Le 4 septembre 2008, FreeBSD a publié un bulletin de sécurité détaillé [1] (CVE-2008-3890) pour corriger une vulnérabilité trouvée par Nate Eldredge dans la partie amd64 du noyau. Nous verrons dans quelle mesure un attaquant peut l'exploiter afin d'élever ses privilèges.

... quand Samsung décidera de mettre vraiment ce système en avant et qu'il y aura des applications. On entend parler de Tizen depuis des années, mais même si des produits existent effectivement, Samsung reste très (trop) discret sur le sujet. Alors que la smartwatch Gear S2 3G est arrivée sur le marché cet été, il est temps de jeter un œil au système qui l'anime. Non ce n'est pas Android, mais Tizen...

En avril dernier, [TRINITY], le fuzzer d'appel système Linux, met en évidence une mauvaise vérification des bornes d'une valeur numérique normalement non signée qui est considérée comme signée dans le système perf_events [PATCH]. Cette erreur permet l'obtention des privilèges root sur un système utilisant un noyau Linux dont la version est comprise entre 2.6.37 et 3.8.8 (incluses) ainsi qu'à partir de la version 2.6.32 pour les systèmes CentOS. Cet article a pour but de présenter l'exploitation de cette vulnérabilité sur les architectures x86, x86_64 et ARM.

Il y a quelques mois, la version 5.5 de PHP est sortie de son état de Release Candidate pour devenir la dernière version officielle. Moins attendue sans doute que la version 5.4 (qui offrait enfin une solution au problème de l'héritage multiple), la nouvelle version n'en offre pas moins quelques nouveautés intéressantes que nous allons découvrir dans cet article.

Notre vie privée représente un réel objectif que toute personne doit préserver. Attaquant isolé, entité terroriste ou encore gouvernement : personne ne devrait être en droit de voir nos informations personnelles. Alors que doit-on faire pour s'en protéger ?Une phrase évidente vient alors en tête : « L'utilisation de mots de passe forts est indispensable ». Oui, bonne réponse, mais attention aux pièges…

À l'instar de ceux qui opèrent dans les rues, les groupes criminels qui, comme les pédophiles néo-nazis [1] et autres psychopathes racistes [2], sont passés à l'ère du 2.0 forment un écosystème complexe. C'est ce que nous nous proposons d'effleurer dans cet article basé sur des faits réels. Afin de présenter au lecteur un ensemble cohérent et afin de ne point heurter certains protagonistes, des noms ont été modifiés ou masqués et des faits appartenant à des « affaires » différentes ont été réunis en une même histoire. Toute ressemblance avec des personnes physiques ou morales existant ou ayant brutalement cessé d'exister ne serait donc que pure coïncidence. Ou pas.

La vulnérabilité CVE-2015-4843 est une vulnérabilité de type dépassement d’entier qui affecte plus de cinquante versions de Java 1.6, 1.7 et 1.8. Elle permet de s’échapper de la sandbox Java pour exécuter du code arbitraire avec les droits du processus de la machine virtuelle et est donc classée en tant que vulnérabilité « critique » par Oracle.

Cette carte serait presque passée inaperçue à la rédaction tant la promotion qui en est faite est axée vers la mode « tout est IoT » (IdO dans l'hexagone ou Web 3.0 pour ceux qui ne comprennent pas que l'évolution n'a pas de version stable). Ce n'est qu'en regardant de plus près qu'on se rend compte que nous avons là affaire à quelque chose de très sérieux et avec un rapport prix/(puissance+fonctionnalités) des plus intéressants.