Le navigateur Web Google Chrome a une vulnérabilité de haute gravité qui pourrait être utilisée pour exécuter du code arbitraire, qui a été corrigée dans la version 85 de Chrome. Google a également annoncé que Chrome 86 alertera les utilisateurs si une soumission de formulaire utilise le protocole HTTP non sécurisé, ce qui rend c’est le bon moment pour auditer les sites plus anciens qui peuvent avoir migré vers HTTPS, mais qui ont encore des formulaires soumis via HTTP.
Un chercheur en sécurité a découvert une faille dans le navigateur Safari d’Apple qui pourrait permettre à un attaquant d’accéder à des fichiers sur un appareil Mac ou iOS.
Le FBI et CISA ont émis une alerte conjointe pour mettre en garde contre la menace croissante des attaques visant des entreprises.
Voici les horodatages et les liens au cas où vous voudriez sauter, et une transcription est ci-dessous.
0:12 Vulnérabilité des correctifs Chrome qui pourrait être utilisé pour exécuter du code arbitraire
1:20 Google annonce que Chrome 86 sera alerter les utilisateurs des soumissions de formulaires non sécurisées
2:55 Navigateur Safari vulnérabilité zero-day pourrait conduire à la fuite de fichiers vers un attaquant
4:40 Alerte conjointe FBI-CISA sur menace croissante
Trouvez-nous sur votre application ou plateforme préférée, y compris iTunes, Podcasts Google, Spotify, Youtube, SoundCloud et Couvert.
Cliquez ici pour télécharger une version MP3 de ce podcast. Abonnez-vous à notre flux RSS.
Transcription de l’épisode 84
Scott Miller:
Bonjour à tous. C’est Scott de Wordfence. Voici Think Like a Hacker, le podcast hebdomadaire sur la sécurité et l’innovation WordPress. Passons directement aux histoires de cette semaine.
Tout d’abord, quelques histoires relatives au navigateur Google Chrome. Un correctif a été publié pour Google Chrome cette semaine, qui corrige une vulnérabilité qui pourrait potentiellement permettre l’exécution de code. La faille, qui s’appelle une vulnérabilité d’utilisation après utilisation gratuite, était dans le composant de bibliothèque graphique de Chrome. Cela faisait partie de la fonctionnalité qui permet aux utilisateurs de rendre des graphiques 2D et 3D. Le problème provenait d’une mauvaise gestion de la mémoire. Si la configuration de la mémoire du navigateur était manipulée par un attaquant, celui-ci pourrait en prendre le contrôle et, en fin de compte, entraîner l’exécution de code arbitraire. Un attaquant pourrait exécuter du code via l’une des fonctions vulnérables, qui a été utilisée pour synchroniser les données. Lorsque cela a été fait, il crée alors la condition d’utilisation après libre mentionnée précédemment. Cela peut se produire lors de tentatives d’accès à la mémoire après sa libération, ce qui peut entraîner un blocage du programme ou éventuellement l’exécution de code arbitraire. Donc, actuellement, la chose à faire ici est de vérifier la version actuelle de votre navigateur et de vous assurer que vous avez mis à jour vers Chrome 85, qui devrait être disponible pour vous maintenant.
Dans une autre histoire concernant le navigateur Web populaire, Google a déclaré dans une prochaine version de Chrome, qu’ils restreindraient les formulaires envoyés via le protocole HTTP. Il s’agit d’une poussée pour que les propriétaires de sites examinent leur site et s’assurent que les formulaires transmettent des données via le protocole HTTPS sécurisé. Il est important de vous assurer que toutes les données de votre site sont transmises en toute sécurité. Et si vous avez récemment migré vers HTTPS, vérifiez à nouveau que vos formulaires transmettent des données en toute sécurité afin de réduire toute chance d’être alerté ou averti par Google du problème, ce qui pourrait éventuellement entraîner une perte de revenus, selon sur l’utilisation de vos formulaires.
Si vos formulaires ne transmettent pas de données de manière sécurisée, vous verrez un message vous avertissant que le formulaire n’est pas sécurisé. Vous verrez également une alerte indiquant que la saisie automatique a été désactivée pour le formulaire. Vos visiteurs verront également ces messages. Un avertissement supplémentaire sera ensuite montré au visiteur du site lorsqu’il tente de soumettre des données via ce formulaire et l’avertissement donnera au visiteur la possibilité de poursuivre la soumission des données ou d’annuler la soumission à ce stade. Une chose à considérer en tant que propriétaire de site est de vérifier la console de votre navigateur pour les avertissements mentionnant un contenu mixte chargé sur le site. Si vous voyez ce message, vous pouvez alors trouver des outils avec une recherche Google ou via la zone des plugins WordPress pour aider à corriger automatiquement le contenu non sécurisé et mixte en cours de chargement. Chrome 86 intégrera ces modifications et sa sortie est prévue le 6 octobre 2020.
