Les vulnérabilités d'escalade de privilèges critiques affectent plus de 100 000 sites WordPress

Trois vulnérabilités critiques d’escalade de privilèges dans le plug-in Ultimate Member mettent plus de 100 000 sites en danger. Nous parlons également de la métrique Expérience de page à ajouter comme signal de classement pour la recherche Google en mai 2021 et de ce que cela signifie pour les sites WordPress utilisant des constructeurs de pages ou Gutenberg.

Microsoft met en garde contre l’utilisation de l’authentification multifacteur par téléphone / SMS, et deux vulnérabilités zero-day ont été corrigées dans Google Chrome. Microsoft Windows corrige plus de 111 vulnérabilités dans le cadre du Patch Tuesday de novembre.

Les vulnérabilités d'escalade de privilèges critiques affectent plus de 100 000 sites WordPress

Voici les horodatages et les liens au cas où vous voudriez sauter, et une transcription est ci-dessous.

0:44 Vulnérabilités d’escalade de privilèges critiques dans le plugin Ultimate Member

4:42 Les sites Web WordPress sont-ils prêts pour l’expérience de page en tant que signal de classement ?

10:40 Google Patches 2 jours supplémentaires pour Chrome Zero

12:39 Intel SGX vaincu une fois de plus, cette fois grâce au capteur de puissance intégré

16:09 Microsoft exhorte les utilisateurs à cesser d’utiliser l’authentification multifacteur basée sur le téléphone

20:37Transcription de l’épisode 95

Kathy Zant:

Bienvenue dans Think Like a Hacker la sécurité et l’innovation. Je suis Kathy Zant, directrice du marketing chez Wordfence. Et avec moi, mon cohôte-

Ram Gall:

Ramuel Gall. Je suis ingénieur QA et analyste des menaces chez Wordfence, et oui, nous recrutons. Voudriez-vous travailler avec nous ? Parce que nous sommes géniaux.

Kathy:Ram:

Eh bien, celui-ci était l’une des trouvailles de Chloé Chamberland. Il s’agissait d’une vulnérabilité critique, ou en fait de trois vulnérabilités critiques d’escalade de privilèges, dans le plugin Ultimate Member, qui est installé sur 100 000 sites.

Kathy:

Il est. Il semble qu’elle a découvert cela le 23 octobre, et c’est à ce moment-là que les clients Wordfence Premium ont reçu leurs règles de pare-feu. Parlez-moi un peu de certaines de ces vulnérabilités. Il semble qu’un formulaire d’inscription d’utilisateur manquait de vérifications.

Ram:

Ouais. Donc, pour deux d’entre eux, le principal problème était que, par défaut, Ultimate Member crée une page d’inscription où les gens peuvent s’inscrire à votre site Web. Malheureusement, il a également utilisé une fonction qui a simplement saisi ce que vous avez soumis pour le rôle sélectionné, ou les capacités sélectionnées, ou le niveau d’utilisateur que vous avez sélectionné, et l’a simplement ajouté dans les informations du nouvel utilisateur. Donc si vous capturez la demande lorsque vous vous êtes inscrit sur le forum et que vous venez d’ajouter « Hé, je veux être administrateur » à cette demande, cela ferait de vous un administrateur.

Kathy:

Oh. Donc, n’importe qui exécutant Ultimate Member, vous pouvez simplement vous inscrire pour un nouveau compte et dire: « Hé, j’aimerais être administrateur. » Cela semble amusant.

Ram:

Ouais, je veux être responsable de ce site maintenant.

Kathy:

Effrayant. Il semble également que les attaquants pourraient énumérer les rôles personnalisés actuels des membres ultimes. Ils ont donc des rôles personnalisés disponibles avec ce plugin d’adhésion, et ils pourraient comprendre ce que c’était.

Ram:

Ils pourraient. Maintenant, je veux dire, gardez à l’esprit que beaucoup de rôles devraient d’abord être créés par l’administrateur du site.

