Options Mon compte Next INpact
Affichage
Modifications sauvegardées
  • Smileys
  • Images
  • Commentaires par actu
  • Commentaires sous les news
  • Désactiver la version mobile
  • Taille de police
Close

Vous consultez la version mobile de ce contenu.

Cliquez ici pour être redirigé vers la version complète, ou attendez 5 secondes. Fermez ce pop-up pour continuer sur la version mobile.

5
secondes

Après le douloureux épisode Meltdown et Spectre (et leurs différentes variantes), c'est au tour de la faille Portsmash (CVE-2018-5407) de faire parler d'elle.

Identifiée par des chercheurs des universités de Tampere (Finlande) et de Havane (Cuba), elle permet de récupérer des données d'autres applications exécutées sur le même cœur CPU lorsque le multithread (SMT) est activé. C'est une attaque locale puisque l'application malveillante doit être exécutée sur la machine (et sur le même cœur physique).

Un prototype a été mis en ligne sur GitHub pour récupérer la clé privée d'OpenSSL 1.1.0h (ou version inférieure) sur des processeurs Skylake ou Kaby Lake. Les chercheurs pensent que cette attaque devrait également fonctionner sur d'autres processeurs, notamment AMD.

Interrogé par Wccftech, Intel affirme que « ce problème ne dépend pas d'une exécution spéculative et n'est donc pas lié à Spectre ou à Meltdown ». « Nous pensons que les plateformes Intel ne sont pas les seules touchées » ajoute le fondeur. À The Register, AMD a indiqué étudier cette faille.

« Les logiciels ou les bibliothèques peuvent être protégés contre de tels problèmes en mettant en place des pratiques de développement side-channel sûres » affirme Intel. OpenSSL peut par exemple être mis à jour en version 1.1.0i ou 1.1.1.

Une solution est de désactiver l'hyperthreading dans le BIOS/UEFI des machines, avec une perte de performances à la clé bien évidemment.


Chargement des commentaires
À découvrir dans #LeBrief

Dans un billet, Microsoft détaille le fonctionnement d’un ajout promis depuis l’année dernière et qui devrait clairement changer la donne pour les aficionados du tableur.

Depuis qu’elles existent, les formules ont toujours été confrontées à une limitation inhérente à Excel : quel que soit leur degré de complexité, le résultat est unique et ne peut être exporté que vers une cellule particulière.

L’année dernière, Microsoft avait donc promis l’arrivée d’une fonction baptisée « Dynamic Arrays » qui, au lieu de renvoyer une valeur unique, donne une grille de valeurs. Ces dernières peuvent alors être renvoyées dans la feuille de calcul dans plusieurs cellules, le plus souvent de liste.

Cette fonction importante n’était réservée jusqu’à présent qu’à quelques privilégiés. Elle est désormais disponible pour tous les testeurs du canal Office Insider sur macOS et Windows, ce qui signifie une arrivée générale chez tous les abonnés Office 365 dans les deux à quatre semaines qui viennent (la plupart du temps).

Pour « fêter » l’arrivée des Dynamic Arrays, Excel introduit de nouvelles fonctions, dont SORT, SORTBY, UNIQUE, FILTER, SEQUENCE et RANDARRAY. UNIQUE peut par exemple cibler un lot de cellules, détecter les doublons, les éliminer et renvoyer dans d’autres cellules une liste nettoyée. SEQUENCE permet de son côté de générer une liste séquentielle de nombres sous forme de tableau.

Pour rappel, tout abonné Office 365 peut s’inscrire au programme Insider. Comme pour Windows, on y trouve les canaux rapide et lent, selon que l’on préfère recevoir rapidement les nouveautés ou attendre que des tests supplémentaires de stabilité aient été réalisés.

Ce n'est pas une surprise : la plateforme de streaming avait rejoint l'Alliance for Open Media qui s'occupe justement de développer AV1 (AOMedia Video Codec).

Il est pour rappel annoncé comme étant plus performant que H.265 en permettant d'avoir un débit inférieur pour une qualité identique. Il a de plus l'avantage d'être libre et gratuit.

La plateforme indique qu'elle prend désormais en charge AV1 et que certaines vidéos ajoutées récemment sont proposées dans ce format sur toutes les plateformes (via Chrome et Firefox).

La brèche a été découverte par Guardio fin mai et identifiée sous la référence CVE-2019-12592, comme le rapporte The Hacker News. Elle permettait d'exécuter du code et ainsi récupérer des données sur l'ensemble des sites visités par l'utilisateur. Il suffisait pour cela de l'amener sur un site spécialement conçu pour exploiter cette brèche.

Guardio a prévenu fin mai Evernote qui a confirmé et corrigé le problème en deux jours, tout en ajoutant une mention de la société à son « Panthéon de la sécurité ».

Assurez-vous donc d'avoir la dernière version de l'extension. Il s'agit actuellement de la 7.11.1.

Après le partenariat signé avec Orange en France, on s'attendait à ce qu'il s'étende, mais cela n'a pas été le cas. A la place, le FAI français a annoncé sa propre initiative, concurrente, visant le marché B2B.

C'est donc finalement Proximus qui est le premier opérateur à intégrer le service de « PC dans le cloud » de Blade à son offre.  

Les détails n'ont pour le moment pas été dévoilés, l'offre devant être lancée en septembre. Mais un tel partenariat est une bonne nouvelle pour la startup française et son développement à l'étranger.

Cinq mois après avoir atteint 2,3 millions de clients, la néobanque en ajoute 1,2 million de plus en l'espace de cinq mois. Il lui avait fallu six mois pour passer de 1 à 2,3 millions.

La société affirme que « plus de 10 000 clients ouvrent un compte N26 chaque jour et le volume mensuel de transactions s’élève à plus de 2 milliards d’euros ». Elle ajoute que son «  lancement aux États-Unis est imminent ».