Publié le 23-12-2007 dans le thème Anonymat

Pays : International - Auteur : Eric Romang

Pub : CA Anti-Spyware 2007 - Les logiciels espions sont notre cible avant que vous ne deveniez la leur!

Des milliers de sites web, contenant des animations Flash, pourraient permettre à des internautes malveillants de dérober des informations sensibles, tels que login et mot de passe, de leurs visiteurs.

Les chercheurs en sécurité informatique de Google ont rapportés des vulnérabilités sérieuses dans des contenus Adobe Flash. Ces vulnérabilités toucheraient des milliers de sites web qui pourraient permettre à un internaute malveillant de dérober des informations personnelles des visiteurs de ces sites web.

La vulnérabilité réside dans les applets Flash, du type lecteur vidéo de YouTube ou MySpace, qui animent différents sites web. Les fichiers SWF sont vulnérables à l'injection de chaînes de caractères forgés par le biais d'attaques du type cross-site scripting (XSS). Près de 500 000 applets de sites web d'entreprises reconnus, de sites web gouvernementaux ou de sites web de médias seraient vulnérables.

Cette vulnérabilité a été révélée dans le livre "Hacking Exposed Web 2.0: Web 2.0 Security Secrets and Solutions" disponible sur Amazon.

Un scénario d'attaque type avec ces nouvelles vulnérabilités, pourrait se passer de la façon suivante :

Aucune mise à jour, ou patch, n'est encore disponible, et aucune date pour la mise à disposition d'un patch n'est encore fixée.

La mise à jour de plusieurs produits Adobe de cette semaine, n'est pas liée à ces nouvelles vulnérabilités, et ne corrige en aucun cas celles-ci. 

# Liens connexes

Document Google sur la vulnérabilité

Gestion et sécurisation completes des terminaux SYMBIAN

Sybase iAnywhere: Les entreprises sont ainsi dotées des moyens de gérer et de sécuriser leur entreprise à distance via une large gamme de terminaux et de plates-formes.

Le jeune pirate tunisien ne s'intéressait pas qu'à Paypal France

Walid Y., alias Xtazy, responsable d'un groupe de cyber-escrocs stoppé par la police française ne s'intéressait pas qu'aux clients de Paypal France.

Certification NSS Labs

DefensePro de Radware reçoit la certification NSS Labs pour ses capacités à bloquer les attaques. DefensePro 1020 a bloqué 100 % des attaques tout en transmettant 100 % du trafic légitime sans exiger d’intervention de l’utilisateur.

Le système Echelon attaqué par des pacifistes

Des pacifistes néo-zélandais ont mis au sol une sphère gonflable dissimulant une prétendue parabole satellite appartenant aux grandes oreilles américaines.

Portes ouvertes à la FAC - II

Une intrusion dans la section médicale de 'Université du Massachussett oblige l'établissement à fermer son réseau et les 150 ordinateurs du service visé par un pirate informatique.

Quand les détectives se prennent pour des e-007

Quatre détectives condamnés pour l’utilisation d’un logiciel espion dans le but de voler des données sensibles appartenant à un concurrent de leur client.

Portes ouvertes à la FAC

Nouvelle fuite de données pour une université. Aujourd'hui 11.000 informations confidentielles dérobées par un pirates informatique.

Souriez, le passeport biométrique est officiel

C'est officiel, le passeport biométrique est officiellement lancé. Le Journal officiel a diffusé le décret, ce dimanche.

Security BOX Mobile V 2.10

Arkoon donne un nouveau sens à la mobilité en entreprise avec une nouvelle version de Security BOX Mobile. Un renforcement de la sécurisation des terminaux mobiles en entreprise.

Une gâterie contre votre mot de passe !

Étude originale lors du rendez-vous Infosecurity de Londres. Mission, démontrer qu'en échange d'un chocolat les utilisateurs d'ordinateurs étaient prêts à fournir leur mot de passe.

Aladdin eToken NG-FLASH

Aladdin eToken NG-FLASH, le premier token qui dispose d'une authentification basée sur la mémoire flash chiffrée et la technologie flexible Java Card.

Des données sensibles tombent d'un camion

Des feuilles tombent d'un camion. Dans ses entrailles, des données sensibles et privées appartenant à un laboratoire pharmaceutique.

Une nouvelle unité de police informatique en préparation ?

Un politique propose la mise en place d'une nouvelle unité de police informatique et une obligation aux entreprises d'alerter en cas de piratage.

Kamikaze sur Youtube

Mais que font les employés de Youtube ? Une vidéo montre un kamikaze en train de s'équiper d'une bombe.

La grogne monte chez Voo - Brutele

Coupure intempestive, impossibilité de jouer en réseau, Saturation systématique les après-midi, les clients belges de Voo - Brutele s'allient contre leur FAI.

Combine et corruption: enquête sur la France qui Fraude

Dimanche soir, l'émission Capital va revenir sur les fraudes, en France. Au programme arnaques RMI, logements sociaux et fraude à la carte bancaire.