Tags populaires:
Virtualisation sécurité DNS vérification formelle analyse d'atteignabilité erreurs du compilateur conflit de macro extension web framework de développement Graphiques bitmap incohérences d'API Tous les tags

Une décennie d'exploits de désérialisation Ruby Marshal : historique et perspectives

2025-08-24
Une décennie d'exploits de désérialisation Ruby Marshal : historique et perspectives

Cet article explore l'histoire de dix ans des vulnérabilités de désérialisation du module Ruby Marshal. Il retrace l'évolution, des premiers rapports de bogues en 2013 aux techniques d'exploitation les plus récentes en 2024, révélant un jeu du chat et de la souris incessant entre chercheurs en sécurité et attaquants. L'auteur souligne les limites d'une approche purement basée sur les correctifs et préconise la suppression progressive du module Marshal au profit d'alternatives plus sûres, afin d'éliminer cette menace de sécurité récurrente.

Lire plus
(blog.trailofbits.com)
Développement Sécurité Ruby Vulnérabilité de Désérialisation Sécurité Logicielle

Attaques par mise à l'échelle d'images : une nouvelle vulnérabilité dans les systèmes d'IA

2025-08-21
Attaques par mise à l'échelle d'images : une nouvelle vulnérabilité dans les systèmes d'IA

Des chercheurs ont découvert une nouvelle vulnérabilité de sécurité dans l'IA : l'exfiltration de données peut être réalisée en envoyant des images apparemment inoffensives à de grands modèles de langage (LLM). Les attaquants tirent parti du fait que les systèmes d'IA réduisent souvent la taille des images avant de les traiter, en intégrant des injections de prompt malveillantes dans la version réduite, invisibles en résolution complète. Cela permet de contourner la vigilance de l'utilisateur et d'accéder à ses données. La vulnérabilité a été démontrée sur plusieurs systèmes d'IA, notamment Google Gemini CLI. Les chercheurs ont développé l'outil open source Anamorpher pour générer et analyser ces images conçues, et recommandent d'éviter la mise à l'échelle des images dans les systèmes d'IA ou de fournir aux utilisateurs un aperçu de l'image réellement traitée par le modèle pour atténuer le risque.

Lire plus
(blog.trailofbits.com)
IA mise à l'échelle d'images injection de prompt

Exploitation de périphériques réseau en fin de vie : victoire à la compétition Junkyard

2025-07-29
Exploitation de périphériques réseau en fin de vie : victoire à la compétition Junkyard

Des chercheurs ont remporté la deuxième place à la compétition Junkyard de DistrictCon en exploitant avec succès deux périphériques réseau hors service : un routeur Netgear WGR614v9 et un BitDefender Box V1. Leurs chaînes d’exploitation ont mis en évidence les risques de sécurité persistants liés aux matériels en fin de vie (EOL), où les vulnérabilités non corrigées restent exploitables après l’arrêt du support du fabricant. Les chercheurs ont détaillé plusieurs vulnérabilités, notamment le contournement de l’authentification, les dépassements de tampon et les injections de commandes, ce qui a permis un accès root distant sur les deux périphériques. Cette recherche souligne l’importance de prendre en compte les cycles de vie du support des fabricants et les options de firmware communautaire lors du choix des périphériques, et met en lumière les défis de sécurité permanents posés par les périphériques IdO EOL.

Lire plus
(blog.trailofbits.com)
Technologie sécurité IdO

Risques de sécurité des analyseurs Go : exploitation des comportements inattendus dans JSON, XML et YAML

2025-06-21
Risques de sécurité des analyseurs Go : exploitation des comportements inattendus dans JSON, XML et YAML

Les analyseurs JSON, XML et YAML de Go présentent des risques de sécurité, permettant aux attaquants d'exploiter des comportements inattendus pour contourner l'authentification, éviter l'autorisation et exfiltrer des données sensibles. L'article détaille trois scénarios d'attaque : (1) (Dés)sérialisation de données inattendues : exposition de données que les développeurs souhaitaient garder privées ; (2) Différentiels d'analyseurs : les divergences entre les analyseurs permettent de contourner les contrôles de sécurité ; et (3) Confusion de format de données : exploitation de la gestion des charges utiles entre les formats. Les atténuations incluent l'utilisation de `DisallowUnknownFields` et de fonctions personnalisées pour compenser les vulnérabilités de la bibliothèque standard de Go.

