1020

ouch neutral

1021

Hmm classe.

Je me demande : dans la liste des informations potentiellement leakées ils parlent de tout ce qui a été saisi ("Phone number, full name of the owner, device name and model...") mais pas de mots de passe ; c'est un oubli, ou bien il y a une sécurité supplémentaire dans Android qui empêche les mots de passe d'être loggés ?
avatar
All right. Keep doing whatever it is you think you're doing.
------------------------------------------
Besoin d'aide sur le site ? Essayez par ici :)

1022

J'ai lu dans un autre article qu'il pouvait y avoir des mots de passe, donc je pense que c'est un oubli.
avatar

1023

Si vous utilisez TeamViewer (même comme simple visualisateur), attention à cette faille :
https://thehackernews.com/2017/12/teamviewer-hacking-tool.html
avatar
Zeroblog

« Tout homme porte sur l'épaule gauche un singe et, sur l'épaule droite, un perroquet. » — Jean Cocteau
« Moi je cherche plus de logique non plus. C'est surement pour cela que j'apprécie les Ataris, ils sont aussi logiques que moi ! » — GT Turbo

1024

Nil (./1022) :
J'ai lu dans un autre article qu'il pouvait y avoir des mots de passe, donc je pense que c'est un oubli.
Idem
avatar
<<< Kernel Extremis©®™ >>> et Inventeur de la différence administratif/judiciaire ! (©Yoshi Noir)

<Vertyos> un poil plus mais elle suce bien quand même la mienne ^^
<Sabrina`> tinkiete flan c juste qu'ils sont jaloux que je te trouve aussi appétissant

1025

./1023 : oh joli, une version concernée est installée sur tous nos postes au boulot, merci grin
avatar
All right. Keep doing whatever it is you think you're doing.
------------------------------------------
Besoin d'aide sur le site ? Essayez par ici :)

1026

https://www.theregister.co.uk/2017/12/11/hp_synaptics_keylogger/
C'était déjà navrant la première fois, mais là... (en plus Synaptics est présent sur pas mal de marques de portables)
avatar
Zeroblog

« Tout homme porte sur l'épaule gauche un singe et, sur l'épaule droite, un perroquet. » — Jean Cocteau
« Moi je cherche plus de logique non plus. C'est surement pour cela que j'apprécie les Ataris, ils sont aussi logiques que moi ! » — GT Turbo

1027

Tant qu'il n'y aura pas de vraies sanctions quand une boite se fait chopper avec ce genre de trucs, je ne vois pas pourquoi ça s'arrêterait :/ (c'est même étonnant qu'ils patchent : la population qui va lire cet article est probablement négligeable)
avatar
All right. Keep doing whatever it is you think you're doing.
------------------------------------------
Besoin d'aide sur le site ? Essayez par ici :)

1028

Il y a des trucs "sympa" dans le bulletin de sécurité que Flan a posté ailleurs :

- exfiltration de données par radio via un automate programmable qui n'a pas de module radio :
https://www.darkreading.com/threat-intelligence/stealthy-new-plc-hack-jumps-the-air-gap-/d/d-id/1330381

- récupération de clés AES à distance (par radio) en 5 minutes à 1 mètre de distance :
https://www.fox-it.com/nl/insights/blogs/blog/tempest-attacks-against-aes/

- et probablement le plus inquiétant : un câble USB espion avec un microphone et une carte SIM cachés à l'intérieur, déjà en vente pour seulement 7 € :
https://ha.cking.ch/s8_data_line_locator/
avatar
Zeroblog

« Tout homme porte sur l'épaule gauche un singe et, sur l'épaule droite, un perroquet. » — Jean Cocteau
« Moi je cherche plus de logique non plus. C'est surement pour cela que j'apprécie les Ataris, ils sont aussi logiques que moi ! » — GT Turbo

1029

https://lwn.net/Articles/742404/ et autres: les détails ne sont pas publics pour l'instant, mais il y a apparemment un gros problème de sécurité dans les processeurs x86_64 d'Intel (au moins)...
En tout cas, suffisant pour qu'un contournement soit mis en place, en hâte, dans un build de Windows 10 en novembre, et maintenant dans Linux. Malheureusement, ledit contournement, baptisé KPTI dans Linux, a un coût terrible en performance: d'après le flux https://twitter.com/grsecurity, un simple `du -s` cache chaud devient plus lent de 34% sur un Ivy Bridge, 29% pour un Skylake et 49% sur un EPYC (qui ne semblerait pas affecté par ce problème-là et n'aurait pas besoin de KPTI, mais https://lkml.org/lkml/2017/12/27/2 ne fait pas encore partie de mainline)...

