7.11.20

Apple patches three actively exploited zero‑day flaws in iOS

The vulnerabilities, which are all being abused for targeted attacks, affect a long list of devices

 Amer Owaida

Just days after Google disclosed an actively-exploited bug in Windows and discovered and squashed two zero-day bugs in its Chrome web browser, Apple has released patches of its own to fix three zero-day vulnerabilities under active attacks. The trio of flaws, affecting a broad range of Apple’s products, also happened to be unearthed by the bug-hunting crew of the Alphabet-owned company.

 “Apple is aware of reports that an exploit for this issue exists in the wild,” reads the company’s security bulletin describing each of the three flaws. They’re being patched along with a number of other security bugs as part of the release of iOS and iPadOS 14.2.

The list of devices impacted by the zero days includes iPhone 6s and later, iPod touch 7th generation, iPad Air 2 and later, and iPad mini 4 and later.

 The Cupertino tech giant also issued security updates for the vulnerabilities across a range of its other products, including the Apple Watch with watchOS 5.3.96.2.9, and 7.1, a supplemental update for its Mac products with macOS Catalina 10.15.7, as well as a fix for older devices running iOS 12.4.9.

Complete article: https://www.welivesecurity.com/2020/11/06/apple-plugs-three-zero-day-holes-ios/?utm_source=feedburner&utm_medium=email&utm_campaign=Feed%3A+eset%2Fblog+%28ESET+Blog%3A+We+Live+Security%29

 


5.11.20

 


Etes-vous fait(e) pour une carrière en cybersécurité ?

Les opportunités ne manquent pas pour les professionnels de la cybersécurité et les personnes qui cherchent à percer dans ce domaine. Serait-ce aussi le bon cheminement de carrière pour vous ?

Vous êtes probablement conscient du déséquilibre entre l’offre et la demande en matière de cybersécurité, un fait d’autant plus grave que les organisations de toutes tailles sont confrontées à une myriade de menaces dangereuses. Étant donné qu’aujourd’hui est la Journée anti logiciels malveillants, une journée où l’on reconnaît le travail des professionnels de la sécurité, nous pensons qu’il convient d’examiner certaines données relatives à la pénurie de talents et, plus largement, au travail des professionnels de la sécurité. Il y a de fortes chances que, ce faisant, nous vous aidions à déterminer si vous souhaitez vous aussi poursuivre une carrière dans ce domaine.

En chiffres

Selon l’étude 2019 sur la main-d’œuvre dans le domaine de la cybersécurité réalisée par l’organisme de certification en matière de sécurité (ISC)2, la pénurie mondiale de professionnels de la cybersécurité a dépassé les 4 millions l’année dernière, passant de 2.9 million en 2018 à 1.8 million en 2017. Pour répondre à la demande, il faudrait que le nombre de travailleurs qualifiés dans le domaine de la sécurité augmente de 145 %. Rien qu’aux États-Unis, l’écart l’an dernier était de près de 500 000.

Il convient de noter que certains continents s’en sortent mieux que d’autres. Selon la dernière étude de (ISC)2, l’APAC représente la plus grande partie du déficit de main-d’œuvre (64 %), suivie de l’Amérique latine (15 %), de l’Amérique du Nord (14 %) et de l’Europe (7 %).

Parmi les autres résultats notables, deux organisations sur trois ont déclaré souffrir d’une pénurie de praticiens de la sécurité, et les personnes interrogées ont désigné cette pénurie comme leur principale préoccupation. Il n’est donc pas surprenant que la moitié d’entre eux admettent que leur organisation est « à risque modéré ou extrême en raison de la pénurie de personnel de cybersécurité. »

Cette année, la pandémie a davantage façonné les enjeux, notamment en poussant la transformation numérique à l’extrême et en faisant du travail à domicile la nouvelle norme. Le nombre et la gravité des attaques n’ont cessé d’augmenter, la pression exercée sur les agents de cybersécurité actuels s’est accrue et la demande de solutions et de services de sécurité est en hausse. Dans ce contexte, la pénurie de main-d’œuvre ne va pas se résorber. Au contraire, la demande continuera à dépasser l’offre.

Avez-vous besoin d’un diplôme (ou une certification) en cybersécurité?

Une question qui revient souvent est de savoir si vous pouvez obtenir un emploi dans le domaine de la sécurité sans diplôme universitaire dans ce domaine ou dans un domaine connexe. Nous avons abordé cette question l’année dernière, où plusieurs chercheurs en sécurité d’ESET ont partagé leur propre expérience et leurs points de vue. Selon l’ISC)2, les professionnels de la sécurité sont généralement titulaires d’une licence ou d’un diplôme supérieur, et une grande partie d’entre eux sont spécialisés en informatique ou en sciences de l’information.

