Insécurité des optimisations des moteurs JavaScript

Magazine
Marque
MISC
HS n°
Numéro
20
|
Mois de parution
octobre 2019
|
Domaines


Résumé

Le navigateur web peut constituer le point d’entrée d’une compromission d’un téléphone mobile ou d’un ordinateur personnel. Sur des systèmes correctement mis à jour, l’attaquant devra faire l’usage de failles 0-days afin de prendre le contrôle du navigateur. Cette année, on a pu observer une attention particulière portée aux moteurs JavaScript, que ce soit via les bugs corrigés, les attaques démontrées à des événements du type pwn2own ou encore des attaques réelles. Il y a deux exemples très récents d’attaques ciblées de ce type : les chaînes d’exploits visant certains utilisateurs d’iPhone ainsi que la chaîne d’exploits pour Firefox visant coinbase.


La suite est réservée aux abonnés. Déjà abonné ? Se connecter

Sur le même sujet

Programmation réactive avec Quarkus

Magazine
Marque
GNU/Linux Magazine
Numéro
237
|
Mois de parution
mai 2020
|
Domaines
Résumé

L’innovant projet Quarkus a déjà été évoqué dans plusieurs précédents articles depuis sa sortie en mai 2019. Ces publications ont détaillé à quel point il est un excellent cadre d’exécution, très performant et très adapté à la réalisation de microservices HTTP. Néanmoins, ces différents articles n’ont pas, pour le moment, abordé le thème de la programmation « réactive ». Or, comme nous allons le voir aujourd’hui, la programmation « réactive » est en fait au cœur de Quarkus !

Faites du multithreading avec OpenMP

Magazine
Marque
GNU/Linux Magazine
Numéro
237
|
Mois de parution
mai 2020
|
Domaines
Résumé

Vous vous êtes souvent demandé s’il était possible de paralléliser certaines tâches de votre application afin de la rendre plus optimale en termes de temps ? Grâce à OpenMP, vous pourrez optimiser la vitesse d’exécution de vos programmes en parallélisant les tâches facilement.

Erlang, programmation distribuée et modèle acteur

Magazine
Marque
GNU/Linux Magazine
Numéro
237
|
Mois de parution
mai 2020
|
Domaines
Résumé

Quel est le point commun entre RabbitMQ, ejabberd, CouchDB, WhatsApp et Heroku ? Ces outils et services ont la particularité d’utiliser le même langage de programmation : Erlang. Ce dernier, encore trop peu connu du grand public, a pourtant réussi à maintes reprises à faire parler de lui. Il offre une approche nouvelle dans le monde du développement, où le paradigme orienté objet domine largement le marché, en offrant une implémentation très haut niveau du modèle acteur, facilitant ainsi la mise en place ainsi que l’utilisation de systèmes complexes et distribués.

Accès aux attributs et méthodes en Python : une autre voie est-elle possible ?

Magazine
Marque
GNU/Linux Magazine
Numéro
236
|
Mois de parution
avril 2020
|
Domaines
Résumé

Vous vous interrogez toujours sur la gestion des accès aux attributs et méthodes de vos objets Python ? Vous aimeriez écrire du code plus strict, mais vous vous demandez si cela serait vraiment pertinent ? Cet article devrait vous amener des pistes de réflexion.

Par le même auteur

Insécurité des optimisations des moteurs JavaScript

Magazine
Marque
MISC
HS n°
Numéro
20
|
Mois de parution
octobre 2019
|
Domaines
Résumé

Le navigateur web peut constituer le point d’entrée d’une compromission d’un téléphone mobile ou d’un ordinateur personnel. Sur des systèmes correctement mis à jour, l’attaquant devra faire l’usage de failles 0-days afin de prendre le contrôle du navigateur. Cette année, on a pu observer une attention particulière portée aux moteurs JavaScript, que ce soit via les bugs corrigés, les attaques démontrées à des événements du type pwn2own ou encore des attaques réelles. Il y a deux exemples très récents d’attaques ciblées de ce type : les chaînes d’exploits visant certains utilisateurs d’iPhone ainsi que la chaîne d’exploits pour Firefox visant coinbase.

Présentation et contournement des mitigations du noyau Windows 8.1

Magazine
Marque
MISC
Numéro
80
|
Mois de parution
juillet 2015
|
Domaines
Résumé
De nos jours, de nombreuses attaques informatiques se font via l’exploitation de failles applicatives. Des logiciels couramment utilisés tels que les navigateurs web [37] [38] ou les lecteurs de PDF [39] constituent des cibles importantes et permettent la compromission à distance d'une cible. Cependant, d’autres produits sont aussi très intéressants, notamment les systèmes d’exploitation. Les exploits noyau peuvent permettre une élévation de privilèges [41] ou une exécution de code à distance [42]. Ils peuvent également permettre de s’échapper d’une sandbox [44] [13]. En l'occurrence, nous nous intéressons à l’exploitation de vulnérabilités affectant le noyau ou les pilotes des systèmes Windows récents [53]. Plus particulièrement, ce sont les mécanismes de mitigation de l’exploitation qui nous intéressent. Nous nous plaçons donc dans la peau de l’attaquant pour voir quelles sont ces protections et comment les contourner. Le but est de permettre au lecteur d’avoir une vue d’ensemble des protections du noyau pour ensuite être capable d’approfondir ce sujet de manière sérieuse grâce aux nombreuxliens fournis. Il est donc fortement conseillé d’explorer cette section « références ».