Aller au contenu
  • Pas encore inscrit ?

    Pourquoi ne pas vous inscrire ? C'est simple, rapide et gratuit.
    Pour en savoir plus, lisez Les avantages de l'inscription... et la Charte de Zébulon.
    De plus, les messages que vous postez en tant qu'invité restent invisibles tant qu'un modérateur ne les a pas validés. Inscrivez-vous, ce sera un gain de temps pour tout le monde, vous, les helpeurs et les modérateurs ! :wink:

Myki

[Faille] Windows et Outlook Express

Messages recommandés

Trois nouvelles failles critiques dans Windows et Outlook Express

 

Comme tous les seconds mardis du mois, Microsoft publie aujourd'hui les correctifs de sécurité de ses logiciels. Au menu d'avril 2004: trois failles critiques et une importante.

 

Le bulletin de sécurité MS04-011 décrit d'abord une faille, affectant Windows NT 4.0, 2000, XP et Server 2003, qui pourrait permettre à un individu malintentionné d'exécuter les instructions de son choix sur un PC distant.

 

Deux autres failles critiques des mêmes systèmes d'exploitation rendent vulnérables le service RPC/DCOM (bulletin MS04-012) et le client de courriel Outlook Express. Cette dernière brèche peut être colmatée avec le correctif de cette page , qui devrait être téléchargé et appliqué immédiatement.

 

Enfin, une vulnérabilité affectant le moteur de la base de données Jet, sous Windows NT 4.0, 2000, XP et Server 2003, serait d'une gravité importante et Microsoft conseille d'appliquer dès que possible le correctif du bulletin de sécurité MS04-014

 

Les internautes peuvent télécharger tous ces correctifs des liens donnés ci-dessus ou, plus simplement, en se connectant au site Windows Update.

 

Source Branchez Vous

 

Myki

Partager ce message


Lien à poster
Partager sur d’autres sites

Bonsoir Myki, bonsoir à tous,

 

Je confirme que, même pour Windows 98, il y a 2 mises à jour critiques avec ces objets :

- KB837009 concernant OE6 SP1

- Q831167 concernant IE6 SP1

 

Il doit y avoir du monde... que c'est lent !!! :P

Modifié par ipl_001

Partager ce message


Lien à poster
Partager sur d’autres sites

B'Jour tous,

 

voilà les deux alertes SECUSER :

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

          S E C U S E R  A L E R T  13/04/04

                http://www.secuser.com/

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

          Vulnérabilités multiples dans Windows

            XP, 2000, NT 4.0 et Server 2003

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

 

1. RESUME DE L'ALERTE

2. LOGICIEL(S) AFFECTE(S)

3. CORRECTIF DISPONIBLE

 

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

1. RESUME DE L'ALERTE

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

Dix-neuf vulnérabilités dont sept de niveau critique ont été découvertes

dans divers composants ou services de Windows XP, 2000, NT 4.0 et 2003. Ces

vulnérabilités peuvent permettre à une personne malveillante d'exécuter le

code de son choix à distance et de prendre le contrôle de l'ordinateur de sa

victime ou à un virus de s'exécuter automatiquement à l'insu de l'utilisateur.

http://www.secuser.com/communiques/2004/040413_vulnwin.htm

 

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

2. LOGICIEL(S) AFFECTE(S)

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

Windows NT 4.0

Windows 2000

Windows XP

Windows Server 2003

 

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

3. CORRECTIF DISPONIBLE

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

Les utilisateurs concernés doivent appliquer immédiatement les correctifs

correspondant à la version de leur logiciel via le service WindowsUpdate

(en français) ou en téléchargeant les correctifs sur le site de l'éditeur.

http://www.secuser.com/outils/index.htm#windowsupdate

http://www.secuser.com/communiques/2004/04...n.htm#correctif

 

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

4. AIDE ET DISCUSSION

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

Détail de l'alerte sur le site de l'éditeur

http://www.microsoft.com/technet/security/...n/MS04-011.mspx

http://www.microsoft.com/technet/security/...n/MS04-012.mspx

http://www.microsoft.com/technet/security/...n/MS04-014.mspx

 

..."