Kathy:

Sûr.

Ram:

Ainsi, si l’administrateur du site a créé le rôle personnalisé, l’utilisateur peut s’inscrire sous ce rôle. Mais dans de nombreux cas, même sans cela, même si le propriétaire du site n’a pas réellement créé ces rôles personnalisés, un attaquant peut toujours modifier ses capacités pour ce qu’il veut. Je pense donc que c’est quelque chose qui serait beaucoup plus largement exploité.

Kathy:

Ouais. Ouais absolument.

Ram:

L’autre est que si vous mettez à jour votre profil, vous pouvez également y changer de rôle, ce qui, je pense, était un peu plus important qu’une fois que vous avez créé un utilisateur, même si vous ne vous êtes pas inscrit en tant qu’administrateur, à partir de là, vous pourriez alors vous changer en administrateur. Donc.

Kathy:

Yikes. Cela semble assez effrayant. Il semble donc qu’ils ont corrigé cela le 29 octobre, ce qui a corrigé toutes ces vulnérabilités, n’est-ce pas ?

Ram:

Correct veuillez mettre à jour. Les utilisateurs gratuits ne bénéficieront de cette règle que le 22 novembre. Si vous êtes mis à jour, vous êtes en sécurité. Si vous n’êtes pas mis à jour, veuillez mettre à jour. Je veux dire mettez toujours à jour. Mais surtout si vous ne l’êtes pas, mettez à jour ce plugin.

Kathy:

Surtout, ouais. C’est toujours important. L’un des plus grands avantages de l’utilisation de Wordfence est le fait qu’il vous aide à rester au courant de toutes ces mises à jour, car si vous exécutez n’importe quel type de logiciel, que ce soit votre ordinateur à la maison, Google Chrome, dont nous avons un histoire à propos de cela à venir, ou Windows, quoi que vous utilisiez, vous devez vous assurer que votre logiciel est continuellement mis à jour car il y aura toujours des vulnérabilités, des corrections de bogues, des correctifs. Mettre à jour, mettre à jour, mettre à jour.

Ram:

Je sais que cela demande beaucoup à gérer, mais si votre entreprise dépend littéralement de votre site Web, cela vaut vraiment la peine d’investir du temps et des efforts, car vous ne pouvez pas vous permettre de ne pas le faire.

Kathy:

Droite. À moins que vous n’essayiez de générer tout le revenu passif, n’est-ce pas ?

Ram:

Eh bien, il n’existe pas de revenu passif. C’est comme un jardin.

Kathy:

Il est. Il est. Je veux dire, il y a beaucoup de gens sur Internet qui poussent ces idées de revenu passif. « Il suffit de créer un site Web WordPress et tout l’argent arrivera. » Mais quand même, vous avez toujours un atout d’un site Web WordPress que vous devez maintenir comme vous le feriez pour entretenir votre voiture ou votre maison ou-

Ram:

Ouais, passez une heure par semaine dessus, peut-être même moins selon. Mais si vous recevez une alerte indiquant que vous avez une mise à jour prête, comme Wordfence Central vous dira si vous avez des plugins qui devaient être mis à jour sur l’un de vos sites, vous devriez peut-être y aller et le mettre à jour plus tôt.

Kathy:

Oui en effet. Nous avons donc une autre histoire de WPTavern, et il s’agit de Google ajoutant une nouvelle métrique comme signal de classement pour la recherche. Qu’est-ce que tout cela signifie ?

