[info] les experts partag�s sur le rendez-vous Microsoft

"Patch Day": les experts partag�s sur le rendez-vous mensuel de Microsoft

Le num�ro un des logiciels a publi� mardi sa mise � jour mensuelle de s�curit�. Cette fourn�e colmate 20 failles. Certaines sont connues depuis plus de 200 jours, d�plorent certains experts. Plus pratique pour les entreprises, assurent d'autres.

Microsoft a publi�, mercredi 14 avril, le plus lourd rappel de s�curit� pour Windows, depuis que l'�diteur a d�cid� de regrouper, sur une seule journ�e, la diffusion des rustines r�sorbant les failles ou les bugs affectant son syst�me d'exploitation. Cette mise � jour ne corrige pas moins de vingt failles de s�curit�, r�parties en quatre patchs. Certaines d'entre elles datent de plusieurs mois.

Les quatre rustines de Microsoft, disponibles en t�l�chargement sur le site de l'�diteur, corrigent des failles pour Windows XP, 2003, NT ou 2000. Six d'entre elles permettent � un virus de type MSBlast de contaminer le syst�me. La plus importante (MS04-011) colmate � elle seule quatorze faiblesses, dont pr�s de la moiti� peuvent �tre exploit�es par une personne malintentionn�e, pour prendre le contr�le � distance d'une machine.

La politique de l'�diteur de ne plus fournir de correctifs au cas par cas est toujours autant discut�e par les experts en s�curit�.

�Ces nouveaux patchs confirment une tendance, qui se dessinait d�j�, comme quoi Microsoft est dispos� � laisser ses clients vuln�rables pendant de longues p�riodes (...), ce qui donne l'impression qu'il y a moins de probl�mes de s�curit�, a d�clar� � notre r�daction am�ricaine, Marc Maiffret, expert en chef du consultant en s�curit� Eeye Digital. �Cela est compl�tement inacceptable�, mart�le-t-il.

En f�vrier dernier, Maiffret d�plorait d�j� que le num�ro un des logiciels ait mis plus de 200 jours � corriger une faille elle-m�me jug�e critique par Microsoft. Un p�riode d�sormais d�pass�e avec ces nouvelles rustines: Eeye a �t� � l'origine de la d�couverte de six des vingt failles colmat�es, et sur ces six, deux ont �t� d�couvertes exactement 216 jours avant la publication de leur patch, assure Maiffret.

Un mois pour la correction des plus grosses failles

� l'inverse des experts de Eeye, d'autres chercheurs en s�curit� voient d'un bon oeil le rendez-vous mensuel de Microsoft. �Faciliter l'installation de patchs est une bonne chose�, d�clare ainsi Gerhard Eschelbeck, directeur des technologies de Qualys, dont les experts ont d�couvert deux des failles corrig�es, mardi, par Microsoft.

Il met en avant la lourdeur de la mise � jour des syst�mes par une myriade de rustines. Ce dernier estime qu'il faudrait actuellement un mois, pour que la moiti� des soci�t�s vuln�rables sur le net corrigent simplement les principales failles de Windows.

Un nombre inf�rieur de correctifs devrait r�duire la maintenance, assure-t-il. �Il s'agit d'un seul patch disponible un jour pr�cis. Chacun sait dor�navant que [le deuxi�me mardi du mois], c'est le "Patch Day" de Microsoft.�

Avec Christophe Guillemin pour ZDNet France
_________________________________________________________

Microsoft publie quatre bulletins de s�curit�

Microsoft vient de publier son bulletin mensuel de s�curit� pour le mois d'avril 2004. Pas moins de quatre rustines sont propos�es visant � corriger une vingtaine de failles sur les syst�mes Windows NT (versions Workstation et Server), 2000, XP (y compris la version 64 bits), Server 2003 ainsi que 98, 98 SE et Me. Sur les quatre bulletins propos�s, trois (MS04-011 � 013) sont class�s au niveau "Critique" tandis que le bulletin MS04-014 est jug� "Important". Globalement, les failles relev�es permettent d'ex�cuter � distance un code malicieux sur la machine affect�e.

Une nouvelle br�che dans Outlook

Si l'ensemble des mises � jour est recommand�, les utilisateurs grand public devront particuli�rement se concentrer sur le bulletin MS04-013. La faille qu'il d�crit affecte en effet l'application de courrier Outlook Express en versions 5.5 et 6. Jug�e "critique", elle permet � un intrus � humain ou logiciel � d'ex�cuter le code de son choix sur l'ordinateur victime via une page HTML ou un courriel au format HTML. Outlook (� partir de la version 9

est �galement concern�. Le nouveau correctif comble les failles pr�c�dentes et remplace le bulletin MS03-014.

Par ailleurs, Microsoft en a profit� pour mettre � jour de pr�c�dents correctifs, dont l'un date d'octobre 2000, � savoir ceux d�crits dans les bulletins MS00-082, MS01-041, MS02-011 et MS03-046. Ces mises � jour de s�curit� concernent essentiellement l'application Exchange Server 5.0.

Christophe Lagane (VNUNET France)
____________________________________________________
voir ICI