Chrome et Firefox : correction de bogues de sécurité et ajout d’outils de productivité

Chrome se dote d'une nouvelle gestion des onglets et Firefox d'une nouvelle liste de blocage des modules.

 

Amer Owaida

Google et Mozilla ont tous deux publié de nouvelles versions stables de leurs navigateurs web pour les plateformes de bureau, Chrome et Firefox apportant une série de nouvelles fonctionnalités et de corrections de sécurité qui sont en cours de déploiement sur Windows, Mac et Linux.

 

Quoi de neuf dans Chrome 85?

La nouvelle version du navigateur web de Google comprend 20 correctifs de sécurité. Bien que la société ne divulgue pas les détails de tous ces correctifs avant que la majorité de ses utilisateurs n’aient reçu les mises à jour, elle a mis en évidence les correctifs pour 14 vulnérabilités signalées par des chercheurs externes. Deux défauts ont été classés comme étant à haut risque, sept ont été considérés comme étant de gravité moyenne et les autres ont été désignés comme étant de faible gravité.

 

Chrome a également introduit de nouvelles fonctionnalités qui comprennent une gestion améliorée des onglets et la possibilité de remplir des formulaires PDF directement dans le navigateur. Les onglets peuvent désormais être ajoutés en groupes et sont visuellement distinguables par tâches, sujets ou même par priorité. L’équipe Chrome a également apporté des améliorations en termes de performances, notamment pour permettre aux pages de se charger jusqu’à 10 % plus rapidement sur Mac et Windows.

 

Ces améliorations ont été obtenues grâce à l’introduction de l’optimisation guidée par le profil (PGO) et de l’étranglement des onglets. Ce dernier sera d’abord mis en place sur la chaîne bêta. « Chrome donnera plus de ressources aux onglets que vous utilisez en les reprenant des onglets qui ont été en arrière-plan pendant longtemps. Nous constatons des améliorations non seulement dans la vitesse de chargement mais aussi dans les économies de batterie et de mémoire », explique Max Christoff, directeur de l’ingénierie de Chrome.

 

Chrome 85 prendra également en charge de manière native le format d’image AVIF, ce qui permettra de réduire la bande passante et la consommation de données et d’ajouter la prise en charge des couleurs HDR. Il convient de mentionner que Google a intégré cette fonctionnalité dans son moteur de navigation Chromium, ce qui signifie que les navigateurs web fonctionnant avec son code prendront probablement aussi en charge le format AVIF.

 

Firefox 80

En attendant, Firefox 80 comprend des corrections pour 10 vulnérabilités, dont trois ont été désignées comme étant de haute gravité, quatre ont été classées comme étant de moyenne gravité et les autres ont été considérées comme étant de faible gravité. Pour renforcer sa sécurité, Firefox dispose désormais d’une nouvelle liste de blocage des add-ons, censée améliorer les performances et l’évolutivité. Le navigateur dispose déjà de processus de blocage de modules complémentaires qu’il déploie lorsque ses politiques sont brisées. Cependant, la version précédente de la liste de blocage ne répondait pas aux exigences de l’écosystème en constante évolution.

 

« Après avoir étudié les solutions possibles, nous avons décidé que la nouvelle liste de blocage des modules complémentaires serait alimentée par une structure de données créée à partir de filtres de blooms en cascade, ce qui constitue un moyen efficace de stocker des millions d’enregistrements en utilisant un minimum d’espace », précise Stuart Colville, responsable de l’ingénierie des modules complémentaires de Firefox.

 

Outre les correctifs et mises à jour de sécurité, Firefox offre désormais la possibilité de le choisir comme visualiseur de PDF par défaut.

 

Vous pouvez télécharger les dernières versions de Chrome ici et de Firefox ici. Chrome détient une part de marché de 66  %, tandis que Firefox est le troisième navigateur le plus populaire avec une part de marché de 4 %.

 

Ritz London clients scammed after apparent data breach

Armed with personal data stolen from the hotel's dining reservation system, fraudsters trick guests into handing over their credit card details

 

Amer Owaida

The Ritz London has launched an investigation into a potential data breach that affected its food and beverage reservation system. The information stolen in the breach seems to have been used by fraudsters to worm their way into the wallets of the hotel’s clients.

 

In a series of tweets shared over the weekend, the luxury hotel confirmed that it was made aware of the potential breach on August 12^th, adding that the compromised data did not include any credit card or payment details. The hotel went on to notify all of its affected customers as well as the authorities about the breach while it investigates the incident further.

 

Even though, according to the hotel, no payment information was compromised, it seems that the cybercriminals behind the attack were after just that. According to the BBC, the miscreants leveraged the information obtained from the breach to pull off a very convincing social engineering attack. To make their ruse even more believable, they also spoofed the hotel’s official number.

 

Posing as hotel staff, the scammers contacted clients who had made restaurant reservations at the Ritz, asking them to “confirm” their bookings by disclosing their payment card details. One of the victims speaking to the BBC confirmed that she was contacted a day before her reservation.

RELATED READING: 5 things you need to know about social engineering

 

The fraudsters claimed that her card was declined and requested that she provide an alternative bank card. Once they were able to obtain the information, the ne’er-do-wells went on to rack up charges of over £1,000 (some US$1,300) at Argos, a catalog retailer.

 

When the suspicious transactions were flagged by the victim’s bank, the cybercriminals contacted her again. However, this time they pretended to be from her bank and tried to deceive her into disclosing the security code she’d received, stating they need it to cancel the transaction, while the code would have, in fact, authorized it.

 

The Ritz is just the most recent addition to the list of hotels that have fallen victim to similar incidents. Last summer, MGM Resorts suffered a breach that affected 142 million of its former guests. Hotel giant Marriott, meanwhile, was hacked twice in a span of two years.

 

https://www.welivesecurity.com/2020/08/18/ritz-london-clients-scammed-apparent-data-breach/?utm_source=newsletter&utm_medium=email&utm_campaign=wls-newsletter-210820

 

Le cheval de Troie bancaire Grandoreiro se fait passer pour l’agence du revenu espagnole

Méfiez-vous du croque-mitaine fiscal - les escroqueries fiscales sont légions.

 ESET Research

 Josep Albors

Bien que quelques semaines se soient écoulées depuis le plus fort de la saison des impôts sur le revenu dans de nombreux pays du monde, l’année 2020 s’annonce moins favorable que la normale, même pour les activités cybercriminelles. Depuis plusieurs mois, divers acteurs de la menace tentent de se faire passer pour des organisations gouvernementales, comme l’Agencia Tributaria – l’agence fiscale officielle de l’Espagne. Ici, nous examinons comment les opérateurs de Grandoreiro, un tristement célèbre cheval de Troie bancaire latino-américain, ont utilisé des courriels se faisant passer pour l’Agencia Tributaria afin de piéger de nouvelles victimes.

Courriers électroniques prétendument envoyés par l’Agencia Tributaria

Le 11 août 2020, de nombreux Espagnols ont reçu des courriels prétendant provenir de l’Agencia Tributaria. Ces messages utilisaient de fausses informations sur l’expéditeur, comme « Servicio de Administración Tributaria » et l’adresse électronique contato@acessofinanceiro[…] com, afin de faire croire aux destinataires qu’ils avaient reçu une communication officielle de l’agence fiscale.

Article complet sur :

https://www.welivesecurity.com/fr/2020/08/21/cheval-de-troie-bancaire-grandoreiro-agencia-tributaria/?utm_source=newsletter&utm_medium=email&utm_campaign=wls-newsletter-210820