terrain. Après avoir mis à jour iTunes qui règle un grand nombre de failles WebKit (lire : iTunes 10.2 corrige des failles de sécurité sur Windows), la marque à la pomme pourrait proposer d'ici le milieu de la semaine prochaine une mise à jour de sécurité pour Mac OS X et Safari si l'on en croit VUPEN Security.
À ce jour, Safari n'a jamais fini une édition de ce concours indemne. Qu'en sera-t-il cette année ?
Après Mozilla (lire : Mises à jour pour Firefox et Thunderbird) et Google qui ont récemment sorti des révisions de sécurité, ce serait au tour d'Apple de préparer le terrain. Après avoir mis à jour iTunes qui règle un grand nombre de failles WebKit (lire : iTunes 10.2 corrige des failles de sécurité sur Windows), la marque à la pomme pourrait proposer d'ici le milieu de la semaine prochaine une mise à jour de sécurité pour Mac OS X et Safari si l'on en croit VUPEN Security.
À ce jour, Safari n'a jamais fini une édition de ce concours indemne. Qu'en sera-t-il cette année ?
|
Vos réactions (11 réactions)
lukasmars
[04/03/2011 18:27]
Google semble vouloir attirer le chaland, enfin le hacker puisqu'ils offrent 20 k $ à qui arrivera a faire tomber chrome.
Google semble vouloir attirer le chaland, enfin le hacker puisqu'ils offrent 20 k $ à qui arrivera a faire tomber chrome.
rom54
[04/03/2011 18:53]
Comme d'habitude ca va etre une hecatombe...
Certes maintenant qu'Apple ne livre plus en standard Flash et Java, une majorité d'attaques ne pourra plus avoir lieu. Neanmois la grande faille à exploiter cette annee pourrait bien etre Acrobat Reader et les documents pdf remplis de JS.
Enfin, coté Apple on commence a prendre des mesures avec la constitution d'une equipe de sécurite. Mieux vaut tard que jamais.
Il n'empéche que tant qu'on programmera avec des outils et des langages insécures au possible (famille du C en particulier) on aura des bug et donc des failles de sécurite.
L'autre problème reside dans la résistance des réseaux face aux attaques déportées. Et la si la structure meme de l'Internet a démontrée sa résistance globale, il en est bien différemment pour les systèmes client-serveurs. Le nombre d'attaques DDoS ne fait que croitre, ce qui démontre que le nombre de PC infectéa augmente constamment lui aussi malgré que chaque PC soit équipé d'antivirus commerciaux...
Bref, en terme de sécurité informatique on est encore a la préhistoire et les antivirus relèvent plus de la superstition que de l'efficacité...
Comme d'habitude ca va etre une hecatombe...
Certes maintenant qu'Apple ne livre plus en standard Flash et Java, une majorité d'attaques ne pourra plus avoir lieu. Neanmois la grande faille à exploiter cette annee pourrait bien etre Acrobat Reader et les documents pdf remplis de JS.
Enfin, coté Apple on commence a prendre des mesures avec la constitution d'une equipe de sécurite. Mieux vaut tard que jamais.
Il n'empéche que tant qu'on programmera avec des outils et des langages insécures au possible (famille du C en particulier) on aura des bug et donc des failles de sécurite.
L'autre problème reside dans la résistance des réseaux face aux attaques déportées. Et la si la structure meme de l'Internet a démontrée sa résistance globale, il en est bien différemment pour les systèmes client-serveurs. Le nombre d'attaques DDoS ne fait que croitre, ce qui démontre que le nombre de PC infectéa augmente constamment lui aussi malgré que chaque PC soit équipé d'antivirus commerciaux...
Bref, en terme de sécurité informatique on est encore a la préhistoire et les antivirus relèvent plus de la superstition que de l'efficacité...
bugman
[04/03/2011 19:24]
" Comme d'habitude ca va etre une hecatombe..." + 1
" Comme d'habitude ca va etre une hecatombe..." + 1
A380COMO
[04/03/2011 20:05]
@rom54
qu'est ce que tu veux dire par la famille du C sont des langages "insécures"?
