Course mondiale pour corriger un bogue informatique critique

Course mondiale pour corriger un bogue informatique critique

Lydia Winters présente le « Minecraft » de Microsoft spécialement conçu pour HoloLens lors du briefing Xbox E3 2015 avant Electronic Entertainment Expo, le 15 juin 2015, à Los Angeles. Des experts en sécurité du monde entier se sont précipités le vendredi 10 décembre 2021 pour corriger l’une des pires vulnérabilités informatiques découvertes depuis des années, une faille critique dans le code open source largement utilisé dans l’industrie et le gouvernement dans les services cloud et les logiciels d’entreprise. Les experts en cybersécurité affirment que les utilisateurs du jeu en ligne Minecraft l’ont déjà exploité pour violer d’autres utilisateurs en collant un court message dans une boîte de discussion. Crédit : AP Photo/Damian Dovarganes, Dossier

Des experts en sécurité du monde entier se sont précipités vendredi pour corriger l’une des pires vulnérabilités informatiques découvertes depuis des années, une faille critique dans le code open source largement utilisé dans l’industrie et le gouvernement dans les services cloud et les logiciels d’entreprise.

« J’aurais du mal à penser à une entreprise qui ne court aucun risque », a déclaré Joe Sullivan, directeur de la sécurité de Cloudflare, dont l’infrastructure en ligne protège les sites Web contre les acteurs malveillants. Des millions de serveurs l’ont installé, et les experts ont déclaré que les retombées ne seraient pas connues avant plusieurs jours.

L’équipe d’intervention d’urgence informatique de la Nouvelle-Zélande a été parmi les premières à signaler que la faille d’un utilitaire en langage Java pour les serveurs Apache utilisé pour enregistrer l’activité des utilisateurs était « activement exploitée dans la nature » quelques heures seulement après sa publication jeudi et la publication d’un correctif. .

La vulnérabilité, surnommée « Log4Shell », a été notée 10 sur une échelle de 1 à 10, la pire possible. N’importe qui avec l’exploit peut obtenir un accès complet à une machine non corrigée.

« Internet est en feu en ce moment. Les gens se démènent pour corriger et il y a des script kiddies et toutes sortes de gens qui se démènent pour l’exploiter », a déclaré Adam Meyers, vice-président senior du renseignement de la société de cybersécurité Crowdstrike. « Au cours des 12 dernières heures, il a été entièrement militarisé. »

La vulnérabilité du module Apache Software Foundation a été découverte le 24 novembre par le géant chinois de la technologie Alibaba, a indiqué la fondation. Meyers s’attendait à ce que les équipes d’intervention d’urgence informatique passent un week-end chargé à essayer d’identifier toutes les machines impactées. La chasse est compliquée par le fait que les logiciels concernés peuvent se trouver dans des programmes fournis par des tiers.

L’exploitation de la faille a apparemment été découverte pour la première fois dans Minecraft, un jeu en ligne très populaire auprès des enfants et appartenant à Microsoft.

Meyers et l’expert en sécurité Marcus Hutchins ont déclaré Les utilisateurs de Minecraft l’utilisaient déjà pour exécuter des programmes sur les ordinateurs des autres utilisateurs en collant un court message dans une boîte de discussion.

Microsoft a déclaré avoir publié une mise à jour logicielle pour les utilisateurs de Minecraft et que « les clients qui appliquent le correctif sont protégés ».

Les chercheurs ont rapporté avoir trouvé des preuves que la vulnérabilité pourrait être exploitée sur des serveurs gérés par des sociétés telles qu’Apple, Amazon, Twitter et Cloudflare.

Sullivan de Cloudflare a déclaré que rien n’indiquait que les serveurs de son entreprise avaient été compromis. Apple, Amazon et Twitter n’ont pas immédiatement répondu aux demandes de commentaires.


Microsoft corrige la vulnérabilité de la plate-forme cloud après un avertissement


© 2021 La Presse Associée. Tous les droits sont réservés. Ce matériel ne peut être publié, diffusé, réécrit ou redistribué sans autorisation.

Citation: Course mondiale pour corriger un bogue informatique critique (2021, 10 décembre) récupéré le 10 décembre 2021 à partir de https://techxplore.com/news/2021-12-global-patch-critical-bug.html

Ce document est soumis au droit d’auteur. En dehors de toute utilisation équitable à des fins d’étude ou de recherche privée, aucune partie ne peut être reproduite sans l’autorisation écrite. Le contenu est fourni seulement pour information.