House of Commons convenes to debate wage-subsidy bill – April 11, 2020
Le chercheur en sécurité, Tavis Ormandy, a découvert des vulnérabilités critiques dans le produit antivirus développé par la société de sécurité basée au Royaume-Uni, Sophos, et a conseillé aux organisations de se protéger contre ce type de virus. évitez d'utiliser le produit sur des systèmes critiques à moins que le vendeur améliore son développement de produit, son assurance qualité et ses pratiques de sécurité.
Ormandy, qui travaille en tant qu'ingénieur sécurité informatique chez Google, a divulgué des détails sur les vulnérabilités Sophail: attaques appliquées contre Sophos Anti virus "qui a été publié lundi. Ormandy a noté que la recherche a été effectuée dans ses temps libres et que les opinions exprimées dans le document sont les siennes et non celles de son employeur.
L'article contient des détails sur plusieurs vulnérabilités dans le code antivirus Sophos responsable de l'analyse Visual Basic 6, PDF, CAB et RAR. Certaines de ces failles peuvent être attaquées à distance et peuvent entraîner l'exécution de code arbitraire sur le système.
[Lectures supplémentaires: Comment supprimer les logiciels malveillants de votre PC Windows]Ormandy a même inclus un exploit de preuve de concept pour la vulnérabilité d'analyse de PDF qui, selon lui, ne nécessite aucune interaction de l'utilisateur, aucune authentification et peut être facilement transformée en un ver auto-diffusant.
Le chercheur a construit l'exploit pour la version Mac de Sophos antivirus, mais a noté Les versions Windows et Linux du produit et de l'exploit peuvent facilement être traduites vers ces plates-formes.
La vulnérabilité d'analyse PDF peut être exploitée en recevant simplement un email dans Outlook ou Mail.app, indique Ormandy dans le journal. Comme l'antivirus Sophos intercepte automatiquement les opérations d'entrée et de sortie, l'ouverture ou la lecture du courrier électronique n'est même pas nécessaire.
"Le scénario d'attaque le plus réaliste pour un ver réseau mondial est l'auto-propagation par courrier électronique". "Aucun utilisateur n'est obligé d'interagir avec l'e-mail, car la vulnérabilité sera automatiquement exploitée."
Cependant, d'autres méthodes d'attaque sont également possibles, par exemple en ouvrant tout type de fichier fourni par un attaquant; la visite d'une URL (même dans un navigateur en bac à sable), ou l'incorporation d'images en utilisant MIME cid: URL dans un email qui est ouvert dans un client webmail, a déclaré le chercheur. "Toute méthode qu'un attaquant peut utiliser pour provoquer des E / S est suffisante pour exploiter cette vulnérabilité."
Ormandy a également découvert qu'un composant appelé BOPS (Buffer Overflow Protection System) fourni avec l'antivirus Sophos désactive l'ASLR (randomisation de la mise en page de l'espace) exploitent la fonction d'atténuation sur toutes les versions de Windows qui la supportent par défaut, y compris Vista et plus tard.
"Il est simplement inexcusable de désactiver ASLR à l'échelle du système, surtout pour vendre une alternative naïve aux clients. "Un composant de liste noire pour Internet Explorer installé par Sophos antivirus annule la protection offerte par la fonction de mode protégé du navigateur, a déclaré le chercheur. En outre, le modèle utilisé pour afficher les avertissements par le composant blacklisting introduit une vulnérabilité de script intersite universelle qui détruit la politique d'origine identique du navigateur.
La même politique d'origine est «l'un des mécanismes de sécurité fondamentaux utiliser », a déclaré Ormandy. «Avec la stratégie« Même origine »rejetée, un site Web malveillant peut interagir avec vos systèmes Mail, Intranet, Registrar, Banks et Payroll.»
Les commentaires d'Ormandy suggèrent que beaucoup de ces vulnérabilités auraient dû être détectées pendant les processus de développement de produits et d'assurance qualité.
Le chercheur a partagé ses découvertes avec Sophos à l'avance et la société a publié des correctifs de sécurité pour les vulnérabilités divulguées dans le document. Certains correctifs ont été lancés le 22 octobre, tandis que les autres ont été publiés le 5 novembre, a indiqué lundi la société dans un article de blog.
