Accueil InfoQ Sécurité sur InfoQ
-
OpenJDK Propose La Dépréciation Du SecurityManager
Le projet OpenJDK a proposé la JEP-411 comme moyen de déprécier le SecurityManager. Si elle est acceptée, ce serait la première étape d'un processus pluriannuel dans lequel la campagne OpenJDK Quality Outreach peut guider les projets concernés vers des alternatives avant que quoi que ce soit ne soit supprimé.
-
Google, Microsoft, GitHub Et D'autres Rejoignent L'Open Source Security Foundation
Soutenue par la Fondation Linux, l'Open Source Security Foundation (OpenSSF) vise à créer un forum intersectoriel pour un effort collaboratif visant à améliorer la sécurité des logiciels open source. La liste des membres initiaux comprend Google, Microsoft, GitHub, IBM, Red Hat, et d'autres.
-
55e Anniversaire De La Loi De Moore
Avril 2020 marque les 55 ans depuis que le co-fondateur d'Intel, Gordon Moore, a publié «Cramming more components into integrated circuits». Durant ces années, Intel et ses concurrents ont continué à faire de la loi de Moore une réalité, mais plus récemment, les efforts ont eu des problèmes avec les limitations économiques et physiques qui nous obligent à réfléchir au monde post loi de Moore.
-
Les Améliorations TLS Rétroportées Vers Java 8
Le protocole ALPN (Application Layer Protocol Negotiation) est désormais disponible dans Java 8, permettant aux applications de communiquer via HTTP/2 sans utiliser une version Java supérieure.
-
Let's Encrypt Révoque Trois Millions De Certificats Le 4 Mars
L'autorité de certification à but non lucratif Let's Encrypt, qui fournit gratuitement des certificats X.509 pour le chiffrement TLS, a annoncé qu'elle va révoquer certains certificats clients en raison d'un bug dans leur logiciel Boulder.
-
Sonatype Empêche L'accès Non Chiffré À Maven Central
Sonatype a désactivé l'accès HTTP non chiffré à Maven Central, améliorant ainsi la sécurité des systèmes de construction tels que Maven, Gradle, SBT et autres systèmes de gestion de dépendance.
-
Microsoft Corrige Une Vulnérabilité Grave De Crypto32.dll
Microsoft a publié des correctifs pour diverses versions de Windows 10 et Windows Server 2019 et 2016 afin de corriger une vulnérabilité grave affectant le système de validation des certificats ECP (Elliptic Curve Cryptography). Cette vulnérabilité permet à un attaquant d'usurper la validité d'une chaîne de certificats et d'une validation de signature qui nécessite une correction rapide.
-
BLAKE3 Est Un Hachage Cryptographique Extrêmement Rapide Et Parallèle
BLAKE3 est l'évolution la plus récente de la fonction de hachage cryptographique BLAKE. Créé par Jack O'Connor, Jean-Philippe Aumasson, Samuel Neves et Zooko Wilcox-O'Hearn, BLAKE3 combine le hachage bao d'arbre cryptographique à usage général avec BLAKE2 pour fournir une amélioration des performances par rapport à SHA-1, SHA-2, SHA-3 et BLAKE2.
-
W3C Et l'Alliance FIDO Ont Finalisé WebAuthn, Norme Web Pour Connexions Sécurisées Sans Mot De Passe
Le World Wide Web Consortium (W3C) et l'Alliance Fast IDentity Online (FIDO) ont récemment annoncé que la spécification d'authentification Web (WebAuthn) est maintenant une norme Web officielle. WebAuthn permet aux utilisateurs de se connecter via la biométrie, les appareils mobiles et/ou des clés de sécurité FIDO, avec une sécurité accrue par rapport aux simples mots de passe.
-
Les GPU Jugés Vulnérables aux Attaques par Side-Channel
Depuis la démonstration de Spectre et de Meltdown au début de 2018, les chercheurs ont découvert de nombreuses variantes de vulnérabilités de canal secondaire affectant les CPUs Intel et AMD. Les GPU semblaient au contraire être immunisés contre de telles attaques. Jusqu'à présent, c'est le cas.
-
OpenID perd l'un de ses plus grands partisans, StackOverflow
OpenID a perdu l'un de ses plus grands partisans. Stack Exchange, l'entreprise derrière StackOverflow et d'autres sites de Q&A, supprimera entièrement le support d'OpenID le 25 juillet 2018. Cela s'inscrit dans une tendance à long terme de sites Web qui éliminent OpenID de leurs offres.
-
Les vulnérabilités Spectre 1.1 et 1.2 révélées
Les deux nouvelles vulnérabilités exploitant des failles dans l'exécution spéculative des CPU ont été récemment révélées. Surnommées Spectre 1.1 et 1.2, elles sont toutes les deux des variantes de la vulnérabilité Spectre (Spectre-v1) d'origine et exploitent les stores spéculatifs pour créer des débordements de mémoire spéculatifs qui peuvent échapper aux mitigations de Spectre-v1.
-
Une vulnérabilité dans Git peut conduire à une exécution de code arbitraire
Une faiblesse dans la validation de nom de sous-modules Git permet à un assaillant distant d'exécuter du code arbitraire sur les machines des développeurs. De plus, un attaquant peut accéder à une section de la mémoire système. Les deux vulnérabilités ont déjà été corrigées dans Git 2.17.1, 2.16.4, 2.15.2 ainsi que d'autres versions.
-
Les mots de passe de Twitter peuvent être compromis
Le 3 mai, Twitter a annoncé avoir découvert et corrigé un bug qui avait entraîné le stockage en clair des mots de passe des utilisateurs dans un log interne. Aucune information n'a été publiée sur le nombre d'utilisateurs concernés et il est recommandé à tous les utilisateurs de changer leur mot de passe et de changer les mots de passe sur tous les services utilisant le même mot de passe.
-
L’API Java EE Security (JSR-375) est approuvée
L'API de sécurité Java EE, JSR 375, a été approuvée début août. Tous les membres du Comité exécutif du JCP ont voté « Oui », avec zéro « Non ». Intel Corp. n'a pas voté sur la JSR.