Votre navigateur sous surveillance 06 août 2013 | Jerome Saiz Il est loin le temps ou Javascript était considéré comme l’enfant un peu simplet de la famille web. Depuis, l’on a fait des choses fascinantes avec ce « petit » langage… Mais les attaquants l’ont eux aussi bien compris et Javascript a été … Continuer la lecture →
Site web compromis : tout est dans le détail ! 13 juin 2013 | Jerome Saiz Quoi de plus banal qu’un site web compromis ? Pourtant à l’occasion du Forum CERT-IST qui s’est déroulé hier à Paris, Philippe Bourgeois (CERT-IST) a présenté un intéressant retour d’expérience en la matière. Intéressant, pas tant par la technique ou … Continuer la lecture →
Et si le problème était le PDF, et non juste Javascript ? 06 avril 2010 | Jerome Saiz Au lendemain de la présentation d’un procédé d’attaque exploitant le format PDF lui-même (et non une vulnérabilité de type zero-day), la réponse d’Adobe a de quoi étonner : « Section 12.6.4.5 of the specification defines the /launch command. This is an … Continuer la lecture →
Correctif universel du pauvre pour Adobe Reader 17 décembre 2009 | Jerome Saiz Bon à savoir en cette période de vulnérabilité critique non corrigée pour Adobe Reader et Acrobat : le JavaScript Blacklist Framework d’Adobe permet de bloquer sélectivement certaines API JS « afin de ne pas avoir à désactiver totalement Javascript », indique l’éditeur. … Continuer la lecture →
Juillet et les navigateurs vulnérables 21 juillet 2009 | Jerome Saiz Un point sur l’actualité sécurité estivale, avec un focus particulier sur les vulnérabilités des navigateurs. Internet Explorer, Firefox, Chrome et les autres : les butineurs sont à la fête cet été. Au coeur de la torpeur estivale, personne n’entend les … Continuer la lecture →
Confusion autour d’un zero-day pour Firefox 15 juillet 2009 | Jerome Saiz Zero-day ou pas zero-day ? Deux annonces simultanées viennent jeter la confusion autour du navigateur Firefox. La première concerne un véritable zero-day : une vulnérabilité qui affecte le moteur Javascript du navigateur, et qui vient d’être confirmée par la Fondation … Continuer la lecture →
Avi Chesla : « La nouvelle vague de bots passe à l’Ajax » 22 juillet 2008 | Jerome Saiz Google comme vecteur de communication et Ajax comme dialecte, la nouvelle vague de bots est radicalement Web 2.0. Le point avec Avi Chesla, vice-président sécurité pour l’israélien Radware. LesNouvelles.net : Radware affirme avoir identifié des bots Web 2.0. Qu’ont-ils de … Continuer la lecture →
Autopsie d’une vague d’attaque de sites web 30 avril 2008 | Jerome Saiz Les détournements de sites web se suivent et se ressemblent : d’une agence de l’ONU Plusieurs centaines de milliers de pages web auraient été récemment piégées dans le cadre d’une vague d’attaque de sites Internet. Parmi les victimes se trouvent … Continuer la lecture →
Avez-vous mis à jour Adobe Reader ? 20 février 2008 | Aurélien Cabezon Très voire trop discrètement, l’éditeur américain a publié en début de mois une nouvelle version d’Adobe Reader pour combler trois vulnérabilités. L’une d’entre elles a longtemps été activement exploitée. Le 7 février, Adobe a publié une nouvelle version de son … Continuer la lecture →
Linux vulnérable par son navigateur 21 janvier 2006 | Jerome Saiz Ca n’arrive pas qu’à Windows. L’environnement KDE sous Linux, et son navigateur Konqueror, digérerait mal les chaînes de caractères au format universel UTF-8. Un simple code Javascript piégé permettrait ainsi d’exécuter du code sur le système. Les rustines sont disponibles. … Continuer la lecture →