J'ai juste envie d'apprende...
@rom54
qu'est ce que tu veux dire par la famille du C sont des langages "insécures"?
J'ai juste envie d'apprende...
bugman
[04/03/2011 20:43]
Moi aussi (remarque) : insécure : "peu sûr, peu solide; dangereux; incertain, peu ferme"...
Tout ce que n'est pas le C
Bug dans du code C,C++, Objective ? Faut t'en prendre au manche que te sert de codeur (le mien ne peux répondre, il bouffe du code) !
Le C++ (ce vieux bazar) est mon langage préféré (ça ce sent ?)
Moi aussi (remarque) : insécure : "peu sûr, peu solide; dangereux; incertain, peu ferme"...
Tout ce que n'est pas le C
Bug dans du code C,C++, Objective ? Faut t'en prendre au manche que te sert de codeur (le mien ne peux répondre, il bouffe du code) !
Le C++ (ce vieux bazar) est mon langage préféré (ça ce sent ?)
Arnaud de Brescia
[04/03/2011 21:10]
Tant mieux s'ils patchent avant, mais ça ne veut pas dire qu'ils ne devront pas patcher après.
La sécurité est une illusion... au mieux un état éphémère.
Tant mieux s'ils patchent avant, mais ça ne veut pas dire qu'ils ne devront pas patcher après.
La sécurité est une illusion... au mieux un état éphémère.
manu1707
[04/03/2011 22:52]
via MacG Mobile
Bah j'espère que safari ne va plus buggé a l'ouverture chez moi parce que Ca me lourde !
Bah j'espère que safari ne va plus buggé a l'ouverture chez moi parce que Ca me lourde !
cekter
[05/03/2011 02:06]
via MacG Mobile
Je pige que dalle à tout ça mais je trouve cet evenement sympa et instructif (pour ceux qui sont concernés parce que moi je me fait l'effet d'une poule devant un couteau quand on me parle de hacking)
Je pige que dalle à tout ça mais je trouve cet evenement sympa et instructif (pour ceux qui sont concernés parce que moi je me fait l'effet d'une poule devant un couteau quand on me parle de hacking)
A380COMO
[05/03/2011 11:15]
Quels sont les langages qui offrent de la sécurité?
c'eest dommage pour le C puiqu'il est considéré comme un bon langage au niveau de l'optimisation des ressources du matériel!
Quels sont les langages qui offrent de la sécurité?
c'eest dommage pour le C puiqu'il est considéré comme un bon langage au niveau de l'optimisation des ressources du matériel!
BeePotato
[07/03/2011 15:33]
@ bugman : « Le C++ (ce vieux bazar) est mon langage préféré (ça ce sent ?) »
Berk ! ;-)
Objective C (et donc C) power !!!:D
@ bugman : « Le C++ (ce vieux bazar) est mon langage préféré (ça ce sent ?) »
Berk ! ;-)
Objective C (et donc C) power !!!:D
Réagir
Cinq consignes avant de réagir :
- Rester dans le cadre de la dépêche. Pour des discussions plus générales, vous pouvez utiliser nos forums.
- Développer son argumentation. Les messages dont le seul but est de mettre de l'huile sur le feu seront modifiés ou effacés sans préavis par la rédaction.
- Respecter les acteurs de l'informatique et les autres lecteurs. Les messages agressifs, vulgaires, haineux, etc. seront modifiés ou effacés sans préavis par la rédaction.
- Pour toute remarque concernant le contenu de l'article, pour nous signaler une erreur, une faute d'orthographe, une omission, merci de nous contacter exclusivement par e-mail.
- Relisez-vous, et pour les utilisateurs de Safari profitez de l'aide du navigateur : activez le menu édition > Orthographe > Vérifier l'orthographe lors de la frappe.
vu le peu de MAJ de safari à chaque nouvelle version, ça m'étonnerai pas qu'il y ait encore des dégâts...