Ram:

Ainsi, la nouvelle statistique s’appelle Expérience de la page et il s’agit d’une métrique composite de trois éléments qui, selon eux, comptent pour les utilisateurs. Et chacun de ces trois éléments sont en fait des métriques composites, ce qui signifie qu’ils sont eux-mêmes constitués de métriques plus petites. Ce sont donc trois mesures différentes. L’un d’eux est Largest Contentful Paint, qui est essentiellement un proxy pour la vitesse de chargement de votre site, comme simplement en termes de données. Et fondamentalement, cela mesure le moment où la plus grande partie des éléments de votre site est rendue, et cela devrait se produire dans les deux secondes et demie suivant le premier chargement de la page. Le deuxième est le premier délai d’entrée, qui mesure l’interactivité, comme si vous pouvez ou non cliquer sur un site et y jouer des problèmes ou faire des choses sur ce site assez rapidement après son chargement. Et cela devrait prendre moins de 100 millisecondes après qu’il commence vraiment à apparaître chargé.

Ram:

Le dernier est Cumulative Layout Shift, qui mesure la stabilité visuelle, et c’est honnêtement celui qui me tient le plus à cœur. Si vous avez déjà eu ce truc là où vous étiez sur un téléphone mobile et que vous allez sur un site Web et qu’il se charge et qu’il n’est pas fini de se charger, mais que vous en avez déjà lu une partie et que vous commencez à faire défiler et oups, vous avez cliqué sur une annonce parce qu’il a simplement bougé et fait en sorte que l’annonce soit exactement là où votre doigt allait être. C’est un changement de disposition cumulatif. Si le changement est trop important, vous rencontrez ce genre de problème. Donc, je veux dire, c’est celui qui me tient le plus à cœur.

Kathy:

Je me soucie de ça aussi. Ouais, cela ressemble à une mauvaise expérience de page. C’est donc très intéressant. C’est donc un autre coup de pouce… Si votre site gère bien ce type de choses et crée une bonne expérience utilisateur, Google va vous donner plus de préférence dans les pages de résultats des moteurs de recherche, vous aurez un classement plus élevé, en partie. Cela alimentera cela. Alors, quelqu’un qui fait ce genre de choses et oblige Ram à cliquer par inadvertance sur des publicités, veuillez ne pas le faire.

Ram:

Et je veux dire, nous avons notre outil de performance de site, Rapide ou Lent, et nous prévoyons d’incorporer ces mesures dans un proche avenir. Alors, attendez avec impatience cela.

Kathy:

Ouais. Et Fast Or Slow est entièrement gratuit, donc un excellent outil pour commencer à utiliser pour surveiller ce qui se passe avec votre site et vous assurer que votre site fonctionne bien dans ce que c’est ? 18 endroits différents maintenant ?

Ram:

Je le pense. Je vais devoir revérifier. Ne me citez pas là-dessus.

Kathy:

Je peux vous citer là-dessus. J’ai cherché. Il est généralement de 18 ans, sauf si un emplacement est indisponible pour une raison quelconque. Mais toujours, nous visons 18. Donc, sur les commentaires de WPTavern, j’aime lire les commentaires. Je fais partie de ces cinglés qui lisent les commentaires sur les articles de blog, car une discussion intéressante se déroule ici. Les gens se demandent donc si les constructeurs de pages qui sont incroyablement populaires sur les sites WordPress comme Divi ou Elementor affectent la métrique d’expérience de la page. Quelle est votre opinion à ce sujet, Ram ?

Ram:

D’après mon expérience, de nombreux créateurs de pages, je ne sais pas si vous vous souvenez de l’époque de FrontPage ou de Dreamweaver, mais une grande partie de ce que vous voyez est ce que les constructeurs de pages introduisent une complexité supplémentaire et ralentissent les choses. Dans ce cas, cela s’explique en grande partie par le fait que JavaScript doit rendre les pages, ce qui contribuera largement à des choses comme le délai de première entrée, où le JavaScript doit terminer le rendu avant de pouvoir réellement interagir avec le site. Je sais qu’ils ont probablement mis en place des mesures d’atténuation pour rendre cela un peu moins grave, mais c’est une préoccupation. Et Cumulative Layout Shift, vous rencontrez également cela. Chaque fois qu’une partie de la page est rendue immédiatement, une autre partie de la page est positionnée par programmation après le début du chargement.

