Lien Alerte urgente : une faille critique pour les NAS Synology
2
nov.
2024
Lien Les YubiKeys sont vulnérables à des attaques par clonage
3
sept.
2024
Lien Faille de sécurité dans GitLab (CVE avec sévérité 10/10, corrigée en janvier 2024)
2
mai
2024
Journal De la supériorité des choix éthiques — une brève histoire de TPM, UEFI, et failles incontrôlables
18
jan.
2024
Malgré, le titre bien long, ce journal est essentiellement un marque page (lien). Apparemment une nouvelle faille ferait trembler l'industrie informatique. L'occasion pour d'aucuns (votre serviteur inclus) de découvrir un aspect rarement souligné de l'UEFI qui se trouverait également être un digne héritier des très honnis modules TPM de mirosoft (?) : de mini-ordinateurs contrôlant votre utilisation de nos leurs machines, une espèce de DRM incontournable. Comme d'habitude, la morale la plus élémentaire et les associations (…)
Journal Avoir l'alarme à l'oeil
24
sept.
2023
Avant-propos: Les personnages et sociétés citées dans ce récit sont fictives. L'auteur ne connait pas Martin Petit, ni la société d'assurances La Forestière, et non plus la société de télésurveillance Alarm&moi. Mais ils se pourrait, dans une réalité alternative, ou pas, que les faits se soient réellement déroulés comme raconté ici…
Ville dortoir, Covid et sécurité
M. Martin Petit habite le centre-ville d’une ville moyenne de banlieue. C’est ce qu’on pourrait appeler une ville-dortoir. On y habite, il y a (…)
Lien the WebP 0day
22
sept.
2023
Lien Zenbleed: une faille dans les processeurs AMD Zen 2
24
juil.
2023
Lien Démarrer une voiture en connaissant son numéro VIN, affiché sur le pare-brise
5
déc.
2022
Lien Correction d'une faille critique dans OpenSSL, publiée le 1er novembre
26
oct.
2022
Lien Hertzbleed Attack
15
juin
2022
Lien [Git] Mettez à jour pour corriger les CVE-2022-24765 & CVE-2022-24767
13
avr.
2022
Lien Faille 0-day Spring CVE-2022-22965
1
avr.
2022
Lien Nouvelle faille critique : Branch History Injection, nouvelle variante de Spectre
9
mar.
2022
Lien Après avoir été piraté par la Corée du Nord, un hacker a mis l'Internet du pays hors service
3
fév.
2022
Journal Quand le mainteneur de pkexec ignorait (ou pas) les failles potentielles
27
jan.
2022
En 2013, ce monsieur https://ryiron.wordpress.com/2013/12/16/argv-silliness/ prévenait sur la possibilité d'exploitation d'une faille dans pkexec parce que les arguments n'étaient pas correctement vérifiés.
Il proposa même un patch: https://pastebin.com/MheuF2UY
Problème, il semble que son mail ne soit jamais arrivé jusqu'à la liste de diffusion…
https://twitter.com/ryiron/status/1486207182404472832
On peut se dire qu'aujourd'hui, heureusement tout a changé, avec la démocratisation des github/gitlab favorisant la communication avec les mainteneurs d'un projet.
Pour ceux qui n'auraient pas suivi: https://blog.qualys.com/vulnerabilities-threat-research/2022/01/25/pwnkit-local-privilege-escalation-vulnerability-discovered-in-polkits-pkexec-cve-2021-4034