Google Chrome simplifie le partage de sections spécifiques de longs PDF - Actus du 05/01/2025
Protégez-vous : découvrez pourquoi il est crucial de choisir un mot de passe vocal sécurisé avec vos collègues et proches ! La faille Nuclei permet aux modèles malveillants de contourner la vérification de signature, exposant vos données à des risques accrus.
Explorez les dernières actualités dans notre article de veille quotidienne. Bonne lecture !
C’est le moment de choisir un mot de passe vocal avec vos collèges et vos proches
Des arnaques utilisant l'intelligence artificielle, bien que rares, commencent à émerger avec des cas impressionnants. Un conseiller bancaire a été dupé par un cybercriminel usurpant la voix d'un client, entraînant un transfert de 33 millions d'euros. Dans un autre incident, un employé a transféré 24 millions d'euros à un compte frauduleux après une visioconférence où le visage du président avait été falsifié. Ces exemples soulignent la vulnérabilité face à des technologies de plus en plus sophistiquées. La police américaine recommande l'utilisation de mots de passe vocaux pour contrer ces fraudes, une méthode déjà adoptée par certaines entreprises de sécurité. Benoit Grunemwald, expert en cybersécurité, suggère également d'utiliser des phrases secrètes pour protéger les enfants dans des situations potentiellement dangereuses. Pour créer un mot de passe vocal efficace, il est crucial d'éviter les informations faciles à deviner et de choisir des phrases uniques et mémorables. Cependant, ces mots de passe ne sont pas infaillibles, surtout en cas d'urgence. Il est donc essentiel de rester vigilant et de vérifier l'identité de ses interlocuteurs, même par des moyens alternatifs.
Sources :
Une faille Nuclei permet aux modèles malveillants de contourner la vérification de signature
Une vulnérabilité récemment corrigée dans le scanner de vulnérabilités open-source Nuclei permettait à des attaquants de contourner la vérification des signatures et d'injecter du code malveillant dans des modèles exécutés sur des systèmes locaux. Nuclei, développé par ProjectDiscovery, utilise un système de modèles YAML pour détecter des vulnérabilités sur des sites web. Chaque modèle est "signé" par un hachage digest pour garantir son intégrité. Cependant, une faille, identifiée comme CVE-2024-43405, a été découverte par des chercheurs de Wiz. Cette vulnérabilité est due à une incohérence dans la manière dont la vérification des signatures est effectuée par le langage Go et comment le parseur YAML interprète les sauts de ligne. Cela permet aux attaquants d'injecter du contenu malveillant qui contourne la vérification tout en étant exécuté par le parseur YAML. De plus, Nuclei ne vérifie que la première occurrence de la ligne de signature, ce qui peut être exploité pour ajouter des charges utiles malveillantes. La faille a été signalée à ProjectDiscovery le 14 août 2024 et corrigée dans la version 3.3.2 de Nuclei le 4 septembre. Les utilisateurs sont fortement conseillés de mettre à jour leur version de Nuclei.
Sources :
La faille Nuclei contourne les vérifications de signature de modèle pour exécuter des commandes
Une vulnérabilité récemment corrigée dans le scanner de vulnérabilités open-source Nuclei permettait à des attaquants de contourner la vérification des signatures et d'injecter du code malveillant dans des modèles exécutés sur des systèmes locaux. Nuclei, développé par ProjectDiscovery, utilise un système de modèles YAML pour détecter des vulnérabilités sur les sites web. Chaque modèle est "signé" avec un hachage digest pour garantir son intégrité. Cependant, une faille, identifiée comme CVE-2024-43405, a été découverte par des chercheurs de Wiz. Cette vulnérabilité résulte d'une incohérence entre la logique de vérification des signatures en Go et la manière dont le parseur YAML gère les sauts de ligne. Cela permet aux attaquants d'injecter du contenu malveillant qui contourne la vérification tout en étant exécuté par le parseur YAML. De plus, Nuclei ne vérifie que la première occurrence de la ligne de signature, ce qui peut être exploité pour ajouter des charges utiles malveillantes. La faille a été signalée à ProjectDiscovery le 14 août 2024 et corrigée dans la version 3.3.2 de Nuclei le 4 septembre. Les utilisateurs sont fortement conseillés de mettre à jour vers la dernière version.
Sources :
Google Chrome facilite le partage de parties spécifiques de longs PDF
Google Chrome va faciliter le partage de parties spécifiques de longs fichiers PDF grâce à une nouvelle fonctionnalité appelée Text Fragment. Actuellement, cette fonctionnalité permet de partager des liens vers des sections précises de pages web en sélectionnant le texte souhaité, mais elle n'est pas encore disponible pour les PDF. Cependant, Google travaille à son intégration dans le lecteur PDF de Chrome. Cette information a été révélée par Leo sur X (anciennement Twitter) via un commit de code de Chromium. Bientôt, les utilisateurs pourront sélectionner du texte dans un PDF, cliquer sur "Copier le lien pour mettre en surbrillance" afin de créer un lien direct vers ce texte, facilitant ainsi l'accès à l'information recherchée. Bien que Google soit encore en phase de test pour cette fonctionnalité, la date de son déploiement dans la version stable reste inconnue. En parallèle, Google prévoit d'améliorer le regroupement d'onglets et la détection d'escroqueries grâce à l'intelligence artificielle, tout en intégrant davantage Gemini Live dans Chrome. Cette évolution vise à enrichir l'expérience utilisateur et à rendre la navigation plus efficace.