Kathy:

Intéressant, ouais. J’ai utilisé des outils de création de page à plusieurs reprises sur un certain nombre de sites. Et donc j’essaie d’analyser, parce que j’ai commencé à l’époque de… La première chose qui m’a jamais été donnée pour créer un site a été FrontPage, puis immédiatement après avoir appris le HTML et le CSS et tout le JavaScript s’est rendu compte que c’était horrible. Mais ces constructeurs de pages que les utilisateurs de WordPress utilisent comme Elementor ou Divi, ils utilisent beaucoup de classes CSS différentes afin de gérer ce qui est présenté sur le site. Et une partie devient si complexe que je ne peux pas la lire. Et je peux lire du HTML et je peux lire du CSS et je peux lire du JavaScript. Je comprends ce que cela fait, mais c’est tellement complexe. Et donc je ne peux qu’imaginer que les navigateurs ont du mal à déterminer où tout va aller, car il y a tellement de code là-bas, non ?

Ram:

Ouais. Je veux dire, c’est une sorte de débat en cours. Simplement l’idée que si vous devez charger, disons, deux à trois mégaoctets de ressources, juste pour déterminer la mise en page et le style de la page, ce ne sera pas nécessairement une expérience très conviviale pour les mobiles. Mais c’est un débat en cours et je pense que Google en intégrant cela dans leurs métriques d’expérience de page est un pas vers une sorte de répression à ce sujet.

Kathy:

Excellent. D’accord. Eh bien, ce sera certainement intéressant, quelque chose à surveiller. Et il semble qu’ils vont mettre en œuvre cette expérience de page en tant que facteur de classement en mai 2021. Je suppose donc que ce que nous retenons est que plus vous pouvez simplifier la mise en page de votre page, plus votre code peut être simple, mieux c’est va être pour non seulement vos utilisateurs, mais aussi votre classement dans les moteurs de recherche.

Ram:

Ouais. Et au fait, Gutenberg semble avoir un score assez bon sur cette métrique, bien qu’il soit conçu comme une sorte de compromis entre ce que vous voyez est ce que vous obtenez et le style traditionnel de l’éditeur d’articles de blog.

Kathy:

Excellent. Bon à savoir.

Ram:

Ouais, apparemment, ils vont bien.

Kathy:

Excellent. Donc un thème léger et Gutenberg, probablement la meilleure façon d’aller de l’avant.

Ram:

Très probablement ouais.

Kathy:

D’accord. Alors, quelle est cette histoire à propos de Google corrigeant quelques jours supplémentaires de Chrome ? Nous en avons eu quelques-uns récemment, hein ?

Ram:

Ouais. Apparemment, c’est cinq jours zéro en trois semaines. Et les trois premiers ont été découverts en interne par des chercheurs en sécurité de Google. Les deux plus récents ont été signalés en externe par des sources anonymes. Ils n’ont pas beaucoup de détails, simplement décrits comme une mise en œuvre inappropriée dans V8, qui est le composant Chrome qui rend JavaScript. Et puis il y a un bogue de corruption de mémoire Use After Free dans l’isolation du site, qui est le composant Chrome qui isole les données de chaque site les unes des autres. Ce qui est indéniablement depuis qu’il y a des jours zéro, cela signifie que les gens essaient déjà de les exploiter, ce qui signifie que quelqu’un a trouvé un moyen de les faire fonctionner, ce qui est assez intéressant.

Ram:

et je ne voulais pas vraiment y entrer, mais elles continuent à apparaître, alors je suppose que je vais devoir le faire. Fondamentalement, lorsque vous avez, par exemple, un programme qui a une fonction qui dit: « Hé, je vais définir cette variable sur bla. » Cela alloue en fait de la mémoire et dit: « La mémoire ici contient » bla « . » Ensuite, le programme dit: « Je n’en ai plus besoin. Oublie. » Cela libère cette mémoire. Mais si elle dit: « Tant pis, je veux tout ce qui était là encore. » Blah n’est plus là, mais c’est quelque chose de différent. Et si vous pouvez prédire ou modifier ce qui va se passer, vous pouvez vous retrouver avec des choses comme l’exécution de code ou la récupération de données sensibles.

