La faille dans le logiciel de sécurisation d'Orange n'est pas passée inaperçue sur la toile. Trois jours plus tard, j'interroge Orange qui a bien souhaité me répondre au sujet cette affaire.

Voici l'échange que j'ai eu avec le Community Manager Orange France. » Lire la suite

C'est Olivier Laurelli (plus connu sous @bluetouff et à qui nous souhaitons un bon retour dans la blogosphère IT après avoir été victime d'une attaque DDoS) avec @fo0_ qui a eu l'idée d'analyser les échanges avec le logiciel de "sécurisation" proposé par Orange.

Ils n'ont pas été déçus par leurs découvertes.

Edit 2 : Orange répond à mes questions sur ce sujet sensible

Edit 1 : je vous invite à lire la suite chez PCI avec la code source brut de l'exécutable qui montre d'autres nouveautés... toujours aussi surprenantes !

» Lire la suite

L'information n'est pas passée inaperçue cette semaine, c'est le moins que l'on puisse en dire. Google a annoncé avoir reçu des attaques depuis la chine et l'on apprenait il y a quelques jours qu'il s'agissait d'une faille 0-Day concernant Microsoft Internet Explorer. Cette attaque a été baptisée Aurora.

Je vous propose au travers de ce billet un résumé de la situation qui s'éparpille dans un tous les sens sur les sites d'informations. » Lire la suite

Une faille XSS est présente depuis hier déjà sur le site d'Apple. Ce billet n'a d'autre but que celui d'encourager les développeurs à corriger cette brèche.

Voici ce que l'on peut y voir en modifiant simplement certains paramètres GET de l'URL :

» Lire la suite

[Mise à jour] Comme l'explique MagicalTux, employer le mot "dns spamming" n'est pas exact. Il s'agit plus exactement d'une manipulation au niveau des Glue Records : c'est à dire du serveur de nom dont votre registrar peut vous autoriser la modification.

Il semblerait que certains serveurs soient victime d'un DNS Spamming influant sur le WHOIS de très nombreux sites tels que Amazon, Youtube, eBay, CNN, Apple, Microsoft, Yahoo ou encore Facebook.

Voici ce que retourne le WHOIS de Apple.com :

APPLE.COM.WWW.BEYONDWHOIS.COM
APPLE.COM.MORE.INFO.AT.WWW.BEYONDWHOIS.COM
APPLE.COM.IS.OWN3D.BY.NAKEDJER.COM
APPLE.COM.IS.0WN3D.BY.GULLI.COM
APPLE.COM.BEYONDWHOIS.COM
APPLE.COM.AT.WWW.BEYONDWHOIS.COM
APPLE.COM

» Lire la suite

Une possibilité de crash de Firefox (version 3.0.6 incluse) vient d'être révélée.

Le code source concerne la balise "BODY onload" :

<BODY onload="
document.designMode='on';
document.removeChild(document.firstChild);
document.queryCommandState('BackColor');
">

Ce qui provoque :

» Lire la suite

Un déni de service vient d'être découvert au sein du navigateur de Microsoft, Internet Explorer. Les versions touchées par cette exploit sont : Internet Explorer 6, 7 et 8 beta 2 (sera corrigé dans la 8.0 rc1).

Le principe est relativement simple : on demande à IE de lire le contenu d'un pointeur vide au chargement de la page (cliquez ici pour essayer) :

<body onload=screen[""]> » Lire la suite

Le site de référence en matière de sécurité Secunia propose d'analyser la sécurité de votre système Windows grâce à son utilitaire gratuit Personal Software Inspector (PSI) :

» Lire la suite

Une faille dans la version WordPress 2.6.3 vient d'être découverte. Elle ne concerne uniquement les serveurs Apache 2.x virtuels basés sur IP.

Je fais ce billet également pour vous dire que l'on passe de la version 2.6.3 à la 2.6.5 et qu'il n'existera jamais de 2.6.4 tout simplement à cause du fait que des rumeurs avaient circulées sur cette version... Pour éviter toute confusion l'équipe de développement de WP a préférer sauter cette version 2.6.4.

La version française n'étant encore pas disponible sur WordPress-fr (elle le sera peut-être à l'heure ou vous lisez ce billet), vous pouvez soit télécharger uniquement les fichiers modifiés (pas de perte de la langue française), soit re-télécharger la version anglaise complète en version 2.6.5.

Personnellement j'ai seulement mis à jour les fichiers patchés (ce que je fais à chaque fois d'ailleurs pour éviter de perdre certaines personnalisations dans le code source).

Voici la note officielle :

WordPress 2.6.5 is immediately available and fixes one security problem and three bugs. We recommend everyone upgrade to this release.

The security issue is an XSS exploit discovered by Jeremias Reith that fortunately only affects IP-based virtual servers running on Apache 2.x. If you are interested only in the security fix, copy wp-includes/feed.php and wp-includes/version.php from the 2.6.5 release package.

2.6.5 contains three other small fixes in addition to the XSS fix. The first prevents accidentally saving post meta information to a revision. The second prevents XML-RPC from fetching incorrect post types. The third adds some user ID sanitization during bulk delete requests. For a list of changed files, consult the full changeset between 2.6.3 and 2.6.5.

Note that we are skipping version 2.6.4 and jumping from 2.6.3 to 2.6.5 to avoid confusion with a fake 2.6.4 release that made the rounds. There is not and never will be a version 2.6.4.

WordPress-fr
WordPress (officiel)

Le navigateur de Google reste en version bêta, trop de gens ont tendance à l'oublier ! Surement à cause du fait que trop de sites internet s'affichent en version bêta (et Google est loin d'être le dernier dans ce domaine !).

C'est donc tombé, 2 failles DoS (Denial of Service) pour Google Chrome. » Lire la suite