Contrairement à une idée largement répandue, OSS, le système de son pour UNIX, n'est pas mort ! Hannu Savolainen est le développeur principal d'OSS, pour le compte de la compagnie 4Front Technologies. Il nous raconte dans cet entretien comment le projet a commencé, par quelles étapes plus ou moins difficiles il est passé, et quel futur il prévoit pour OSS.

Les 25, 26 et 27 septembre 2008, s'est tenue la conférence annuelle Firebird à Bergame en Italie. C'est l'occasion de revenir sur les nouveautés introduites dans la dernière version stable (2.1) et d'évoquer le futur de la version 2.5 prévue pour le deuxième trimestre 2009.

« Ah bon, ça marche vraiment ? »Vous attendiez depuis longtemps de pouvoir personnaliser votre terminal mobile de poche autant que votre ordinateur, mais vous ne trouviez pas de solution libre fiable et efficace ? Utilisant la plateforme OpenMoko, intégrant un écran LCD VGA tactile, un GPS, du wifi, du bluetooth, des accéléromètres 3D, un processeur ARM9 à 400MHz, le Neo FreeRunner vous tend les bras !

Les navigateurs sont depuis plusieurs années une cible de choix pour obtenir une exécution de code arbitraire initiale dans la chaîne de compromission d’un équipement « client », que ce soit une station de travail classique ou un smartphone. La prolifération des vulnérabilités et techniques d’exploitation encourage les éditeurs à mettre en place de la défense en profondeur afin de supprimer des classes entières de vulnérabilités ou rendre leur exploitation particulièrement complexe.

C’est théoriquement impossible, et pourtant c’est faisable en pratique. En s’inspirant d’une technique d’apprentissage statistique (Machine Learning) habituellement réservée au traitement du langage naturel, il est possible de déterminer avec une très grande précision si un bout de code en JavaScript est malveillant. Ces résultats s’étendent naturellement à tout langage interprété, mais sont mis en défaut par l’arrivée du WebAssembly.

À quoi ressemblent les vulnérabilités découvertes sur les navigateurs actuels ? Cet article fait état de l’évolution des vulnérabilités modernes, notamment au travers d’exemples sur le navigateur Safari.

La dernière étape dans la mise en place d’un environnement de travail complet en UEFI va être l’installation d’un debugger. Celui-ci va permettre de, non seulement faciliter le développement au sein du micrologiciel, mais aussi de comprendre dynamiquement le code source. Dès lors, il sera possible de mieux appréhender ce code afin de l’éditer et créer son propre UEFI.

Pendant un Red Team, l’exhaustivité des découvertes est mise de côté pour privilégier l’efficacité en se concentrant sur l’identification des vulnérabilités à fort impact permettant de mettre rapidement un pied dans le système d’information ciblé.