Ram:

Maintenant, la bonne nouvelle est que les systèmes d’exploitation modernes ont des protections assez décentes contre cela, quelque chose appelé ASLR, Address Space Layout Randomization, où ils ne collent pas tout dans des zones prévisibles de la mémoire d’un ordinateur. Ce sera simplement comme: « Je vais mettre ceci ici, je vais mettre cela là-bas, et les attaquants devront alors faire beaucoup plus de travail pour déterminer où se trouve l’objet qu’ils veulent cibler. » Cependant, cela nous amène à notre prochaine histoire, qui est… Fondamentalement, il s’agit d’Intel SGX, qui est leur extension de protection logicielle, qu’ils utilisent pour stocker et gérer des données secrètes telles que des clés de chiffrement.

Ram:

Les chercheurs ont mis au point une attaque nommée Platypus, qui n’est pas aussi mignonne qu’il n’y paraît. Mais oui, ils ont essentiellement découvert que les puces Intel et apparemment les puces AMD aussi, bien qu’elles n’aient pas vraiment approfondi ces derniers, ont intégré des capteurs de puissance. Et au moins sur les systèmes Linux, les utilisateurs disposant de privilèges minimaux peuvent vérifier la quantité d’énergie utilisée par une puce pour faire différentes choses. Et c’est ce que nous appelons un canal secondaire, ce qui signifie que vous pouvez voler des clés cryptographiques en étudiant la quantité d’énergie nécessaire à une puce pour exécuter différentes fonctions de cryptage et de décryptage. Et plus intéressant encore, il peut également contourner la randomisation de la disposition de l’espace d’adresses que nous venons de mentionner plus tôt. Il peut fondamentalement dé-randomiser cela. Ce qui me semble avoir un impact car cela peut être fait à distance, ce qui signifie que cela fonctionnerait très bien en combinaison avec les bogues de corruption de la mémoire Use After Free.

Kathy:

Je t’ai eu. D’accord. Alors, quel est le problème avec l’histoire. Les chercheurs ont donc découvert cette vulnérabilité avec les puces Intel. Maintenant, je me souviens des vulnérabilités Meltdown et Spectre, comment cela se compare-t-il à cela ?

Ram:

Cela n’a pas vraiment attiré beaucoup d’attention, mais j’ai le sentiment que, parce que c’est éloigné et que cela ne nécessite pas beaucoup de privilèges, c’est assez comparable, je dirais, ou peut-être pire. Le seul facteur atténuant est que, par défaut, seules les boîtes Linux ont les composants intégrés qui permettent aux utilisateurs disposant de privilèges inférieurs de le faire. Vous devez installer intentionnellement les pilotes sur Windows pour utiliser réellement cette fonctionnalité. Ce n’est pas quelque chose dont vous devriez vous inquiéter en tant qu’utilisateur individuel. Mais si vous êtes un fournisseur d’hébergement et que vous disposez d’un centre de données, c’est quelque chose que vous souhaitez corriger le plus rapidement possible.

Kathy:

Droite. Et vous avez un centre de données rempli de serveurs Linux hébergeant le site WordPress de tout le monde.

Ram:

Plutôt.

Kathy:

Ouais. Donc, en tant que propriétaire d’un site WordPress, cela vous concerne. C’est quelque chose que vous voudrez peut-être garder un œil sur, assurez-vous que votre fournisseur d’hébergement applique les correctifs ou tout ce qui sera nécessaire pour vous assurer que ces types de vulnérabilités ne peuvent pas être exploités. Pour que les clés cryptographiques sur tous ces serveurs soient agréables et sûres, non ?