KPTI n'améliore pas l'insécurité habituelle du kernel Linux - il reste toujours possible, voire facile, de contourner KASLR grâce aux nombreux infoleaks, exécuter directement du code user-space en mode kernel sur les nombreux processeurs qui n'ont pas de protection matérielle, de déréférencer trop directement des données en user-space sur les nombreux processeurs qui n'ont pas de protection matérielle, de faire du ROP à cause de l'absence d'intégrité de flux de contrôle à l'exécution, etc.

Le feed de spender relaie aussi le fait qu'Azure propose maintenant une mise à jour de sécurité nécessitant le reboot des VMs, et plus tôt, le fait que des adresses @amazon.com et @google.com soient en Cc des patches; les principaux hébergeurs cloud public sont donc affectés à l'échelle immense qui est la leur, et ils ont manifestement intérêt à patcher au plus tôt, comme les autres.
avatar
Membre de la TI-Chess Team.
Co-mainteneur de GCC4TI (documentation en ligne de GCC4TI), TIEmu et TILP.
Co-admin de TI-Planet.

1030

Si je comprends bien ce que j'ai (rapidement) lu, pour éviter les dégâts du bug en question, énormément de ressources théoriquement partagées (comme les polices et la gestion de certains périphériques) doivent à présent passer en user space et être mises en containers isolés au niveau de l'OS pour éviter des accès à des zones mémoires normalement protégées, en particulier dans des cas de virtualisation ou de sessions multiples, parce que le processeur n'est pas en mesure de gérer efficacement nativement cette sécurité ?
Du coup, le patch n'est pertinent que lorsqu'on a une utilisation en mode multi-utilisateurs/avec des VM ? (enfin, non, j'imagine que ça doit aussi affaiblir l'UAC et la protection du noyau...)
avatar

1031

Je n'ai pas lu le côté Windows de l'affaire.
La gestion des fonts en mode kernel a toujours été une aberration d'un point de vue sécurité, soulignée par une assez longue liste de corruptions mémoire en mode kernel due au mauvais traitement des fonts. Un certain nombre de ces problèmes ont été reportés par des chercheurs du Project Zero, notamment j00ru.

Certains commentateurs pensent que ce problème des processeurs est dangereux en combinaison avec une nouvelle variante, plus puissante, de Rowhammer. Une fois qu'on a obtenu l'adresse du kernel et des tables de page (ce qui est plus facile à cause du problème de timing sur les processeurs Intel, donc), Rowhammer permet de faire changer l'état de bits pour modifier les privilèges, et après, forcément...

Tout ça demandera vérification quand on saura ce qui se passe réellement.
avatar
Membre de la TI-Chess Team.
Co-mainteneur de GCC4TI (documentation en ligne de GCC4TI), TIEmu et TILP.
Co-admin de TI-Planet.

1032

Lionel Debroux (./1031) :

La gestion des fonts en mode kernel a toujours été une aberration d'un point de vue sécurité, soulignée par une assez longue liste de corruptions mémoire en mode kernel due au mauvais traitement des fonts. Un certain nombre de ces problèmes ont été reportés par des chercheurs du Project Zero, notamment j00ru.
Oui, c'est vrai ; après, ça reste quelque chose de très consommateur en ressources (surtout dans certains métiers qui peuvent avoir plusieurs centaines de polices installées), donc je peux aussi comprendre le choix technologique de ne pas multiplier les informations en mémoire, d'autant que ce sont des données qui ne changent que très peu sur la durée.
Après, peut-être qu'il aurait été intéressant d'avoir un mode partagé mais qui soit distinct et protégé du mode kernel, permettant de ne pas avoir des allocations multiples pour une même police chargée en mémoire ? Mais c'est peut-être déjà le cas...
avatar