S’en tenir aux actualités liées au navigateur, Safari présente une vulnérabilité zero day affectant les navigateurs Mac OS et iOS. Cette vulnérabilité permet à un attaquant d’accéder aux fichiers stockés sur le disque dur local de l’utilisateur. Ce bogue a été découvert par la société de sécurité polaire REDTEAM.PL. La vulnérabilité réside dans l’API de partage Web Safari, qui introduit la possibilité de partager du texte, des liens, des fichiers et d’autres choses entre les navigateurs. La visite d’un site malveillant configuré pour cette vulnérabilité pourrait ouvrir votre appareil à ce problème et entraîner la fuite des fichiers locaux stockés privés de votre appareil. Après avoir poursuivi Apple à plusieurs reprises à propos de cette vulnérabilité, le chercheur qui a découvert le jour zéro a été informé par Apple qu’il ne serait pas corrigé avant la mise à jour de sécurité d’avril 2021, puis il a pris sur lui de divulguer le problème à l’avance. Maintenant, le chercheur qui a révélé le bogue l’a décrit comme pas très grave en raison du fait que l’utilisateur aurait besoin d’être piégé dans une situation pour fuir les fichiers.
Cependant, l’attaque elle-même peut être bien cachée. La vulnérabilité n’est pas facile à mettre en œuvre et elle nécessite une certaine interaction de l’utilisateur, comme je l’ai mentionné, ce qui établit une comparaison avec une attaque d’ingénierie sociale. Mais le fondateur du numéro mentionne que les obstacles au bogue sont loin d’être insurmontables et démontre le bogue et une vidéo de preuve de concept, que vous pouvez consulter sur YouTube. Donc, comme cela n’a pas encore été corrigé et peut ne pas l’être avant un certain temps, il est toujours bon de vérifier où vous naviguez à un moment donné et d’être toujours conscient de ce sur quoi vous cliquez et de qui vous êtes. donner des informations à.
Dans notre dernier article de cette semaine, le FBI et CISA, qui est la Cyber Security and Infrastructure Security Agency, ont émis un avertissement d’alerte concernant la menace croissante d’attaques de phishing vocal ou de vishing. Maintenant, vous vous demandez peut-être ce que vishing? Le vishing est une forme de pêche où, lors d’un appel vocal, un escroc tentera une ingénierie sociale pour vous amener à partager des informations personnelles ou des informations d’entreprise, afin de les aider dans leur attaque. Cela peut amener un attaquant à accéder aux outils des employés dans le but final de monétiser l’accès. KrebsOnSecurity a jeté un coup d’œil à un groupe criminel, qui propose de voler les informations d’identification VPN et d’autres données d’employés travaillant à distance pendant la pandémie. Dans leur article, ils ont mentionné dans l’alerte conjointe FBI-CISA que les vishers compileraient des informations sur les employés en utilisant des profils publics sur les sites de médias sociaux et d’autres services facilement disponibles, tels que la vérification des antécédents.
Dans l’alerte, il est noté que dans certains cas, des employés sans méfiance ont autorisé l’accès à ces vishers, les aidant même à contourner 2FA et / ou les mots de passe à usage unique (OTP). Dans d’autres cas, les attaquants ont pu accéder aux codes à usage unique nécessaires en ciblant l’employé avec l’échange de carte SIM, qui est une technique qui implique l’ingénierie sociale d’un employé d’une entreprise de téléphonie mobile, ce qui conduirait alors l’employé à les donner. contrôle du numéro de téléphone de la cible, lui permettant d’accéder au code 2FA. Une façon de contourner ce problème pour les entreprises qui travaillent à distance est l’approche adoptée par Google pour obliger tous les employés à utiliser des clés de sécurité physiques au lieu de codes à usage unique. Vous pouvez consulter les versions USB et USBC de ces clés de sécurité physiques de la société Yubico qui propose la YubiKey.
C’est toute cette semaine pour Think Like a Hacker. Prenez une seconde pour vous abonner à notre liste de diffusion dans le pied de page de la page d’accueil de Wordfence.com et vous tenir au courant des dernières nouvelles en matière de sécurité. Jusqu’à la semaine prochaine de la part de nous tous ici chez Wordfence, passez un excellent week-end et nous vous surprendrons bientôt.
Suis moi sur Twitter @wfscottmiller. Vous pouvez trouver Wordfence sur Twitter, Facebook, Instagram. Vous pouvez également nous trouver sur Youtube, où nous avons notre hebdomadaire Wordfence Live les mardis à midi, heure de l’Est, à 9 h 00 Pacifique