Une vulnérabilité affectant les systèmes de mise à jour

Le par  |  7 commentaire(s) Source : ZDNet
Logo Defcon

Une importante faille de sécurité affectant le système de mise à jour de nombreux logiciels a été découverte et révélée par deux chercheurs israéliens.

Logo DefconProfitant de la dernière Defcon, une conférence qui réunit tous les ans professionnels de la sécurité informatique et hackers à Las Vegas, aux États-Unis, Tomer Bitto et Itzik Kotler, deux chercheurs pour la firme israélienne Radware, ont révélé l'existence d'une importante vulnérabilité au niveau du système de mise à jour de nombreux logiciels.

Affectant une centaine d'applications, parmi lesquelles le célèbre client de téléphonie par Internet Skype, cette faille de sécurité permet d'utiliser l'adresse du site de l'éditeur pour intercepter la requête de demande de mise à jour et y répondre avant son arrivée sur le site officiel. Ainsi, l'internaute qui croit installer la mise à jour depuis le site de l'éditeur rapatrie en fait un logiciel malveillant.

La question s'étant posée pour le système de mise à jour de Microsoft, les deux chercheurs ont indiqué qu'il n'était pas concerné.

Complément d'information

Vos commentaires

Gagnez chaque mois un abonnement Premium avec GNT : Inscrivez-vous !
Trier par : date / pertinence
Le #500091
j'n'utilise pratiquement jamais le système de mise des logiciels, désactivation à l'install ou dans les paramètres du logiciel de l'option mise à jour.
Dans un souci de contrôle, sachant que je fais toujours une mise à jour manuelle dès la publication d'un correctif du programme.


Le #500101
Ce qui est currieux, c'est que cette faille soit présent dans autant de logiciel.

Soit c'est pas une vrai faille, c'est à dire que le logiciel en question n'y peut rien (en gros la machine est déjà verrolé, et ne fait que bloquer/devier le systeme de mise à des logiciel).
Soit y'a une relation entre tous ces logiciel, composant externe par exemple?
Le #500171
???
un simple hash ne suffirait pas a vérifier ce qu'on télécharge ? Doit-on leur apprendre à utiliser les fichiers sfv.

Seitei
+ 1 , bonne méthode. Sous windows, au lieu de mettre à jour, je sauvegarde le profil, je télécharge la nelle version, je rapatrie le profil et sauvegarde. Tous les bons logiciels ont ce dispositif de backup, ça permet par là même de se prémunir d'éléments nuisibles difficilement détectables.
Pour les AV, c'est différents, les mises a jour je les fait en téléchargeant le pack sur le site du constructeur quand c'est assez vite dispo, ça permet de soulager ses bandes passantes et désactiver la dizaine, 20 aines de services d'update fortes consommatrices en ressources.
Le #500191
@DMZ
Si tu redirige l'update, tu redirige pas le hash toi?
Le #500231
@Jarode >j'allais poser la même question...
Le #500311
jarode:
Rediriger l'update ça signifierait que les fichiers du constructeur ou autres sont corrompus..il faudrait que le cracker ait un accés complet !
Qu'est-ce qui empêche le constructeur de signer ses fichiers ? un logiciel doit être en mesure de savoir si l'update est valide ou pas.
Quand tu télécharges une mise a jour, le logiciel est à même de savoir si l'update est corrompue ou pas ( ou sinon faut arréter les sharewares ).De plus s'il s'avère que l'update est effectivement corrompue, une mise a jour ultérieure devrait rétablir "l'incident".
Et rien n'empêche un constructeur de mettre un rootkit (sony ?), ou une porte dérobée sur une mise a jour...
Donc, rien de nouveau sous le soleil, la plupart des constructeurs auditent régulièrement leurs fichiers sur ftp justement avec leur hash/md5, une modif se voit très vite.Sinon faut changer de crémerie, puis ça serait l'hécatombe si c'était si simple.
En régle général, le réflexe est de comparer ce qui est téléchargé ici et là avec ce qui se trouve chez le constructeur.Désassembler, décompiler on peut faire surtout pour un *.exe qui n'est pas signé, pour être tranquille il faut adopter la méthode du libre et ce qui se fait sur unix/gnu/linux/bsd ( eh oui désolé)

PS: c'est arrivé une fois sur les serveurs debian, ça s'est résolu très vite.
Le #500331
Y'a franchement plus simple.
Et la news le dit, choper la requete, et repondre a la place de l'editeur.

Qu'est ce que tu as pas compris là dedans.

En se qui conserne la signature, je suis parfaitement d'accord. C'est surement ce qui manque.
Suivre les commentaires
Poster un commentaire
Anonyme
:) ;) :D ^^ 8) :| :lol: :p :-/ :o :w00t: :roll: :( :cry: :facepalm:
:andy: :annoyed: :bandit: :alien: :ninja: :agent: :doh: :@ :sick: :kiss: :love: :sleep: :whistle: =]