1033

En tout cas, rajouter nopti ou pti=off aux paramètres du noyau désactivera ça sous le noyau Linux. (Windows, lui, ne prévoit probablement pas d'option pour désactiver ça.)
avatar
Mes news pour calculatrices TI: Ti-Gen
Mes projets PC pour calculatrices TI: TIGCC, CalcForge (CalcForgeLP, Emu-TIGCC)
Mes chans IRC: #tigcc et #inspired sur irc.freequest.net (UTF-8)

Liberté, Égalité, Fraternité

1034

Si l'ensemble de failles est aussi grave que l'embargo et la hâte le laissent supposer, il ne va pas forcément de soi qu'au-delà de la phase de debug initiale, dont on peut imaginer qu'elle dure quelques semaines, il soit une bonne chose de laisser à l'utilisateur normal le choix de désactiver KPTI sur des centaines de millions de machines où il semblerait indispensable pour tenter de limiter les attaques sur l'intégrité et la confidentialité des données, ce qui est d'autant plus important qu'il manque d'autres fonctionnalités de protection sur tous les principaux OS d'usage général smile

Mais on est d'accord qu'en pratique, l'existence de nopti / pti=off durera certainement plus que quelques semaines, comme nopcid/noinvpcid qui existent depuis longtemps alors que les kernels mainline ne tiraient pas réellement parti des features de la classe PCID avant très récemment, contrairement à PaX/grsec.
avatar
Membre de la TI-Chess Team.
Co-mainteneur de GCC4TI (documentation en ligne de GCC4TI), TIEmu et TILP.
Co-admin de TI-Planet.

1035

Vu l'impact sur la performance, je pense que 99% des machines seront en nopti même si ça devient une invitation aux virus.
avatar
Mes news pour calculatrices TI: Ti-Gen
Mes projets PC pour calculatrices TI: TIGCC, CalcForge (CalcForgeLP, Emu-TIGCC)
Mes chans IRC: #tigcc et #inspired sur irc.freequest.net (UTF-8)

Liberté, Égalité, Fraternité

1036

Et si vous voulez un peu vous changer les idées, une autre faille qui permet d'accéder à la mémoire noyau dans macOS, et qui serait présente depuis 2002 (!) :

avatar
Zeroblog

« Tout homme porte sur l'épaule gauche un singe et, sur l'épaule droite, un perroquet. » — Jean Cocteau
« Moi je cherche plus de logique non plus. C'est surement pour cela que j'apprécie les Ataris, ils sont aussi logiques que moi ! » — GT Turbo

1037

paf https://lkml.org/lkml/2018/1/2/703
edit le tweet source en dit plus:


more: https://gizmodo.com/report-all-intel-processors-made-in-the-last-decade-mi-1821728240

donc c'est bien le fait qu'on peut bypasser les protections MMU sur les pages kernel mappées dans les process.

1038

Manifestement, aucune distro Linux ne pourra se permettre de désactiver PTI sur les processeurs affectés, surtout si Windows ne permet pas facilement de le faire, ce qui reste à démontrer. Et si les distros ne font pas la connerie de désactiver KPTI par défaut, le nombre de gens qui croiront malin de trafiquer la config de grub sera automatiquement limité.

Faute de manpower pour les distros, la toolchain et faute de volonté par les mainteneurs core du kernel, les mitigations sur Linux + user-space core prennent de plus en plus de retard sur Windows kernel + user-space core, alors ça n'est pas le moment d'aggraver stupidement la situation.
avatar
Membre de la TI-Chess Team.
Co-mainteneur de GCC4TI (documentation en ligne de GCC4TI), TIEmu et TILP.
Co-admin de TI-Planet.

1039

At the very least, the tiny slice of the market running AMD processors has some grounds to feel pleased about themselves.

C’est bien gentil de dire ça, mais il peut y avoir une faille encore plus grave dans les dit CPU AMD! Vu leur faible volume comparé au CPU intel, certaines failles bien caché peuvent ne jamais apparaître au grand jour....
avatar
Proud to be CAKE©®™


GCC4TI importe qui a problème en Autriche, pour l'UE plus et une encore de correspours nucléaire, ce n'est pas ytre d'instérier. L'état très même contraire, toujours reconstruire un pouvoir une choyer d'aucrée de compris le plus mite de genre, ce n'est pas moins)
Stalin est l'élection de la langie.

