226 private links
Millions of routers are exposed to attacks from multiple vendors and ISPSs, including Asus, British Telecom, Deutsche Telekom, Orange, O2 (Telefonica), Verizon, Vodafone, Telstra, and Telus.
The vulnerability tracked as CVE-2021-20090 is a critical path traversal vulnerability (rated 9.9/10) in the web interfaces of routers with Arcadyan firmware that could allow unauthenticated remote attackers to bypass authentication.
quand un programme reçoit une adresse IPv4 il n’a aucun moyen de savoir si cette adresse IP était mappée sur une IPv6 ou si c’est une véritable adresse IPv4, donc si un attaquant envoie une requête avec une adresse IPv6 ::ffff:127.0.0.1 par exemple, cela pourrait être interprété comme l’adresse IPv4 de loopback 127.0.0.1 et donc permettre à l’attaquant d’accéder à certains logiciels qui donneraient certaines permissions dans leur ACL à l’adresse IP 127.0.0.1 .
The best hypothesis is misstyping that installs the package - !
C'était une ancienne recommandation du NIST, qui recommande maintenant d'obliger le changement de mot de passe en cas de suspicion de fuite de mot de passe uniquement.
La puce TPM a donc bien son utilité en soi.
MAIS
À mon avis, le fait pour Windows 11 de forcer TPM est relativement inutile, en effet BitLocker n’est pas activé par défaut, et Secure Boot ne dépends pas forcément de TPM.
TPM est en soi bien utile puisqu'il éviter de taper un mot de passe au boot, et permet de vérifier l'integrité du démarrage en séparant la gestion des clés du bios.
Un cas d'école, comment l'éviter.
Bref sous le coude car ça peut servir d'exemple.
And exactly the same kind of privilege escalation flaw under Linux: https://www.bleepingcomputer.com/news/security/new-linux-kernel-bug-lets-you-get-root-on-most-modern-distros/
At the same time ^^
(Background: These "Escalation privilege" security holes allow, when you already have access to the machine as a simple user, to get administrator rights. This is potentially the way for a malicious program to infect a machine when a simple user launches a program).
Hop pleins de dépendances, une tierce-partie qui tombe, et donc pleins de sites qui ont des problèmes.
ici Akamai est une entreprise qui fournit des services de cloud computing, dont un service de CDN. Ce CDN est tombée en panne ! Cela rappelle la dernière avec Fastly
Akamai est une plateforme très importante sur l’Internet français. Selon le rapport de 2021 du régulateur des télécoms, l’entreprise est, avec Netflix, Google et Facebook, l’un des quatre grands fournisseurs dans l’Hexagone. À eux quatre, ils poussent 50 % du trafic vers les internautes des grands fournisseurs d’accès à Internet français. Akamai est classé en troisième position, devant Facebook.
- en scannant via l'application TousAntiCovid au lieu de TousAntiCovid VERIF, il est possible de stocker de manière permanente le QR-Code (de n'importe qui).
→ vérifier qu'il s'agit bien de l'application TousAntiCovid VERIF en premier (via le logo et l'interface, cf: l'article) - comme les identités ne sont pas vérifiées, on peut donc présenter un QR Code valide, même s'il ne nous identifie pas.
+32% du prix moyen d'une assurance numérique !
Qu'assurent-elles aussi ?
And anyone thought about that before 🤣
You use the credit card on multiple websites, for each, you try the expiration date and the CVV.
Each advantage taken for it are explained in the article.
Only VISA is sensible to this attack as MasterCard detect the fraud after less than 10 attempts.
This is why we need 2FA to confirm a transaction at least.
80% des bilbliothèques open source ne seraient pas mises à jour, alors qu'elles comportent au moins une vulnérabilité d'après Veracode.
Or 92 % des failles découvertes dans les bibliothèques tierces peuvent être corrigées par une simple mise à jour de la dernière version.
Ok c'est bon à savoir 🤔
ALWAYS UP TO DATE !
Dans le top on a Ruby > JS > Java > .NET au coude à coude, avec ensuite Go > Swift > Python et PHP.
Again, using third-parties at your own risk. But the service Akamai provides is still essential. ¯\(ツ)/¯
Volontairement introduite, et qui est passé sous le nez de tout le monde depuis ce temps. Elle n'est cependant plus d'actualité car l*algorithme GEA-1 n'est plus utilisé.
+1 pour la postérité
“%p%s%s%s%s%n” 🤔
The Wi-Fi subsystem probably passes the Wi-Fi network name (SSID) unsanitized to some internal library that is performing string formatting, which in turn causes an arbitrary memory write and buffer overflow. This will lead to memory corruption and the iOS watchdog will kill the process, hence effectively disabling Wi-Fi for the user.