Lire plus
(blog.trailofbits.com)
Développement sécurité Go

Passkeys : La révolution cryptographique de l'authentification

2025-05-14
Passkeys : La révolution cryptographique de l'authentification

Cet article explore la cryptographie sous-jacente aux passkeys, expliquant comment elles utilisent des paires de clés pour générer des signatures numériques sans transmettre d'informations sensibles aux serveurs, empêchant ainsi le phishing et la réutilisation des mots de passe. La spécification WebAuthn améliore la sécurité grâce à la liaison d'origine, garantissant que les passkeys ne sont utilisées que sur le bon site web. Différents types d'authentificateurs sont examinés, ainsi que la manière dont les extensions WebAuthn peuvent générer et stocker des clés cryptographiques. Des menaces potentielles telles que les attaques par navigateur et les authentificateurs compromis sont discutées, ainsi que des stratégies d'atténuation. Bien qu'elle ne soit pas une solution parfaite, la technologie des passkeys offre une sécurité considérablement améliorée et représente un avenir prometteur pour l'authentification.

Lire plus
(blog.trailofbits.com)
Technologie

Warehouse de PyPI : Suite de tests 81% plus rapide grâce à des optimisations simples

2025-05-12
Warehouse de PyPI : Suite de tests 81% plus rapide grâce à des optimisations simples

Trail of Bits a considérablement amélioré les performances de la suite de tests de Warehouse de PyPI, réduisant le temps d'exécution de 163 secondes à 30 secondes tout en augmentant le nombre de tests de 3 900 à plus de 4 700. Cette amélioration de 81 % a été obtenue grâce à plusieurs optimisations clés : la parallélisation de l'exécution des tests avec pytest-xdist, l'utilisation de sys.monitoring de Python 3.12 pour une instrumentation de couverture efficace, l'optimisation de la découverte des tests et l'élimination des importations inutiles. Ces techniques sont facilement applicables à de nombreux projets Python luttant contre des suites de tests lentes, offrant des gains de performance significatifs à un coût minimal.

Lire plus
(blog.trailofbits.com)
Développement Optimisation des tests

Nouvelle API ASN.1 de PyCA Cryptography : vitesse et sécurité

2025-04-18

L'équipe PyCA Cryptography développe une nouvelle API ASN.1 utilisant un analyseur pur Rust pour des performances considérablement améliorées et une réduction des risques de sécurité liés aux différences avec d'autres analyseurs ASN.1. La nouvelle API propose également une interface déclarative de type dataclasses pour une meilleure lisibilité et maintenabilité du code. Cela répond aux lacunes des bibliothèques ASN.1 Python existantes en termes de performances et de sécurité, et offre un meilleur support aux écosystèmes émergents comme Sigstore.

Lire plus
(blog.trailofbits.com)
Développement

Vol de cryptomonnaies de 1,5 milliard de dollars : une attaque sophistiquée révèle des failles de sécurité opérationnelle

2025-02-22

Le 21 février 2025, la plateforme d’échange Bybit a subi le plus important vol de cryptomonnaies de l’histoire, avec des pertes estimées à 1,5 milliard de dollars. Les attaquants n’ont pas exploité de failles dans les contrats intelligents, mais ont compromis les appareils de plusieurs signataires à l’aide de logiciels malveillants sophistiqués pour manipuler leurs interfaces de portefeuille et obtenir des signatures à leur insu. Les enquêtes pointent vers des acteurs soutenus par l’État nord-coréen (tels que TraderTraitor et Jade Sleet), qui ont utilisé une ingénierie sociale avancée pour cibler le personnel clé et déployé une boîte à outils multiplateforme. Cela souligne le risque critique de négliger la sécurité opérationnelle, en mettant l’accent sur les systèmes de signature à isolation physique, l’authentification multifactorielle et la formation régulière à la sécurité. Des attaques similaires risquent de se poursuivre à moins que les entreprises de cryptomonnaies n’améliorent considérablement leurs pratiques de sécurité opérationnelle.

Lire plus
(blog.trailofbits.com)
Technologie sécurité opérationnelle