Ram:

Ouais. Ainsi, les exploits de débordement de tampon et les vulnérabilités Use-After-Free ne fonctionnent pas aussi bien ni aussi facilement.

Kathy:

Ouais. Je veux dire mais-

Ram:

Je ne vais pas mentir. J’ai dû faire un tas de recherches sur toutes ces choses parce qu’il y en a toujours plus à suivre, mais

Kathy:

Sûr. Sûr. Eh bien, je veux dire, la sécurité est importante. Ce ne sont pas seulement les chercheurs comme vous qui doivent rester informés sur ce genre de choses. Je veux dire, je n’approfondis pas beaucoup toutes ces vulnérabilités de la même manière que vous, mais je dois en être conscient en tant que propriétaire de WordPress, en tant que personne qui s’intéresse à la sécurité de WordPress, il est juste bon d’en être conscient il. Cela ne veut pas dire que vous devez aimer la plongée profonde.

Ram:

Ouais. Je n’ai pas nécessairement besoin de savoir comment déchiffrer personnellement vos données chiffrées, mais ce que j’ai besoin de savoir, ce sont les implications des différentes vulnérabilités liées à d’autres vulnérabilités

Kathy:

Droite. Droite. Maintenant, voici une autre histoire. Je pense que celui-ci est très pertinent nous en avons parlé sur Wordfence Live. C’est un de mes sujets préférés à WordCamps. Il s’agit d’encourager les gens à cesser d’utiliser l’authentification multifacteur basée sur le téléphone. Donc plus de SMS 2FA. Microsoft exhorte maintenant les utilisateurs à cesser d’utiliser l’authentification multifacteur basée sur le téléphone pour plusieurs des mêmes raisons que nous encourageons cela. Nous disons cela depuis toujours. Maintenant, cet avertissement est venu du directeur de la sécurité d’identité chez Microsoft, Alex Weinert, et il a plaidé au nom de Microsoft pour exhorter les utilisateurs à adopter MFA, et il va encore plus loin en disant: « Plus de SMS. » Que se passe-t-il avec les SMS qui nous préoccupent tellement, Ram ?

Ram:

Tout d’abord, je tiens à garder à l’esprit que lorsqu’ils disent pas de téléphone, cela signifie pas de base de système téléphonique, pas de SMS, pas d’appels vocaux, et une application sur votre téléphone sera toujours un moyen sûr de le faire. ceci, en supposant qu’il n’y a pas de vulnérabilités sur votre téléphone.

Kathy:

Ouais. Certaines personnes utilisent encore leur téléphone pour les appels téléphoniques et aussi les SMS.

Ram:

Je veux dire, je ne les utilise pas pour les appels téléphoniques depuis que les appels automatisés sont devenus une chose, mais c’est une autre boîte de vers. Quoi qu’il en soit, l’un des principaux problèmes liés à l’authentification à deux facteurs basée sur les SMS est qu’il est tout à fait possible d’hameçonner quelqu’un qui l’utilise. Vous allez sur un site de phishing, vous entrez un nom d’utilisateur et un mot de passe et leur logiciel peut effectivement transférer sur cette demande puis envoyer le SMS et vous faire entrer le deuxième code facteur. Il est également possible de mener une attaque par échange de carte SIM où ils créent socialement votre entreprise de réseau mobile qui est assez facile à concevoir socialement, même maintenant, à partir de ce que j’ai vu dans divers DEFCON. Et appelez-les simplement, demandez-leur de dire: « Hé, je veux que ce numéro de téléphone soit transféré sur cette nouvelle carte SIM que j’ai. » Et la plupart du temps, ils le feront.

