Bulletin de sécurité VMware du 11 mai 2023.
De multiples vulnérabilités ont été découvertes dans VMware Tanzu. Elles permettent à un attaquant de provoquer une atteinte à la confidentialité des données, un déni de service à distance et une exécution de code arbitraire à distance. (Sources)
Hiroki Kurosawa a découvert que curl ne gérait pas correctement la prise en charge HSTS lorsque certains noms d’hôte incluaient des caractères IDN. Un attaquant distant pourrait éventuellement utiliser ce problème pour que curl utilise des connexions non chiffrées. (Sources)
Le code arbitraire est employé pour nommer, en parlant de piratage informatique, une action à faire faire à une machine sans que le propriétaire soit d'accord. Par exemple, en utilisant un exploit, le code arbitraire peut ouvrir une session super-utilisateur sur une machine distante, ou modifier une base de données, ou plus généralement donner accès à une information non disponible. Les pirates s'intéressent plus particulièrement aux vulnérabilités critiques des logiciels et des systèmes d'exploitation. Ces failles permettent généralement d'obtenir une élévations de privilège donnant des droits d'administrateur. Une situation qui permet d'autoriser l'exécution de code arbitraire à distance à l'insu des victimes. Ce sont particulièrement les failles de catégorie zero days qui sont ciblées en priorité du fait de leur absence de correctif. Le retard d'application des mises à jour des vulnérabilités présente aussi un risque potentiel de contrôle à distance non sollicité.
Une attaque par déni de service (Denial Of Service attack, d’où l’abréviation DoS) est une attaque informatique ayant pour but de rendre indisponible un service, d’empêcher les utilisateurs légitimes d’un service de l’utiliser. Il peut s’agir de la perturbation des connexions entre deux machines, empêchant l’accès à un service particulier, de l’inondation d’un réseau afin d’empêcher son fonctionnement, de l’obstruction d’accès à un service à une personne en particulier, également le fait d’envoyer des milliards d’octets à une box internet. L’attaque par déni de service peut ainsi bloquer un serveur de fichiers, rendre impossible l’accès à un serveur web ou empêcher la distribution de courriel dans une entreprise. Ce mode d'attaque est largement utilisé par les pirates via des failles de sécurité "Zero Day" ou l'absence de mise à jour automatiques.
La confidentialité a été définie par l'Organisation internationale de normalisation comme « le fait de s'assurer que l'information n'est accessible qu'à ceux dont l'accès est autorisé », et est une des pierres angulaires de la sécurité de l'information. La confidentialité permet d'empêcher un accès non autorisé à des informations qui présentent un caractère sensible. Les intrusions dans les réseaux d'entreprise qui ne sont pas assez protégées, les négligences des personnes qui exposent des données non chiffrées, les niveaux insuffisants des contrôles d'accès sont autant de situations qui mettent en péril la confidentialité des données. De plus en plus de navigateurs, comme par exemple QWant et surtout Brave, se lancent dans une politique de confidentialité des données de navigation. Nul doute que l'utilisation d'un Réseau Privé Virtuel chiffré (VPN) et l'utilisation de données dans un cloud sécurisé améliorent la confidentialité et la sécurité des échanges. En juin 2023, la société Proton lance son extension de navigateur Proton Pass. Un gestionnaire de mots de passe sécurisé, gratuit et open source.
Nicolas Coolman