SecurityInsider
Le blog des experts sécurité Wavestone

CERT-W : Retour sur l'actualité de la semaine du 15 au 21 octobre 2018



Comme chaque semaine, retrouvez notre revue d'actualité de la sphère cybersécurité. Cette compilation de brèves vous permettra d'alimenter les discussions des prochaines pauses cafés !
.

Veille cybercriminalité

Un ancien développeur d'EQUIFAX condamné pour délit d'initié

Un ancien développeur ayant acheté des options de vente en prévision de la chute du cours d'EQUIFAX a été condamné a 50000 dollars d'amende et assignation à résidence. Il aurait investi $2000 pour un bénéfice final de $75000.

Youtube hors-service pendant plusieurs heures

Le service de vidéos en ligne a expérimenté des difficultés entre les 16 et 18 octobre derniers. L'origine du dysfonctionnement n'a pas été divulgué.


Veille vulnérabilité

Des "mises à jour de sécurité" sur les imprimantes pour bloquer l'utilisation de cartouches d'encre génériques

Le constructeur d'imprimantes Epson est dans la ligne de mire des activistes depuis la découverte d'une "mise à jour critique" datant de début 2017 qui n'a pour but que d'empecher l'utilisation de cartouches d'encre plus abordables.

De nombreuses mises à jour de sécurité publiées par Oracle sur l'intégralité de leurs technologies

Plus de 300 patchs de sécurité ont été publiés par Oracle couvrant l'intégralité de leurs produits. A noter que parmi les vulnérabilités corrigées, plusieurs sont considérées comme critiques.

Des centaines de sites potentiellement touchés par des vulnérabilités de contrôle d'accès Apache

D'après les observations faites par les équipes d'Akamai, un nombre important des serveurs Apache utiliseraient les fichiers .htaccess pour gérer le contrôles d'accès, mais sans effet car cette fonctionnalité est désactivée par défaut depuis la version 2.3.9 .

Des vulnérabilités sur des routeurs D-Link qui ne seraient jamais corrigées

8 modèles de routeur D-Link, datant de 2012 à 2014, contiennent des vulnérabilités publiques qui, selon le constructeur, ne seront jamais corrigées du fait de leur fin de vie.

Internet Explorer et Edge ne supporteront plus TLS 1.0 et TLS 1.1 en 2020


Indicateurs de la semaine

L'exploit de la semaine - Une zero-day sur un plugin jQuery exploitée depuis au moins 3 ans

Des chercheurs ont identifié des traces d'exploitation de la vulnérabilité CVE-2018-9206 datant de début 2016. Cette vulnérabilité concerne le plugin le plus populaire de jQuery et exploite la fonctionnalité d'upload de fichiers sur des applications écrites en PHP.

Le leak de la semaine - Le portail HealthCare.gov victime d'une fuite de données

Le portail de l'assurance maladie américaine a été victime d'une fuite touchant près de 75000 utilisateurs. Le système vulnérable à d'ores et déjà été désactivé et les investigations continuent pour trouver la source de l'attaque ainsi que l'étendue des dégâts.

Suivi des versions

Produits
Version actuelle
Adobe Flash Player
Adobe Acrobat Reader DC
Java
Mozilla Firefox
Google Chrome
VirtualBox
CCleaner

Aucun commentaire:

Enregistrer un commentaire