 

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

          S E C U S E R  A L E R T  13/04/04

                http://www.secuser.com/

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

        Vulnérabilité critique dans Microsoft

              Outlook Express 5.5 et 6

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

 

1. RESUME DE L'ALERTE

2. LOGICIEL(S) AFFECTE(S)

3. CORRECTIF DISPONIBLE

4. AIDE ET DISCUSSION

 

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

1. RESUME DE L'ALERTE

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

Un nouveau correctif cumulatif est disponible pour le logiciel de messagerie

Outlook Express 5.5 et 6. En plus des vulnérabilités déjà connues, ce patch

corrige une nouvelle faille de niveau critique qui permet à une personne

malveillante ou à un virus d'exécuter le code de son choix sur l'ordinateur

de sa victime via une page web ou un message HTML piégé. Outlook Express

partageant des composants avec Outlook 98/200x, les utilisateurs de la

version professionnelle du logiciel doivent également appliquer le correctif.

http://www.secuser.com/communiques/2004/040413_vulnoe.htm

 

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

2. LOGICIEL(S) AFFECTE(S)

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

Microsoft Outlook Express 5.5

Microsoft Outlook Express 6

 

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

3. CORRECTIF DISPONIBLE

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

Les utilisateurs concernés doivent appliquer immédiatement le correctif

correspondant à la version de leur logiciel via le service OfficeUpdate

(en français) ou en téléchargeant le correctif sur le site de l'éditeur.

http://www.secuser.com/outils/index.htm#officeupdate

http://www.secuser.com/communiques/2004/04...e.htm#correctif

 

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

4. AIDE ET DISCUSSION

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

Détail de l'alerte sur le site de l'éditeur

http://www.microsoft.com/technet/security/...n/ms04-013.mspx

 

..."

Partager ce message


Lien à poster
Partager sur d’autres sites

Yep yep

 

"Patch Day": les experts partagés sur le rendez-vous mensuel de Microsoft

Par Robert Lemos

CNET News.com

Mercredi 14 avril 2004

 

Le numéro un des logiciels a publié mardi sa mise à jour mensuelle de sécurité. Cette fournée colmate 20 failles. Certaines sont connues depuis plus de 200 jours, déplorent certains experts. Plus pratique pour les entreprises, assurent d'autres.

 

Microsoft a publié, mardi 13 avril, le plus lourd rappel de sécurité pour Windows, depuis que l'éditeur a décidé de regrouper, sur une seule journée, la diffusion des rustines résorbant les failles ou les bugs affectant son système d'exploitation. Cette mise à jour ne corrige pas moins de vingt failles de sécurité, réparties en quatre patchs. Certaines d'entre elles datent de plusieurs mois.

 

Les quatre rustines de Microsoft, disponibles en téléchargement sur le site de l'éditeur, corrigent des failles pour Windows XP, 2003, NT ou 2000. Six d'entre elles permettent à un virus de type MSBlast de contaminer le système. La plus importante (MS04-011) colmate à elle seule quatorze faiblesses, dont près de la moitié peuvent être exploitées par une personne malintentionnée, pour prendre le contrôle à distance d'une machine.

 

La politique de l'éditeur de ne plus fournir de correctifs au cas par cas est toujours autant discutée par les experts en sécurité.

 

«Ces nouveaux patchs confirment une tendance, qui se dessinait déjà, comme quoi Microsoft est disposé à laisser ses clients vulnérables pendant de longues périodes (...), ce qui donne l'impression qu'il y a moins de problèmes de sécurité», a déclaré à notre rédaction américaine, Marc Maiffret, expert en chef du consultant en sécurité Eeye Digital. «Cela est complètement inacceptable», martèle-t-il.

 

En février dernier, Maiffret déplorait déjà que le numéro un des logiciels ait mis plus de 200 jours à corriger une faille elle-même jugée critique par Microsoft. Un période désormais dépassée avec ces nouvelles rustines: Eeye a été à l'origine de la découverte de six des vingt failles colmatées, et sur ces six, deux ont été découvertes exactement 216 jours avant la publication de leur patch, assure Maiffret.

 

Un mois pour la correction des plus grosses failles

 

À l'inverse des experts de Eeye, d'autres chercheurs en sécurité voient d'un bon oeil le rendez-vous mensuel de Microsoft. «Faciliter l'installation de patchs est une bonne chose», déclare ainsi Gerhard Eschelbeck, directeur des technologies de Qualys, dont les experts ont découvert deux des failles corrigées, mardi, par Microsoft.

 

Il met en avant la lourdeur de la mise à jour des systèmes par une myriade de rustines. Ce dernier estime qu'il faudrait actuellement un mois, pour que la moitié des sociétés vulnérables sur le net corrigent simplement les principales failles de Windows.

 

Un nombre inférieur de correctifs devrait réduire la maintenance, assure-t-il. «Il s'agit d'un seul patch disponible un jour précis. Chacun sait dorénavant que [le deuxième mardi du mois], c'est le "Patch Day" de Microsoft.»

