in

Les exploits Windows viennent par trois

How-To Geek résumé des nouvelles quotidiennes dans une tablette.

Au cours des deux derniers jours, un chercheur en sécurité qui passe par la poignée Boîte à Sable a publié un code de démonstration pour trois vulnérabilités Windows 10 différentes. Microsoft a déjà corrigé au moins un exploit, mais la société n’a pas encore commenté les autres.

Au cours de l’année écoulée, SandBoxEscaper a publié sept exploits différents, chacun présentant des degrés d’importance et de facilité d’utilisation variables. Divers points de vente comme Ars Technica et ZDNet font référence à ces dernières vulnérabilités comme des «exploits zero-day» mais cela peut ne pas être totalement exact.

Le terme «zero-day» fait référence aux exploits découverts par des tiers, puis utilisés ou publiés sans en informer au préalable l’entreprise concernée. Les premiers rapports suggéraient que SandBoxEscaper avait publié tous ces exploits sans notification responsable à Microsoft, mais cela ne semble pas être le cas.

ZDNet mentionne dans une version mise à jour de son article que Microsoft a précisé qu’il avait déjà corrigé au moins un de ces exploits et l’a lié à CVE-2019-0863, un exploit crédité à «Polar Bear» (un autre nom utilisé par SandBoxEscaper). Microsoft n’a pas commenté les deux autres vulnérabilités.

Si vous vous demandez à quel point ces exploits sont dangereux, la réponse est un peu mitigée. Selon SandBoxEscaper, les vulnérabilités sont difficiles à exploiter et nécessitent un accès local à la machine ciblée. Cela limite donc l’utilité des exploits.

D’un autre côté, si un mauvais acteur accède aux machines pour cibler, il peut causer beaucoup de dégâts avec l’un de ces exploits, car ils permettent de différentes manières d’élever les privilèges, d’accéder au système et d’exécuter JavaScript à un niveau. Le bac à sable d’IE11 devrait empêcher.

Si Microsoft n’a pas déjà corrigé les trois vulnérabilités, l’entreprise doit en faire une priorité. [ZDNet]

