Accueil InfoQ Sécurité sur InfoQ
-
Microsoft Corrige Une Vulnérabilité Grave De Crypto32.dll
Microsoft a publié des correctifs pour diverses versions de Windows 10 et Windows Server 2019 et 2016 afin de corriger une vulnérabilité grave affectant le système de validation des certificats ECP (Elliptic Curve Cryptography). Cette vulnérabilité permet à un attaquant d'usurper la validité d'une chaîne de certificats et d'une validation de signature qui nécessite une correction rapide.
-
BLAKE3 Est Un Hachage Cryptographique Extrêmement Rapide Et Parallèle
BLAKE3 est l'évolution la plus récente de la fonction de hachage cryptographique BLAKE. Créé par Jack O'Connor, Jean-Philippe Aumasson, Samuel Neves et Zooko Wilcox-O'Hearn, BLAKE3 combine le hachage bao d'arbre cryptographique à usage général avec BLAKE2 pour fournir une amélioration des performances par rapport à SHA-1, SHA-2, SHA-3 et BLAKE2.
-
W3C Et l'Alliance FIDO Ont Finalisé WebAuthn, Norme Web Pour Connexions Sécurisées Sans Mot De Passe
Le World Wide Web Consortium (W3C) et l'Alliance Fast IDentity Online (FIDO) ont récemment annoncé que la spécification d'authentification Web (WebAuthn) est maintenant une norme Web officielle. WebAuthn permet aux utilisateurs de se connecter via la biométrie, les appareils mobiles et/ou des clés de sécurité FIDO, avec une sécurité accrue par rapport aux simples mots de passe.
-
Les GPU Jugés Vulnérables aux Attaques par Side-Channel
Depuis la démonstration de Spectre et de Meltdown au début de 2018, les chercheurs ont découvert de nombreuses variantes de vulnérabilités de canal secondaire affectant les CPUs Intel et AMD. Les GPU semblaient au contraire être immunisés contre de telles attaques. Jusqu'à présent, c'est le cas.
-
OpenID perd l'un de ses plus grands partisans, StackOverflow
OpenID a perdu l'un de ses plus grands partisans. Stack Exchange, l'entreprise derrière StackOverflow et d'autres sites de Q&A, supprimera entièrement le support d'OpenID le 25 juillet 2018. Cela s'inscrit dans une tendance à long terme de sites Web qui éliminent OpenID de leurs offres.
-
Les vulnérabilités Spectre 1.1 et 1.2 révélées
Les deux nouvelles vulnérabilités exploitant des failles dans l'exécution spéculative des CPU ont été récemment révélées. Surnommées Spectre 1.1 et 1.2, elles sont toutes les deux des variantes de la vulnérabilité Spectre (Spectre-v1) d'origine et exploitent les stores spéculatifs pour créer des débordements de mémoire spéculatifs qui peuvent échapper aux mitigations de Spectre-v1.
-
Une vulnérabilité dans Git peut conduire à une exécution de code arbitraire
Une faiblesse dans la validation de nom de sous-modules Git permet à un assaillant distant d'exécuter du code arbitraire sur les machines des développeurs. De plus, un attaquant peut accéder à une section de la mémoire système. Les deux vulnérabilités ont déjà été corrigées dans Git 2.17.1, 2.16.4, 2.15.2 ainsi que d'autres versions.
-
Les mots de passe de Twitter peuvent être compromis
Le 3 mai, Twitter a annoncé avoir découvert et corrigé un bug qui avait entraîné le stockage en clair des mots de passe des utilisateurs dans un log interne. Aucune information n'a été publiée sur le nombre d'utilisateurs concernés et il est recommandé à tous les utilisateurs de changer leur mot de passe et de changer les mots de passe sur tous les services utilisant le même mot de passe.
-
L’API Java EE Security (JSR-375) est approuvée
L'API de sécurité Java EE, JSR 375, a été approuvée début août. Tous les membres du Comité exécutif du JCP ont voté « Oui », avec zéro « Non ». Intel Corp. n'a pas voté sur la JSR.
-
Git continue d'améliorer la sécurité et l'interface utilisateur dans sa version 2.13
La dernière version de Git introduit de nombreux changements visant à améliorer son interface utilisateur tout en réparant deux vulnérabilités importantes.
-
Publication lors du World Government Summit : "Construire le futur hyperconnecté des Blockchains"
Lors du récent World Government Summit, Hexayurt Capital et ConsenSys ont publié un document appelé "Construire le futur hyperconnecté des Blockchains". Le but de cet article étant de fournir une stratégie d'un Internet des Accords (IoA) et une carte pour la prochaine vague d'innovation avec pour objectif d'orienter la Globalisation 2.0.
-
Les Filtres de Désérialisation d'Objet portés depuis Java 9
La JEP 290, qui permet de filtrer les données entrantes lors de la désérialisation d'un objet et initialement destinée à Java 9, a été portée vers Java 6, 7 et 8.
-
Améliorer la performance du SI avec le Déploiement Continu
L'intérêt principal du déploiement continu (CD) est d'abaisser le risque des livraisons. Les pratiques d'automatisation exhaustive des tests et d'intégration continue ont le plus d'impact sur la performance du SI. Les recherches montrent que l'implémentation des pratiques du CD amènent une meilleure performance SI avec pour les meilleurs, à la fois un rythme et une stabilité accrus.
-
Une Etude montre que le Web est rempli de Librairies JavaScript Obsolètes et Vulnérables
Une étude récente a révélé que 37% des 75K premiers sites Web sur Alexa présentent au moins une vulnérabilité et près de 10% en compte au moins deux. Peut-être plus choquant encore, 26% des 500 premiers sites d'Alexa emploient des librairies vulnérables.
-
Intel open source BigDL, une bibliothèque d'apprentissage en profondeur distribuée pour Apache Spark
Intel a publié les sources de BigDL, une bibliothèque d'apprentissage en profondeur distribuée qui s'exécute sur Apache Spark. Elle utilise les clusters Spark existants pour exécuter des calculs d'apprentissage approfondis et simplifie le chargement de données à partir de grands ensembles de données stockés dans Hadoop.