Les liens de la mer numérique
Un cas d'école, comment l'éviter.
Bref sous le coude car ça peut servir d'exemple.
And exactly the same kind of privilege escalation flaw under Linux: https://www.bleepingcomputer.com/news/security/new-linux-kernel-bug-lets-you-get-root-on-most-modern-distros/
At the same time ^^
(Background: These "Escalation privilege" security holes allow, when you already have access to the machine as a simple user, to get administrator rights. This is potentially the way for a malicious program to infect a machine when a simple user launches a program).
Hop pleins de dépendances, une tierce-partie qui tombe, et donc pleins de sites qui ont des problèmes.
ici Akamai est une entreprise qui fournit des services de cloud computing, dont un service de CDN. Ce CDN est tombée en panne ! Cela rappelle la dernière avec Fastly
Akamai est une plateforme très importante sur l’Internet français. Selon le rapport de 2021 du régulateur des télécoms, l’entreprise est, avec Netflix, Google et Facebook, l’un des quatre grands fournisseurs dans l’Hexagone. À eux quatre, ils poussent 50 % du trafic vers les internautes des grands fournisseurs d’accès à Internet français. Akamai est classé en troisième position, devant Facebook.
- en scannant via l'application TousAntiCovid au lieu de TousAntiCovid VERIF, il est possible de stocker de manière permanente le QR-Code (de n'importe qui).
→ vérifier qu'il s'agit bien de l'application TousAntiCovid VERIF en premier (via le logo et l'interface, cf: l'article) - comme les identités ne sont pas vérifiées, on peut donc présenter un QR Code valide, même s'il ne nous identifie pas.
+32% du prix moyen d'une assurance numérique !
Qu'assurent-elles aussi ?
And anyone thought about that before 🤣
You use the credit card on multiple websites, for each, you try the expiration date and the CVV.
Each advantage taken for it are explained in the article.
Only VISA is sensible to this attack as MasterCard detect the fraud after less than 10 attempts.
This is why we need 2FA to confirm a transaction at least.
80% des bilbliothèques open source ne seraient pas mises à jour, alors qu'elles comportent au moins une vulnérabilité d'après Veracode.
Or 92 % des failles découvertes dans les bibliothèques tierces peuvent être corrigées par une simple mise à jour de la dernière version.
Ok c'est bon à savoir 🤔
ALWAYS UP TO DATE !
Dans le top on a Ruby > JS > Java > .NET au coude à coude, avec ensuite Go > Swift > Python et PHP.
Again, using third-parties at your own risk. But the service Akamai provides is still essential. ¯\(ツ)/¯
Volontairement introduite, et qui est passé sous le nez de tout le monde depuis ce temps. Elle n'est cependant plus d'actualité car l*algorithme GEA-1 n'est plus utilisé.
+1 pour la postérité
“%p%s%s%s%s%n” 🤔
The Wi-Fi subsystem probably passes the Wi-Fi network name (SSID) unsanitized to some internal library that is performing string formatting, which in turn causes an arbitrary memory write and buffer overflow. This will lead to memory corruption and the iOS watchdog will kill the process, hence effectively disabling Wi-Fi for the user.
Une autre erreur "Off-by-one".
Le rapport est succint
How to use CSS to make a request via the url() value and retrieve the credentials of the user.
Si une résolution circulaire a lieu, par exemple A -> B -> A.... alors la résolution du domaine et des sous domaine échoue.
En pratique, peu de résolveurs sont imprudents pour ce cas.
Une explication d'un bogue dans l'implémentation des logiciels clients DNS
- Linux : est modulaire et libre.
- Google: Prend Linux pour en faire un gros monolithe sur lequel il a un contrôle total : Android.
- Les fabricants de téléphone: Prennent ce gros monolithe, et tentent tant bien que mal de l'adapter et le bidouiller à leur sauce pour sortir une version pour leur téléphone (en faisant généralement de la merde).
- Google: Corrige des failles de sécurité dans son monolithe.
- Les fabricants: Ne mettent pas à jour parce que c'est très lourd, compliqué et coûteux de refaire les adaptations.
- Les utilisateurs: Se retrouvent avec des téléphones Android contenant de grosses failles de sécurité jamais corrigées.
Bravo Google, tu as réussi à transformer un système d'exploitation à l'origine fiable, sûr, modulaire et facile à mettre à jour en un gros blob moche, truffé de problèmes de sécurité et impossible à mettre à jour. Je n'appelle pas ça une réussite. C'est probablement le pire OS qui existe. Au moins Microsoft arrive à distribuer les correctifs de sécurité sur tous les Windows, peu importe le fabricant de l'ordinateur.
Bien vu !
le mot de passe limité, ça m'a tué. Je comprends tout à fait le problème.
https://lehollandaisvolant.net/?id=20210301063758 recommande ING Direct. À voir