Cette mise a jour corrige plusieurs failles de sécurité importantes, et corrige également des bugs dans l’encodage h264. Vous allez donc enfin pouvoir encoder en mpeg-4 sous windows pour, entre autre, votre iPhone

Le changelog complet ici : http://trac.videolan.org/vlc/browser/tags/0.8.6e/NEWS

Mettez vite a jour pour éviter tout probleme de sécurité. Merci à la team VLC !

Voici une procédure simplifiée que j’ai suivie sur une debian avec un kernel dedibox r5 :

* apt-get update && apt-get upgrade : mettre a jour les packages pour le nouveau noyau. Attention, cette étape peut vous forcer à passer à MySQL5 et PHP5

* installation du nouveau kernel : apt-get install linux-image-2.6.18-6-686

* reboot puis uname -r pour voir si tout va bien : Linux xx_xx 2.6.18-6-686

Si votre machine ne redemarre pas, essayez un reboot materiel via la console et au pire, bootez sur le system de secours pour modifier /boot/grub/menu.lst et remettre votre ancien noyau (parametre ‘default’).

Ce patch est indispensable sinon tot ou tard votre systeme sera compromis.

Pour ceux qui souhaiterait installer leur propre kernel et le patcher, suivez le tuto de drax sur son (excellent) blog : vmsplice-exploit-fix-and-patching-on-debian et pour les plus curieux, plus de détails techniques sur cette faille : http://www.isec.pl/vulnerabilities/isec-0026-vmsplice_to_kernel.txt

Seule solution pour se protégér : utiliser NoScript, ou, mieux, passer sous Lynx

La (longue) liste des plugins permettant cette exploitation : https://bugzilla.mozilla.org/attachment.cgi?id=300181

Ca me rappelle le bug affectant FireBug   http://www.frsirt.com/bulletins/9835

This post is password protected. To view it please enter your password below:

Password:

Et bien cette vulnérabilité aurait été découverte par une équipe de hackers Russes dont le métier est de découvrir des failles dans les logiciels pour ensuite les revendre à des entreprises mal intentionnées pour, par exemple, installer des adwares et spywares à l’insu des utilisateurs. Le danger de cette faille est qu’elle affecte tous les systèmes sous windows.

Cette découverte aurait donc été vendue plus de 4000$ alors qu’elle etait encore inconnue (0-day) à une entreprise de emarketing et aurait été exploitée pendant plus de 15 jours avant d’être détectée ! et le patch de Microsoft n’est sorti que bien plus tard… le 5 Janvier. (Patch MS06-001). Plus de 100 malwares utilisant cette vulnérabilité ont été découverts à ce jour !

Encore une fois, le business des adwares et spywares, qui est très juteux est pris en flagrant délit de collaboration avec le crime organisé.

Plus d’infos, en anglais : http://www.eweek.com/article2/0,1895,1918198,00.asp

Il est à noter qu’un windows est vulnérable même avec FireFox comme navigateur…

Il en existe bien d’autres, comme Achilles par exemple, qui est aussi excellent, mais Fiddler permet en plus de recueillir des statistiques, de voir les données en Hexa, de construire et envoyer des requetes personnalisées au serveur, et de créer des règles de filtrage. De plus, il est aussi possible de créer des scripts pour modifier automatiquement les données qui passent, avec, par exemple, des expressions régulières.

Bien sûr, Fiddler dispose de toutes les fonctions d’Achilles : Filtrage, modification des données à la volée, Breakpoints…

C’est un outil redoutable pour débugguer vos applications web et même pour les ‘hacker’…

–> Fiddler : http://www.fiddlertool.com/fiddler/

Dans ce cas, on est grillé car l’ancien mot de passe n’est pas récupéré, et il est de plus effacé.

C’est pratique dans le seul cas ou vous avez oublié votre mot de passe : il y un CD Bootable qui permet de le réinitialiser en moins de deux minutes, et le fichier ISO à télécharger fait moins de 2Mo…

La procédure pour réinitialiser votre mot de passe Windows en cas d’oubli est expliquée pas à pas sur le fabuleux site de notre ami JC Bellamy : http://www.bellamyjc.org/fr/pwdnt.html

EDIT : le domaine est en .org car le .net lui a été piqué ;(

Le programme est livré en deux versions : un executable, si la session est lancée et que vous voulez récuperer le pwd, ou un iso si la machine est eteinte ou ue vous pouvez la rebooter.

La taille du telechargement est assez lourde à cause des ‘rainbow tables’ (la plus petite fait + de 500Mo). A noter que d’autres rainbow tables sont telechargeables sur le site, ce qui permet de diminuer le temps nécéssaire au crackage du mot de passe.

Voici la homepage de ce joli projet : http://ophcrack.sourceforge.net/

et si vous voulez plus d’infos sur les Rainbow Tables : http://en.wikipedia.org/wiki/Rainbow_table

Chaque technique est expliquée et agrementée d’un exemple.

En fin de page, vous pouvez trouver un encodeur/decodeur de caractères ASCII en HEX, Decimal ou Base64. Bien utile pour substituer des caractères normaux par leurs remplacants qui ne sont eux que très rarement filtrés. C’est egalement utile pour tout ce qui est SQL injection…

–> XSS cheatsheet

Le petit guide vous expose la marche à suivre pour sécuriser votre Serveur, votre DBA, ainsi que votre application pour ne pas se faire hacker via cette methode.

Il faut savoir qu’en prennant le contrôle d’un SQL Server via SQL injection, il est très facile de prendre aussi le vontrôle du serveur. Cela est dpu à la puissance et au nombre des fonctions présentes sur SQL Server, qui permettent d’executer directement des commandes SHELL, de lire/ecrire des fichiers…

c’est ici : http://www.itpro.fr/index1.asp?IdArticle=2315&rub=3

trop rigolo : à l’heure ou je parle, le site d’ou émmane cet article est lui-même vulnerable face à une attaque SQL injection et aussi sous SQL Server….