1040

Oui il peut toujours y avoir des failles potentielles caché, il n’empêche que pour le moment le seul avec une faille réelle découverte est Intel.
avatar

1041

Des failles qui s'ajoutent aux vilaines failles corrigées par INTEL-SA-00075 (RCE avec AMT sur les chipsets pro, CVSS 9.8) et INTEL-SA-00086 (privesc et autres gros soucis sur ME). Mais les processeurs AMD et la plupart des processeurs ARM puissants contiennent le même genre de firmware, dont certains chercheurs en sécurité se méfiaient depuis longtemps avant que les failles soient publiées...
avatar
Membre de la TI-Chess Team.
Co-mainteneur de GCC4TI (documentation en ligne de GCC4TI), TIEmu et TILP.
Co-admin de TI-Planet.

1042

Lionel Debroux (./1038) :
Manifestement, aucune distro Linux ne pourra se permettre de désactiver PTI sur les processeurs affectés, surtout si Windows ne permet pas facilement de le faire, ce qui reste à démontrer. Et si les distros ne font pas la connerie de désactiver KPTI par défaut, le nombre de gens qui croiront malin de trafiquer la config de grub sera automatiquement limité.

Faute de manpower pour les distros, la toolchain et faute de volonté par les mainteneurs core du kernel, les mitigations sur Linux + user-space core prennent de plus en plus de retard sur Windows kernel + user-space core, alors ça n'est pas le moment d'aggraver stupidement la situation.
La performance va forcément primer sur la sécurité.
avatar
Mes news pour calculatrices TI: Ti-Gen
Mes projets PC pour calculatrices TI: TIGCC, CalcForge (CalcForgeLP, Emu-TIGCC)
Mes chans IRC: #tigcc et #inspired sur irc.freequest.net (UTF-8)

Liberté, Égalité, Fraternité

1043

Ceux qui veulent de la performance pourront le désactiver, mais ça sera de leur propre initiative. Les distributions ne peuvent se permettre de livrer par défaut un OS avec une faille de sécurité béante.
avatar

1044

D’ailleurs comment on est sur que c’est une faille uniquement pour les CPU Intel?
avatar
Proud to be CAKE©®™


GCC4TI importe qui a problème en Autriche, pour l'UE plus et une encore de correspours nucléaire, ce n'est pas ytre d'instérier. L'état très même contraire, toujours reconstruire un pouvoir une choyer d'aucrée de compris le plus mite de genre, ce n'est pas moins)
Stalin est l'élection de la langie.

1045

Je crois que c'est aussi plus ou moins le cas chez ARM.

1046

juste parce qu'AMD a dit "hého, faut pas déconner la hein, pas chez nous"

http://lkml.iu.edu/hypermail/linux/kernel/1712.3/00675.html

1047

On ne l’est pas.
avatar
<<< Kernel Extremis©®™ >>> et Inventeur de la différence administratif/judiciaire ! (©Yoshi Noir)

<Vertyos> un poil plus mais elle suce bien quand même la mienne ^^
<Sabrina`> tinkiete flan c juste qu'ils sont jaloux que je te trouve aussi appétissant

1048

le patch d'amd n'est d'ailleurs toujours pas mergé.

1049

Et ils ont tout intérêt commercial de faire merger ce patch même si c'est du pipeau. Les gens s'en foutent de la sécurité tant que c'est 30% plus rapide.
avatar
Mes news pour calculatrices TI: Ti-Gen
Mes projets PC pour calculatrices TI: TIGCC, CalcForge (CalcForgeLP, Emu-TIGCC)
Mes chans IRC: #tigcc et #inspired sur irc.freequest.net (UTF-8)

Liberté, Égalité, Fraternité

1050

Mouais, enfin ça va surtout se retourner contre AMD si ce n'est pas vrai.

On voit passer des choses comme


et

.

Que l'adresse du kernel soit facile à obtenir, même sans privilèges et sous filtrage important des syscalls, avait été montré notamment par spender il y a un moment, et c'est pour ça qu'il a toujours été contre KASLR qui n'apporte pas grand chose mais complique le code.
avatar
Membre de la TI-Chess Team.
Co-mainteneur de GCC4TI (documentation en ligne de GCC4TI), TIEmu et TILP.
Co-admin de TI-Planet.