Kathy:

Droite. Ouais. Et juste le réseau sous-jacent que notre système téléphonique, pas votre appareil mobile, mais les systèmes téléphoniques, les systèmes SMS, les réseaux sous-jacents n’ont pas été développés avec le type de sécurité requis pour ce que nous faisons avec nos téléphones ces jours-ci. Je veux dire, parler d’une chose à grand-mère, mais vous connecter à votre compte bancaire ou à votre compte de crypto-monnaie, quelque chose de complètement et de totalement différent, non ?

Ram:

Si la police peut déployer une raie pour intercepter les appels vocaux et SMS, les attaquants peuvent également le faire.

Kathy:

Exactement LastPass a une excellente authentification: j’utilisais l’authentificateur Google depuis le plus longtemps, puis bien sûr, je reçois un nouveau téléphone et au revoir les codes à deux facteurs, ils sont tous partis.

Ram:

Donc, Google Authenticator a eu un problème et c’est qu’il n’a pas empêché les captures d’écran.

Kathy:

Oh vraiment ?

Ram:

… De l’interface Authenticator. Donc, si vous aviez un logiciel malveillant en cours d’exécution sur votre téléphone, il pourrait voler ce deuxième code facteur.

Kathy:

Intéressant. L’application LastPass a-t-elle le même problème ?

Ram:

Je pense que cela bloque les captures d’écran sur la page elle-même.

Kathy:

D’accord. Ouais. Je sais que lorsque vous copiez un code, il ne le garde pas en mémoire plus de 30 secondes je pense ou quelque chose comme ça, de sorte qu’il ne peut pas être, je ne sais pas, Tik-Toked en Chine. Alors commencez certainement à utiliser votre authentificateur Google. Quels autres avons-nous ? Il y a OFI, LastPass-

Ram:

Ouais, je pense qu’il y en a des open source qui sont également assez décents.

Kathy:

D’accord, excellent.

Ram:

Et vous avez votre choix.

Kathy:

Oui. Il existe de nombreuses façons différentes de faire votre authentification à deux facteurs, et Wordfence, nous vous encourageons à utiliser également ces codes d’authentification basés sur les applications. Une chose intéressante que j’aime dans ce que fait 1pass, un mot de passe est que vous pouvez avoir ces deux codes de facteur intégrés au vôtre … Donc vous avez votre mot de passe et il a également ce code basé sur le temps dans l’application ou dans l’application sur votre ordinateur. C’est donc également très pratique. Il n’ya donc plus d’excuses, non ?

Ram:

Pas plus d’excuses, bien que je recommande si vous allez configurer l’authentification à deux facteurs en utilisant plus d’un appareil, disons un mot de passe et un téléphone, que vous faites les deux au moment de la configuration, sinon vous allez devez l’annuler puis le refaire pour les ajouter plus tard.

Kathy:

Ouais. Important. Cool. Eh bien, il semble que nous ayons des correctifs pour Windows Patch Tuesday. A quoi ça ressemble, Ram ?

Ram:

C’est ce que je mentionnais plus tôt. Il inclut un correctif pour une vulnérabilité Windows zero-day qui a été exploitée dans la nature, et c’est une vulnérabilité d’escalade de privilèges celui avec la bibliothèque de types gratuits, qui était oui, une vulnérabilité Use-After-Free, Je crois. Ou était-ce une autre sorte de corruption de la mémoire ?

Kathy:

Je pense que c’était Use-After-Free. Je pense que c’est celui dont nous parlions [crosstalk 00:21:09].

Ram:

C’était le débordement de la mémoire tampon du tas.

Kathy:

Était-ce ? D’accord.

Ram:

Ouais. D’accord. C’était donc un débordement de tampon. Donc quelque chose d’autre que l’ASLR rendrait plus difficile à réaliser.

Kathy:

Je t’ai eu.