 

Avec Christophe Guillemin pour ZDNet France

 

Source ZDnet

 

Myki

Partager ce message


Lien à poster
Partager sur d’autres sites
Avalanche de vulnérabilités sur Microsoft Windows

par Aurélien Cabezon

En ligne le 14/04/2004

 

Il nest pas rare de voir Microsoft Windows touché par une vulnérabilité mais ce jour, la firme américaine nous dévoile pas moins de dix-neuf failles dont sept ont été jugées critiques.

 

Une nouvelle fois c’est le service RPC/DCOM qui ouvre les portes de vos machines aux vers et autres pirates informatique. En effet, une des sept failles jugée critique sur les dix-neuf annoncées par Microsoft touche ce composant qui s’était illustré à travers le vers MyDoom.

 

Les autres problèmes de sécurité permettant à une personne mal intentionnée d’exécuter à distance du code de son choix sont eux localisés au niveau des composants H.323, ASN.1, LSASS, Help and support center, Negotiate SSP et Microsoft Jet Database Engine.

 

Face à cette vague de vulnérabilités critiques il est fortement recommandé aux utilisateurs concernés de mettre à jour au plus vite leurs systèmes d’exploitation à travers le service Windows Update ou en téléchargeant les correctifs disponibles sur le site de l’éditeur.

 

Notons également qu’il est plus que probable de voir arriver sur la toile de nouvelles moutures de vers et virus ayant la capacité d’exploiter ces vulnérabilités afin de s’installer sur les serveurs et postes vulnérables et se propager.

 

Les versions des systèmes d’exploitation Microsoft Windows concernées par ces failles sont les suivantes :

 

- Microsoft Windows NT 4.0 Workstation & Server

- Microsoft Windows 2000

- Microsoft Windows XP

- Microsoft Windows Server 2003

- Microsoft Windows 98

 

RPC/DCOM

http://www.microsoft.com/technet/security/...n/MS04-012.mspx

 

Microsoft Jet Database Engine

http://www.microsoft.com/technet/security/...n/MS04-014.mspx

 

Patch cumulatif

http://www.microsoft.com/technet/security/...n/MS04-011.mspx

 

 

Source iSecureLabs

 

Myki

Partager ce message


Lien à poster
Partager sur d’autres sites
Microsoft publie quatre bulletins de sécurité

 

Toutes les versions de Windows sont touchées par des failles de sécurité permettant de prendre le contrôle d'un ordinateur à distance.

 

Microsoft vient de publier son bulletin mensuel de sécurité pour le mois d'avril 2004. Pas moins de quatre rustines sont proposées visant à corriger une vingtaine de failles sur les systèmes Windows NT (versions Workstation et Server), 2000, XP (y compris la version 64 bits), Server 2003 ainsi que 98, 98 SE et Me. Sur les quatre bulletins proposés, trois (MS04-011 à 013) sont classés au niveau "Critique" tandis que le bulletin MS04-014 est jugé "Important". Globalement, les failles relevées permettent d'exécuter à distance un code malicieux sur la machine affectée.

 

Une nouvelle brèche dans Outlook

 

Si l'ensemble des mises à jour est recommandé, les utilisateurs grand public devront particulièrement se concentrer sur le bulletin MS04-013. La faille qu'il décrit affecte en effet l'application de courrier Outlook Express en versions 5.5 et 6. Jugée "critique", elle permet à un intrus – humain ou logiciel – d'exécuter le code de son choix sur l'ordinateur victime via une page HTML ou un courriel au format HTML. Outlook (à partir de la version 98) est également concerné. Le nouveau correctif comble les failles précédentes et remplace le bulletin MS03-014.

 

Par ailleurs, Microsoft en a profité pour mettre à jour de précédents correctifs, dont l'un date d'octobre 2000, à savoir ceux décrits dans les bulletins MS00-082, MS01-041, MS02-011 et MS03-046. Ces mises à jour de sécurité concernent essentiellement l'application Exchange Server 5.0.

 

Christophe Lagane

 

Source VNUnet

 

Myki

Partager ce message


Lien à poster
Partager sur d’autres sites

Votre contenu devra être approuvé par un modérateur

Invité
Vous postez un commentaire en tant qu’invité. Si vous avez un compte, merci de vous connecter.
Répondre à ce sujet…

×   Collé en tant que texte enrichi.   Coller en tant que texte brut à la place

  Seulement 75 émoticônes maximum sont autorisées.

×   Votre lien a été automatiquement intégré.   Afficher plutôt comme un lien

×   Votre contenu précédent a été rétabli.   Vider l’éditeur

×   Vous ne pouvez pas directement coller des images. Envoyez-les depuis votre ordinateur ou insérez-les depuis une URL.


  • En ligne récemment   0 membre est en ligne

    Aucun utilisateur enregistré regarde cette page.

×