Alors qu’Oracle vient tout juste de publier un Mise à jour pour Java 7 (Update11), afin de combler une vulnérabilité qui a fait grand bruit.  Une nouvelle vulnérabilité 0-day aurait été trouvée.

Les experts en sécurité  (notament l’US-CERT) renouvellent leur recommandation de n’activer Java dans votre navigateur qu’en cas de nécessité!

Trend Micro alarme aussi sur le fait qu’un Malware se faisant passer pour l’update 11 de Java circule actuellement!

Pour limiter les risques, il est préférable d’utiliser le site officiel d’Oracle pour télécharger les mises à jour.

The post Une nouvelle vulnérabilité pour Java appeared first on Mistra Blog.

Bonne nouvelle du matin : nouvelle faille 0 day sur la quasi totalité des version d’Internet Explorer … Et nul besoin d’être un génie pour utiliser cette faille, vous rendre sur certains sites virolés suffit à ouvrir grand la porte de votre machine.

Cette faille touche au bas mot 32% de la population, et Microsoft n’a pour le moment pas publié de correctif, nous vous conseillons donc de vous rabattre sur d’autres navigateurs au plus vite: Firefox, Google Chrome ou Safari. Ce genre de failles fait le bonheur des autres navigateurs, qui prennent de plus en plus de part de marchés, le plus surprenant ayant été la montée exponentielle de Google Chrome ces dernières années, avec de vraies évolutions techniques et une politique commerciale/marketing agressive.

C’est l’équipe de Metasploit qui nous informe de cette faille, quelques semaines après avoir annoncé la faille 0day de Java, corrigé depuis.

Une simple copies d’écran vous montrant comment utiliser cette faille:

Allez, Microsoft, au boulot !

Source: https://community.rapid7.com/community/metasploit/blog/2012/09/17/lets-start-the-week-with-a-new-internet-explorer-0-day-in-metasploit

The post Nouvelle faille 0day dans Internet Explorer 7,8 et 9 sous XP et 7 appeared first on Mistra Blog.

L’information a été retranmise par tous les blogs IT depuis plusieurs jours, Java fait face à une faille des plus importantes dite « Zero Day ».

Une faille « Zero Day » signifique que l’administrateur doit immédiatement mettre à jour son application puisque l’utilisation de cette faille rend votre application vulnérable.

Seulement Oracle n’a pas produit un patch rapidement, inquiétant toute la communauté. C’est maintenant chose faite, puisqu’Oracle a publié un communiqué (http://www.oracle.com/technetwork/topics/security/alert-cve-2012-4681-1835715.html) insistant pour que les développeurs et administrateurs système mettent à jour leurs applications dans les plus brefs délais.

Cette faille est présente dans les version Java 6 et 7, nous vous conseillons donc de récupérer les dernières version Java au plus vite : http://www.oracle.com/technetwork/java/javase/downloads/index.html 

The post A faire aujourd’hui: Mettre à jour vos serveurs Java appeared first on Mistra Blog.

L’équipe de Symfony dévoile cette semaine une mise à jour de sécurité pour Symfony, la version 2.0.11. Cette mise à jour permet de corriger une faille trouvée dans le composant Serializer. Il est évidemment conseillé de mettre à jour vos projets Symfony2 au plus vite.

Vous pouvez voir l’article publié sur l’exploit à l’adresse http://www.senseofsecurity.com.au/research/vulnerability-disclosure-policy

Pour résumer, le XMLEncoder de Symfony2 ne désactive pas le chargement d’entités externes au moment du parsing XML. Dans Symfony2, les classes XML peuvent être utilisées pour charger des objets dans l’API Symfony2.  En utilisant des entités externes, il est donc possible d’inclure des fichiers tiers venant du système de fichiers.

Un exemple simple pour démontrer l’exploit :

Dans cet exemple, $x contiendra le contenu du fichier /etc/passwd encodé en base64.

Cette faille est corrigée dans la version 2.0.11 de Symfony, nous vous conseillons donc soit  d’appliquer le patch de sécurité, soit de mettre à jour votre version de Symfony.

Une fois la mise à jour/patch appliqué, il vous suffira d’exécuter la commande suivante (permet aussi de vider le cache):

The post Mise à jour de sécurité pour Symfony2 appeared first on Mistra Blog.