Des problèmes potentiellement exploitables ont été découverts par Ormandy grâce au fuzzing méthode - qui ont été partagés avec Sophos, mais n'ont pas été divulgués publiquement.
En tant que société de sécurité, assurer la sécurité des clients est la responsabilité première de Sophos », a déclaré Sophos. "En conséquence, les experts Sophos étudient tous les rapports de vulnérabilité et mettent en œuvre le meilleur plan d'action dans la période la plus courte possible."
"Sophos a été capable de livrer la suite de correctifs en quelques semaines sans perturber les clients "Les opérations habituelles", Graham Cluley, un consultant en technologie senior chez Sophos, a déclaré mardi par e-mail. "Nous sommes reconnaissants que Tavis Ormandy ait découvert les vulnérabilités, car cela a contribué à améliorer les produits de Sophos."
Cependant, Ormandy n'était pas satisfait du temps nécessaire à Sophos pour corriger les vulnérabilités critiques qu'il avait signalées. "En réponse à un accès anticipé à ce rapport, Sophos a alloué des ressources pour résoudre les problèmes discutés, mais ils étaient manifestement mal équipés pour gérer la sortie de ce rapport. un chercheur coopératif et non accusatoire en matière de sécurité », a déclaré M. Ormandy. "Un attaquant sophistiqué, sponsorisé par l'état ou hautement motivé pourrait facilement détruire toute la base d'utilisateurs Sophos."
"Sophos affirme que ses produits sont déployés dans les secteurs de la santé, du gouvernement, de la finance et même de l'armée". "Le chaos qu'un attaquant motivé pourrait causer à ces systèmes est une menace mondiale réaliste. Pour cette raison, les produits Sophos ne devraient être envisagés que pour des systèmes non critiques de faible valeur et jamais déployés sur des réseaux ou des environnements où un compromis complet des adversaires serait gênant. "
L'article d'Ormandy contient une section décrivant les meilleures pratiques.
Microsoft prend au sérieux les allégations selon lesquelles des partenaires commerciaux se livrent à des pots-de-vin pour obtenir des marchés publics dans trois pays en dehors des États-Unis, le Microsoft a pris mardi au sérieux les accusations selon lesquelles des partenaires commerciaux se seraient livrés à des pots-de-vin pour obtenir des marchés publics dans trois pays en dehors des Etats-Unis, a annoncé mardi le Wall Street Journal. la Securities and Exchange Commission des États-Unis enquê
[Lectures supplémentaires: Votre nouvel ordinateur a besoin de ces 15 programmes gratuits et excellents]
Fortify Software, une société privée basée à San Mateo en Californie, se spécialise dans les logiciels des problèmes dans le code pouvant entraîner des vulnérabilités logicielles, qui pourraient être exploitées par un attaquant, provoquant des problèmes tels qu'une violation de données.
HP a déclaré que l'expertise de Fortify dans l'analyse de sécurité des applications statiques viendrait compléter son analyse dynamique de sécurité applicative. Selon le site Web de Fortify, les tests de sécurité des applications statiques peuvent révéler des vulnérabilités lors du développement ou de l'assurance qualité d'un projet. Les tests dynamiques de sécurité applicative détectent les vulnérabilités dans une application active et évaluent la sécurité globale de l'application.
La police de Mumbai a arrêté samedi un chercheur en sécurité qui a enquêté sur des problèmes de sécurité dans des machines à voter électroniques. chercheur en sécurité qui a enquêté sur les machines à voter électroniques (EVM) utilisées lors des élections indiennes a été arrêté par la police à Mumbai samedi. Hari Prasad et d'autres chercheurs ont publié une vidéo plus tôt cette année montrant comment, après avoir bricolé avec l'électronique interne d'un EVM, ils pourraient effectuer des attaques
En avril, Prasad a déclaré à IDG News Service que son groupe de chercheurs avait accès à une EVM opérationnelle. lors d'une élection par le biais d'une source anonyme.