Dans d’autres nouvelles

  • League Of Legends pourrait venir sur les appareils mobiles: Selon les «sources», Tencent et Riot Games pourraient travailler sur une version mobile de League of Legends. C’est une décision judicieuse compte tenu du succès de Fortnite sur toutes les plateformes. Mais jusqu’à ce que nous ayons plus que de simples sources sans nom, c’est au mieux un espoir et une rumeur. J’appelle Jarvan IV! [Reuters]
  • Razer Forge TV et Ouya disent un dernier adieu: Vous pensez peut-être en ce moment: «Qu’est-ce que Razer Forge TV et OUYA?» et ce serait le problème. Razer Forge TV a été l’une des premières tentatives d’Android sur le téléviseur, et la société l’a retiré en quelques mois. Et OUYA a promis de changer le jeu avec sa console Android TV à financement participatif avant que Razer n’achète la société. Ni l’un ni l’autre n’a décollé et maintenant Razer dit avoir fermé ses magasins en ligne après le 25 juin 2019. [9to5Google]
  • Le prochain ordinateur de poche PlayDate de Panic est super mignon: Venant des créateurs de grands logiciels Mac comme Coda et Prompt, et des créateurs de jeux indépendants derrière Katamari, se trouve un adorable petit ordinateur de poche avec une manivelle. Regarde ce cheval gif, ça crie en quelque sorte l’innocence de l’enfance. Le PlayDate devrait sortir au début de 2020 et, en raison d’un écran haut de gamme et d’autres matériels, devrait coûter environ 150 $. [The Verge]
  • La nouvelle technologie de changement de voie de Tesla n’est peut-être pas sûre: Récemment, Tesla a mis à jour son «logiciel de pilotage automatique» avec la possibilité de changer automatiquement de voie. La société affirme que la voiture peut le faire plus en toute sécurité par elle-même qu’un humain, mais Consumer Reports dit le contraire. Lors des tests, ils ont découvert que les véhicules essayaient de changer de voie de manière dangereuse, de freiner à des points inattendus et de couper les voitures avec peu d’espace libre. Les voitures autonomes ont un long chemin à parcourir. [Consumer Reports]
  • Las Vegas attribue à Boring Company un contrat de 49 millions de dollars: L’autre entreprise d’Elon Musk, la Boring Company, a de bonnes nouvelles. Las Vegas a approuvé un contrat pour la construction d’un tunnel souterrain de transport de personnes, avec des véhicules électriques autonomes. Si la promesse de réduire une marche de 15 minutes à 1 minute tient, les participants au CES seront reconnaissants. On ne sait pas si le tunnel est livré avec des lance-flammes complémentaires. [The Verge]
  • Le Duplex de Google fonctionne très bien quand ce n’est pas vraiment humain: Le New York Times a fait un essai de Duplex, les services de réservation IA (Intelligence Artificielle) de Google qui planifient des réservations pour des endroits comme des restaurants. Lorsque l’IA a effectivement passé l’appel, tout le processus était impressionnant, et l’humain en ligne ne pouvait pas le dire. Mais parfois, ce n’était pas du tout une IA. Google affirme qu’environ 25% des appels Duplex sont effectués par un humain, pas par l’IA Duplex, et même lorsque l’IA lance l’appel, un humain intervient dans 15% de ces cas. [The New York Times]
  • Spotify a réinitialisé les mots de passe de certains utilisateurs en raison d’une activité suspecte: Certains utilisateurs de Spotify ont reçu une notification indiquant que l’entreprise a réinitialisé leurs mots de passe. Dans un clarification quelque peu vague à Techcrunch, la société explique avoir envoyé le message à certains utilisateurs par précaution et a rappelé aux utilisateurs de ne pas réutiliser les mots de passe sur les sites Web. Sans plus d’informations, nous ne pouvons que deviner ce qui se passe. [TechCrunch]
  • Apple a envoyé des invitations aux médias pour le discours d’ouverture de la WWDC: La WWDC approche à grands pas et nous sommes susceptibles d’entendre parler des dernières et meilleures mises à jour logicielles pour iOS, macOS, etc. Apple a envoyé des invitations aux médias pour la keynote, qui aura lieu le 3 juin. Si vous n’avez pas reçu de billet, eh bien, il est trop tard. Vous devrez juste regarder de chez vous comme le reste d’entre nous. [MacRumors]
  • GitHub Sponsors est comme Patreon pour le code open source: Github vient d’annoncer un nouveau programme de «sponsors» qui rappelle les sponsors Patreon ou Twitch. Vous pouvez choisir un développeur open source auquel envoyer des cadeaux récurrents mensuels, et les développeurs peuvent ajouter des niveaux de récompense. Microsoft affirme qu’il égalera 5000 $ de dons au cours de la première année de participation d’un développeur et qu’il annulera tous les frais pour les douze prochains mois. Cependant, il n’est pas encore tout à fait clair comment chaque aspect fonctionnera, alors gardez un œil sur plus de détails à venir. [GeekWire]

Et en conclusion, la NASA aimerait envoie ton nom sur Mars. Avec un formulaire de soumission rapide, vous pouvez fournir votre nom à graver sur une puce, ainsi que tous ceux qui s’inscrivent, qui seront ensuite attachés au rover Mars 2020. Si vous donnez votre adresse e-mail à la NASA, elle vous enverra des notifications pour de futures opportunités comme celle-ci. Et en petit bonus, la NASA vous donnera une carte d’embarquement amusante pour soumettre votre nom et oh de qui on rigole, vous ne lisez pas ceci, n’est-ce pas? Vous vous inscrivez déjà, et c’est ce que nous allons faire maintenant aussi. [NASA]

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Économisez de l'espace sur l'écran dans Firefox en convertissant les barres d'outils Firefox en boutons

Économisez de l’espace sur l’écran dans Firefox en convertissant les barres d’outils Firefox en boutons

Existe-t-il un raccourci clavier pour suspendre la sortie d'une fenêtre CMD en cours d'exécution?

Existe-t-il un raccourci clavier pour suspendre la sortie d’une fenêtre CMD en cours d’exécution?