Zoom a corrigé un gros problème sur Mac, et vous devriez mettre à jour aujourd'hui
Zoom a corrigé un gros problème sur Mac, et vous devriez mettre à jour aujourd’hui

Si Zoom est installé sur votre MacBook, vous devez mettre à jour l’application dès maintenant. Zoom a passé le week-end à corriger une faille de sécurité majeure dans son application Mac, et la mise à jour est disponible dès maintenant.

Selon The Verge, tout a commencé à Def Con, une conférence sur la sécurité informatique et les hackers à Las Vegas. Fondateur de l’association de sécurité Objective-See et ancien analyste de la sécurité de la NSA, Patrick Wardleest monté sur scène vendredi et a présenté une découverte étonnante : une énorme vulnérabilité de sécurité dans le programme d’installation de Zoom pour MacBook.

L’exploit a permis à un acteur menaçant de prendre le contrôle du Mac de quelqu’un via l’application Zoom, jusqu’au niveau racine de la machine. Le programme d’installation du package Zoom a utilisé un test de certificat de sécurité faible et tout fichier portant le même nom que le package Zoom officiel pourrait facilement contourner le test. À ce niveau, le MacBook reconnaît le pirate comme un “superutilisateur” qui peut alors lire, modifier ou créer n’importe quel fichier, y compris en ajoutant d’autres logiciels malveillants au système.

Frustrant, Wardle avait découvert la menace pour la sécurité en décembre et avait informé Zoom de ses découvertes. Wardle a déclaré que Zoom ne l’avait pas pris au sérieux et a publié un correctif après un mois, qui contenait un autre bogue de sécurité. Il a informé Zoom de ce deuxième bug, et plus important encore, du premier bug non corrigé. Zoom s’est assis dessus.

Wardle a décidé de rendre public ses découvertes à Def Con. Il avait suivi des protocoles de divulgation responsables, ce qui a donné aux entreprises le temps de corriger les bogues, et après huit mois d’inaction, il a estimé qu’il devait avertir les autres. Zoom a publié un petit correctif quelques semaines avant la conférence, mais Wardle a déclaré que la vulnérabilité était toujours présente.

Ce n’est pas la première fois que Zoom est critiqué pour sa sécurité laxiste. En 2020, Wardle a découvert une vulnérabilité Mac dans Zoom qui permettait de détourner des caméras et des microphones. Il a également été découvert que Zoom envoyait des données d’utilisateurs à Facebook, puis le ministère américain de la Justice a porté plainte contre un cadre de Zoom pour collusion avec le gouvernement chinois.

Zoom a passé le week-end à travailler sur un nouveau patch suite à la présentation de Wardle, et il est maintenant disponible. La version 5.11.5 est une mise à jour gratuite pour les installations de Zoom sur Mac et est disponible dès maintenant.

Si vous préférez utiliser une autre plate-forme de visioconférence, consultez notre guide pratique de Microsoft Teams.

Recommandations des éditeurs






Spotify corrige enfin son bouton de lecture stupide – Review Geek
Spotify corrige enfin son bouton de lecture stupide – Review Geek
Spotify

Pour une raison quelconque, le gros bouton vert “play” en haut des listes de lecture Spotify est en fait un bouton “shuffle”. C’est pourquoi la lecture aléatoire semble s’activer tout le temps. Mais Spotify va corriger son choix de design le plus frustrant et le moins intuitif en proposant aux utilisateurs un nouveau bouton.

C’est vrai; Les utilisateurs de Spotify Premium verront bientôt des options de lecture et de lecture aléatoires dédiées et clairement marquées en haut de chaque liste de lecture et profil d’artiste. Auparavant, vous deviez ignorer le gros bouton vert et sélectionner une chanson individuelle si vous vouliez écouter de la musique piste par piste.

Ceux qui ont une bonne mémoire peuvent ressentir un sentiment de déjà-vu. Oui, Spotify a déjà déjà vécu cela. À la fin de l’année dernière, la société a ajouté des boutons « jouer » et « shuffle » séparés aux albums à la demande d’Adèle— pourquoi a-t-il fallu si longtemps pour que ces boutons atteignent les listes de lecture et les pages d’artiste ?

Bien que nous soyons heureux de voir Spotify faire un pas dans la bonne direction, il s’agit d’une fonctionnalité de base pour un lecteur de musique. Oh, et au cas où cette histoire ne serait pas assez stupide, Spotify n’a pas partagé son intention d’offrir ces boutons aux utilisateurs gratuits. La société ne mentionne que les abonnés premium dans son article de blog.

Source : Spotify

Twitter fixes security vulnerability exposing 5.4 mln accounts
Twitter corrige une faille de sécurité exposant 5,4 millions de comptes

Twitter a déclaré vendredi avoir corrigé une faille de sécurité qui permettait aux acteurs de la menace de compiler les informations de 5,4 millions de comptes Twitter, rapporte Trend citant Xinhua.

La vulnérabilité permettait à quiconque de saisir un numéro de téléphone ou une adresse e-mail d’un utilisateur connu et de savoir s’il était lié à un compte Twitter existant, exposant potentiellement l’identité de comptes pseudonymes.

Dans un communiqué publié vendredi, la société a déclaré que “si quelqu’un soumettait une adresse e-mail ou un numéro de téléphone aux systèmes de Twitter, les systèmes de Twitter indiqueraient à la personne à quel compte Twitter les adresses e-mail ou le numéro de téléphone soumis étaient associés, le cas échéant”.

Le bogue résultait d’une mise à jour du code en juin 2021. Après un rapport de prime de bogue par un chercheur en sécurité, la société a enquêté et l’a corrigé en janvier, a déclaré Twitter dans le communiqué.

Selon le rapport de bug bounty, la vulnérabilité constituait une “menace sérieuse” pour les utilisateurs qui ont des comptes privés ou pseudonymes, et pourrait être utilisée pour “créer une base de données” ou énumérer “une grande partie de la base d’utilisateurs de Twitter”.

Les pirates avaient déjà exploité la vulnérabilité avant sa fixation pour créer une base de données d’adresses e-mail et de numéros de téléphone de 5,4 millions de comptes Twitter, selon un rapport de TechCrunch.

“Après avoir examiné un échantillon des données disponibles à la vente, nous avons confirmé qu’un mauvais acteur avait profité du problème avant qu’il ne soit résolu”, a déclaré Twitter. “Nous informerons directement les titulaires de compte dont nous pouvons confirmer qu’ils ont été affectés par ce problème.”

.