En revanche, 12 % se sont lancés dans la sécurité informatique avec « seulement » un diplôme d’études secondaires. Ce n’est pas étonnat : alors que de plus en plus d’établissements universitaires dans le monde proposent des programmes de licence en sécurité informatique, beaucoup d’entre eux n’ont pas encore lancé de tels programmes. Par conséquent, de nombreux experts dans ce domaine sont autodidactes et/ou préparés à leur carrière par le biais de cours et de certifications non académiques.

LECTURES COMPLÉMENTAIRES : Les professionnels de la sécurité informatique : entre formation académique et autodidacte

 

En effet, il est de plus en plus utile de détenir un certificat de cybersécurité, et les professionnels de la sécurité possèdent en moyenne quatre de ces badges témoignant de leurs connaissances, leurs compétences et leurs capacités. C’est également la raison pour laquelle ils sont mieux payés (71 000 $ US en moyenne par an) que leurs collègues qui ne possèdent pas ce type de badge (55 000 $ US). L’écart est encore plus prononcé aux États-Unis et dans la région Asie-Pacifique.

Cela étant dit, une enquête d'(ISC)2 auprès des professionnels de la sécurité a révélé que des salaires compétitifs n’étaient pas le principal facteur influençant leur choix de carrière. Plusieurs autres caractéristiques – notamment le fait de travailler dans un environnement « où leurs opinions sont prises au sérieux » et où ils peuvent « protéger les personnes et leurs données » – se sont révélées encore plus importantes. Dans la nouvelle étude, 84 % des personnes interrogées ont déclaré se trouver là où elles s’attendaient à être dans leur carrière. Compte tenu de leur niveau élevé de satisfaction professionnelle, les choses semblent en effet bien fonctionner pour les praticiens de la sécurité.

La valeur des primes au bogues

Les programmes de bug bounty, ou primes au bogue, dans le cadre desquels les pirates éthiques reçoivent des récompenses financières pour avoir signalé des vulnérabilités de sécurité dans les systèmes informatiques des organisations, ont été un moyen important d’accroître l’intérêt pour la sécurité, en particulier chez les jeunes. Selon le rapport 2020 Hacker Report du fournisseur de plateforme de bug bounty HackerOne, pas moins de 850 pirates éthiques rejoignent les rangs de la communauté de 600 000 personnes chaque jour.

On peut affirmer sans risque que ces programmes sont également utiles pour dissuader la cybercriminalité et ramener les gens, en particulier les adolescents, du côté obscur vers la lumière. Poussés par la perspective de recevoir les éloges et la reconnaissance de leurs pairs, de nombreuses personnes deviennent des cybercriminels dès leur plus jeune âge, sans réaliser pleinement les conséquences de leurs actes.

Si les primes au bogue ou les programmes similaires ne sont en aucun cas la solution à la pénurie croissante de talents, les organisations peuvent certainement bénéficier de l’aide de pirates informatiques éthiques. En effet, l’exploitation de ce réservoir de talents peut aider les organisations à pallier la pénurie de compétences.

La porte est grande ouverte

En conclusion, voici peut-être un autre point de données à prendre en considération. L’enquête menée par (ISC)2 a révélé que seulement 42 % des premiers emplois des répondants après leurs études étaient en sécurité. En d’autres termes, ce domaine d’activité est largement ouvert aux personnes qui cherchent à se réinventer en tant que professionnels de la sécurité.

Bonne journée anti-logiciel malveillant!

4.11.20

 

 Amer Owaida

Google discloses Zero-day bug exploited in the wild

The security hole isn’t expected to be plugged until the forthcoming Patch Tuesday bundle of security fixes

Google’s Project Zero researchers have disclosed details about a zero-day vulnerability in Windows that they say is being exploited by attackers.

The memory-corruption flaw resides in the Windows Kernel Cryptography Driver (cng.sys) and, according to Google, “constitutes a locally accessible attack surface that can be exploited for privilege escalation (such as sandbox escape)”.

The researchers also released proof-of-concept (PoC) code that they’d tested out on a recent version of Windows 10 (version 1903, 64-bit) and believe that the security bug could have been around since Windows 7, potentially meaning that all versions from Windows 7 through 10 could be affected.

Per media reports, the flaw is being exploited in conjunction with another zero-day, which is indexed as CVE-2020-15999 and affects FreeType, a widely used software development library that is also part of the Google Chrome web browser.

Google reported the discovery of the newly-found bug, which is tracked as CVE-2020-17087, to Microsoft, but since it found evidence of the loophole being exploited in the wild, it opted for a seven-day disclosure deadline.

 

The patch is still a few days away

Currently, the security loophole doesn’t have a patch, but Project Zero’s technical lead Ben Hawkes tweeted that they do expect one to be released on November 10th, which coincides with the upcoming Patch Tuesday. 


Complete article on:

https://www.welivesecurity.com/2020/11/02/google-discloses-windows-zero-day-bug-exploited-in-the-wild/?utm_source=feedburner&utm_medium=email&utm_campaign=Feed%3A+eset%2Fblog+%28ESET+Blog%3A+We+Live+Security%29