Aller au contenu
  • Pas encore inscrit ?

    Pourquoi ne pas vous inscrire ? C'est simple, rapide et gratuit.
    Pour en savoir plus, lisez Les avantages de l'inscription... et la Charte de Zébulon.
    De plus, les messages que vous postez en tant qu'invité restent invisibles tant qu'un modérateur ne les a pas validés. Inscrivez-vous, ce sera un gain de temps pour tout le monde, vous, les helpeurs et les modérateurs ! :wink:

Myki

Microsoft colmate une faille avec huit mois

Messages recommandés

Microsoft colmate une faille avec huit mois de retard

 

Une vulnérabilité critique touchant tous les systèmes d'exploitation de l'éditeur pourrait donner à des hackers le contrôle total des machines affectées.

 

L'éditeur Microsoft prévient ses utilisateurs de l'existence d'une faille susceptible de donner à des hackers un "contrôle total" des ordinateurs fonctionnant sous l'un de ses différents systèmes d'exploitation. Le géant des logiciels précise que cette vulnérabilité concerne Windows NT 4.0 , NT Server 4.0 Terminal Server Edition, 2000, XP et Server 2003. Les administrateurs de systèmes sont invités à appliquer le correctif au plus vite.

 

Cette faille de sécurité réside dans une bibliothèque appelée "Microsoft Abstract Syntax Notation 1" (ASN 1) se trouvant au cœur du code du système. Selon Microsoft, la vulnérabilité peut être exploitée en utilisant la technique de débordement de mémoire tampon (buffer overflow) et permet d'exécuter du code avec des privilèges d'administrateur. "L'attaquant pourrait alors exécuter n'importe quelle action sur le système, y compris installer des programmes, lire, modifier ou détruire des données ou bien créer de nouveaux comptes d'utilisateurs disposant de tous les privilèges", a indiqué l'éditeur. Microsoft précise néanmoins qu'une telle attaque nécessiterait un accès direct au réseau de l'utilisateur.

 

La menace pèse plus sur les systèmes serveurs que sur les ordinateurs clients car les premiers sont plus susceptibles d'utiliser un processus décodant les données ASN 1. ASN 1 est un standard utilisé par de nombreuses applications pour permettre la compréhension des données entre diverses plates-formes.

 

Un retard justifié

 

Microsoft, qui était informé de cette faille depuis juillet dernier, a justifié son retard par le grand nombre de systèmes d'exploitation concernés : ce long délai aurait été nécessaire pour la mise au point d'un correctif valable pour tous les systèmes. Les nombreuses vulnérabilités des logiciels de l'éditeur l'ont placé sous le feu des critiques. La semaine dernière, Microsoft sortait en urgence un patch destiné à Internet Explorer. Celui-ci colmatait une faille exploitée par les hackers pour détourner les internautes sur des imitations de sites officiels afin de leur soutirer des données personnelles (voir édition du 3 février 2004).

 

Steve Ranger (VNUnet.com)

 

Source VNUnet

 

Myki

Partager ce message


Lien à poster
Partager sur d’autres sites

Microsoft met plus de six mois pour corriger une faille «critique» de Windows

Par Munir Kotadia

ZDNet UK

Mercredi 11 février 2004

 

Toute machine Windows gérant des certificats électroniques est vulnérable à une faille «critique». Microsoft a publié mardi un correctif, mais les experts en sécurité critiquent le délai de réaction: ce bug a été mis en évidence il y a plus de six mois.

 

LONDRES – Une vulnérabilité touchant les systèmes d'exploitation Windows a été rendue publique le 10 février par Microsoft, dans son traditionnel bulletin mensuel de sécurité. Même si elle n'aurait pas encore été exploitée, elle doit être colmatée au plus vite selon les experts en sécurité interrogés. Cette faille concerne la manière dont différentes versions de Windows (NT, 2000, XP et Server 2003) gèrent les certificats électroniques.

 

Toutefois les utilisateurs sont appelés à ne pas paniquer. La société d'antivirus Sophos, par exemple, indique qu'il faut relativiser l'information, tout en leur conseillant de «s'assurer calmement que tous les ordinateurs soient "patchés"», selon les conseils formulés par Microsoft dans son bulletin (ici en français).

 

Même son de cloche du côté de Trusecure, autre acteur du secteur de la sécurité informatique. Dans une note d'analyse, son directeur scientifique Russ Cooper précise que la priorité est de mettre immédiatement à jour les versions de Windows sur des infrastructures critiques, comme les serveurs de noms de domaine, les serveurs Exchange et IIS. Mais aussi toute application de VPN (extranet) ou de pare-feu qui intègrent des fonctions d'authentification.

 

Alors que Microsoft qualifie lui-même la faille de «critique», il s'avère que son existence lui a été communiquée il y a plus de six mois. Les spécialistes du consultant eEye Security, à l'origine de la découverte, s'en sont publiquement étonnés lors de la publication du bulletin de sécurité. Eric Maiffret, son directeur, s'est ainsi exclamé: «Deux cent jours pour réparer ça, c'est complètement ridicule.»

 

Avec Jerome Thorel à Paris, pour ZDNet France

 

Source ZDnet

 

Myki

Partager ce message


Lien à poster
Partager sur d’autres sites

Il reste encore du boulot.

 

Sept failles de Windows encore en attente de correctifs chez Microsoft

Par Munir Kotadia

ZDNet UK

Vendredi 13 février 2004

 

Microsoft travaillerait sur 7 nouveaux correctifs concernant des vulnérabilités présentes dans plusieurs versions de Windows. L'information a été publiée par eEye Security, navré d'avoir attendu six mois pour que la précédente faille sérieuse soit colmatée.

