Options Mon compte Next INpact
Affichage
Modifications sauvegardées
  • Smileys
  • Images
  • Commentaires par actu
  • Commentaires sous les news
  • Désactiver la version mobile
  • Taille de police
Close

Vous consultez la version mobile de ce contenu.

Cliquez ici pour être redirigé vers la version complète, ou attendez 5 secondes. Fermez ce pop-up pour continuer sur la version mobile.

5
secondes

Un chercheur en sécurité russe, Sergey Zelenyuk, vient de publier les détails et une méthode d’exploitation d’une faille de sécurité dans le client de virtualisation VirtualBox, qui prépare actuellement sa version 6.0.

La vulnérabilité existe jusque dans l’actuelle révision stable et a pu être exploitée avec succès sur les versions 16.04 et 18.04 d’Ubuntu. Elle peut en théorie être exploitée partout puisqu’elle réside dans une partie du code commune à toutes les plateformes, VirtualBox fonctionnant sous Linux, macOS, Windows et autres.

Une fois exploitée, la faille permet au pirate de s’échapper de la machine virtuelle et d’accéder au Ring 3 du système hôte, autrement dit l’espace applicatif, celui ayant le moins de privilèges. Il faut donc que la brèche soit couplée avec une ou plusieurs autres pour provoquer une escalade qui permettra l’obtention de droits supplémentaires.

Sergey Zelenyuk n’a pas choisi de fournir les détails à Oracle de manière discrète. Sa publication s’adresse à tous, de même que sa méthode d’exploitation.

Dans son billet de blog, il explique les raisons de son geste : les déclarations de bugs à Oracle lui ont laissé un goût amer. L’éditeur a par exemple mis 6 mois à corriger une vulnérabilité qu’il lui avait signalée, de manière silencieuse et via un bug bounty fonctionnant a priori bien mal.

Oracle n’a donc pas le choix, la faille doit être corrigée rapidement puisque rendue publique. Toute vulnérabilité permettant de s’échapper d’une sandbox est toujours considéré comme très sérieuse.


Chargement des commentaires
À découvrir dans #LeBrief

La Commission d’enrichissement de la langue française a ajouté de nouvelles pierres à son édifice destiné à protéger la langue chère à Super Dupont des invasions barbares venues d’au-delà de nos frontières. 

Les amateurs du couple baguette-béret diront à l’avenir « bande dessinée en ligne » plutôt que l’affreux « webcomic ». Les marques en mal de modernité devront s'y faire : « Concept store » sera utilement délaissé au profit de « boutique-concept ». Les « advergames » n’existent plus. On les remplace dorénavant par l’expression « jeu vidéo publicitaire ». 

Vous étiez mordu de « data journalism » ? Vous voilà fan de « journalisme de données », à savoir un « journalisme qui exploite et analyse un très grand nombre de documents, le plus souvent numériques ».

Le « reflowable » n’est plus. Ce « mode d’affichage d’une publication numérique, généralement un livre, qui permet d’adapter la mise en page au terminal de lecture » se dit maintenant « mise en page adaptative ». 

INpactSuivant utilisait un « paywall » pour la plupart de ses actualités. Notre site a un modèle d’affaires reposant maintenant sur le « péage de lecture numérique ».

Adieu la « native advertising », cette « publicité en ligne, intégrée à un site dont elle adopte les codes formels, qui n’est pas toujours signalée comme telle ». Vive la « publicité caméléon » ! 

La liste de ces nouvelles traductions officielles, imposées à l’ensemble des administrations, est accessible sur l’Official Newpaper

Placer Huawei sur liste noire ne serait qu'une étape parmi d'autres dans la guerre que livrent les États-Unis à la Chine. 

Selon le Wall Street Journal repris par Reuters, « Donald Trump envisage d’exiger que les équipements destinés à la nouvelle génération de téléphonie mobile (5G) aux États-Unis soient conçus et fabriqués hors de Chine ».

Les dirigeants ont ainsi demandé aux équipementiers s'ils pouvaient suivre cette injonction si elle devenait une réalité. 

Depuis la mise en place de la recharge et de la demande d'argent en février, puis le lancement de sa carte VISA Premium en mars, le service n'a pas connu de grands changements. 

Au début du mois, l'application iOS simplifiait néanmoins la demande de modification du découvert ou la relance de vos contacts en cas de demande de virement non aboutie. Aujourd'hui, c'est un autre détail qui évolue pour les adeptes d'Apple.

En pleine période de vacances, favorable aux offres bancaire nouvelles génération, Orange Bank n'a pas décidé de publier une nouvelle version majeure ou même d'apporter une réponse à l'offre Ultim de Boursorama. Mais de… changer de logo.

Il se compose toujours de deux carrés orange et noir, mais avec simplement un trait blanc dans le premier plutôt que le nom du service affiché dans son entier. Une manière de préparer le terrain à d'autres pays où le nom pourra être différent de celui utilisé chez nous ? 

Dans tous les cas, l'équipe précise que des bugs sont corrigés et que l'Apple Watch permet désormais une consultation de solde plus facile.

Ce matin, le lanceur lourd a décollé prévu du Complex 39A (LC-39A) depuis le Kennedy Space Center de la NASA (Floride).

Les deux boosters latéraux avaient déjà été « éprouvés » en vol, c'est-à-dire recyclés du lancement d'Arabsat-6A en avril dernier. Ils sont venus se poser sans encombre sur la terre ferme, un peu plus de huit minutes après le décollage.

Le premier étage n'a par contre pas eu la même chance : il a loupé son atterrissage sur une barge. On peut le voir s'abîmer en mer (pas loin de la barge) un peu plus de 11 minutes après le lancement.

Le lanceur doit maintenant déployer 24 satellites sur trois orbites différentes. L'avancement des travaux peut être suivi sur le compte Twitter de la société.

Mise en ligne sous Android et iOS, elle promet une « ergonomie repensée pour vous ainsi que de nouvelles fonctionnalités » et une co-construction avec ses utilisateurs, l'équipe se disant à l'écoute.

Côté fonctionnalités, elle doit permettre d'« optimiser vos trajets en visualisant la rame dans laquelle monter » mais aussi un accès plus direct aux favoris, aux différents services, et une carte interactive. Les plans sont accessibles hors-ligne.