Ram:

Mais oui, je suppose qu’ils l’ont trouvé attaqué en conjonction avec celui-là, et fondamentalement, ce serait une chaîne d’exploit où ils attaqueraient la vulnérabilité de type libre pour obtenir un certain degré d’accès local, puis attaqueraient le noyau zero-day pour gagner l’élévation de privilèges, qui une fois que vous avez une élévation de privilèges à distance, c’est un gros problème. Google Project Zero, qui trouve à peu près tout cela, semble-t-il, pour le divulguer le 30 octobre.

Kathy:

Encore une fois, le gros point à retenir est que 111 autres vulnérabilités ont également été corrigées. Je veux dire, c’est le plus intéressant, évidemment, le fait qu’il soit exploité dans la nature. Mais encore plus d’une centaine de vulnérabilités corrigées dans le patch Tuesday, donc c’est comme, peut-être que cela devrait être comme une fête nationale, chaque patch mardi. Tout le monde juste-

Ram:

Chaque patch, je veux dire-

Kathy:

Prenez une fête nationale, tout le monde dans chaque pays, patchez vos ordinateurs, s’il vous plaît.

Ram:

Ou activez simplement les mises à jour automatiques. Ils ne semblent plus interrompre les choses importantes presque aussi souvent. Habituellement, ils vont simplement apparaître et dire: « Hé, nous allons vous mettre à jour après 19h00. » C’est-à-dire, sauf si vous travaillez de nuit, auquel cas vous voudrez peut-être changer ce moment.

Kathy:Ram:

Je suis très ennuyeux sur Twitter, mais oui.

Kathy:

Je m’ennuie aussi sur Twitter ces jours-ci. Il y a tellement d’autres personnes qui font des choses passionnantes que je me dis simplement: « Oh mon Dieu. » Je ne veux même pas parler de toutes ces choses folles. Mais oui, nous sommes sur Twitter et nous y partageons également des informations sur la sécurité. Assurez-vous de suivre le compte Wordfence et assurez-vous de venir nous rendre visite les mardis à midi, heure de l’Est, à 9h00 sur la côte ouest, nous avons Wordfence Live qui est sur YouTube. Vous pouvez trouver ces liens quelque part sur notre site Web. Nous le mettrons également dans les notes de l’émission, car nous avons beaucoup de sujets intéressants à discuter là-bas, où nous cherchons vraiment les meilleures façons de gérer votre site WordPress. Eh bien, la semaine dernière, nous avons parlé des meilleures pratiques en matière de mise à jour et de maintenance, non ?

Ram:

Oui. Nous venons de discuter de la manière de gérer les mises à jour qui ne vont pas dans une certaine mesure, comment éviter les mises à jour qui ne fonctionnent pas correctement, comment vous devez gérer les mises à jour en fonction de la taille de votre site, si les mises à jour automatiques sont une bonne idée ou non.

Kathy:

Ouais. Et je suis sûr que nous parlerons de mises à jour automatiques pendant un certain temps. Nous avons des nouvelles intéressantes à venir. Nous parlerons probablement la semaine prochaine des mises à jour automatiques de WordPress 5.6, il y a donc un petit teaser pour vous.

Ram:

Oui.

Kathy:

Impressionnant. Eh bien, merci de me rejoindre ici encore, Ram. C’est très amusant, et nous reviendrons la semaine prochaine pour parler de plus de nouvelles sur la sécurité, WordPress et l’innovation.

Ram:

Merci de m’avoir. Et je suppose que je dois aussi étudier davantage avant la semaine prochaine.

Kathy:

Nous faisons tous. C’est toujours… étudier.

Ram:

Ouais, ne s’arrête jamais.

Kathy:

Ne s’arrête jamais, n’est-ce pas ? C’est ce qui le rend amusant.

Ram:

Cela fait.

Kathy:

D’accord. À la semaine prochaine. Au revoir.

Vous pouvez trouver Wordfence sur Twitter, Facebook, Instagram. Vous pouvez également nous trouver sur YouTube, où nous avons notre Wordfence Live hebdomadaire les mardis à midi, heure de l’Est, à 9h00 du Pacifique.

Tags: , , ,