 

EEye Security, la société de conseil en sécurité informatique à l'origine de la découverte de la dernière faille "critique" touchant Windows, avertit que Microsoft serait en train de préparer des rustines pour corriger sept autres vulnérabilités du système d'exploitation. Sur ce nombre, trois seraient qualifiées de «critiques», et certaines auraient été repérées il y a plusieurs mois.

 

Les deux plus anciennes ont été portées à la connaissance de Microsoft le 10 septembre 2003, et une troisième un mois plus tard. Sur la page où elle liste les vulnérabilités en question, l'équipe de eEye Security rappelle en gros caractères le nombre de jours qui se sont écoulés depuis leur divulgation à Microsoft; la plus ancienne l'a été il y a déjà 96 jours.

 

La société ne donne aucun détail sur ces vulnérabilités, confirmant ainsi sa politique de "divulgation responsable" (responsible disclosure), qui part du principe que rendre publique un problème de sécurité dans un logiciel ou un système ne doit pas permettre à des personnes malveillantes de les utiliser. Elle refuse de donner plus de détails tant que Microsoft n’a pas publié de correctifs ad hoc.

 

eEye est à l’origine de la découverte d'une faille de Windows qui a fait beaucoup de bruit cette semaine. Elle concerne la manière dont différentes versions de Windows (NT, 2000, XP et Server 2003) gèrent les certificats électroniques (faille au niveau du module "ASN.1"). Qualifiée de «critique» par l'éditeur, elle a fait l'objet d'une mise à jour le 11 février (avec deux autres vulnérabilités - lire détails en français), soit plus de 200 jours après en avoir été informé.

 

eEye est l’une des rares sociétés à permettre au public de connaître au fur et à mesure les nouvelles failles qu’elle mentionne à l’éditeur concerné. Si elle insiste aujourd'hui pour dresser une liste des failles "en souffrance" en mentionnant les délais de réaction de Microsoft, cela peut être interprété comme un signe d'exaspération. Le directeur de la recherche Eric Maiffret a déjà qualifié de "ridicule" le délai anormalement long qu'a mis Microsoft pour corriger la faille sur ASN.1.

 

Source Libération

 

Myki

Partager ce message


Lien à poster
Partager sur d’autres sites

Hum, ca commence à se gater pour Microsoft, ils sont officiellement accusé de ... euh ... (restons courtois) ... de pas faire leur minimum de travail et de sécu.

 

Microsoft coupable de négligence selon Gartner

 

Selon le Gartner Group, la dernière faille en date de Windows, particulièrement grave, est le signe que Microsoft ne s'est pas engagé dans une travail sérieux de sécurisation de ses produits, quoi qu'il en dise.

 

Dans une note récente, le cabinet d'études Gartner Group revient sur la faille de Windows, découverte il y a huit mois par le spécialiste de la sécurité eEye Digital Security et pour laquelle Microsoft vient tout juste de publier un correctif (voir édition du 11 février 2004). Gartner souligne la gravité de ce nouveau défaut de sécurité qui affecte une technologie appelée Abstract Syntax Notation (ASN), présente dans la quasi-totalité des versions modernes de Windows, et qui est impliquée dans la plupart des processus de sécurité du système d'exploitation. Selon Gartner, cette faille, exploitée par des hackers, permettrait de lancer une attaque aussi nocive que l'a été cet été celle provoquée par le ver MSBlast. D'où l'urgence pour les particuliers comme pour les entreprises d'installer le correctif développé par Microsoft sur leurs PC et serveurs.

 

Outre ce conseil de bon sens, Gartner en profite pour tancer vertement Microsoft et sa politique de sécurisation de ses produits. "Cette faille ainsi que celle qui a rendu possible l'attaque dévastatrice MSBlast sont présentes dans Windows 2003 Server. Ce sont des sociétés spécialistes de la sécurité informatique – et non Microsoft – qui ont découvert ces deux failles ; cela montre l'insuffisance des efforts hautement médiatisés de Microsoft pour détecter les vulnérabilité dans ses produits." Conséquence : le cabinet d'études, qui a déjà conseillé aux entreprises de ne pas utiliser Windows Server 2003 dans des applications sensibles exposées au réseau Internet avant le deuxième trimestre 2004, pourrait repousser cette date dans l'hypothèse où l'éditeur "ne s'engagerait pas publiquement à fournir des efforts considérables pour éliminer les failles de sécurité flagrantes de son système d'exploitation".

 

Olivier Le Quézourec

 

Source VNUnet

 

Myki, content

Partager ce message


Lien à poster
Partager sur d’autres sites

Votre contenu devra être approuvé par un modérateur

Invité
Vous postez un commentaire en tant qu’invité. Si vous avez un compte, merci de vous connecter.
Répondre à ce sujet…

×   Collé en tant que texte enrichi.   Coller en tant que texte brut à la place

  Seulement 75 émoticônes maximum sont autorisées.

×   Votre lien a été automatiquement intégré.   Afficher plutôt comme un lien

×   Votre contenu précédent a été rétabli.   Vider l’éditeur

×   Vous ne pouvez pas directement coller des images. Envoyez-les depuis votre ordinateur ou insérez-les depuis une URL.


  • En ligne récemment   0 membre est en ligne

    Aucun utilisateur enregistré regarde cette page.

×