|
Menu |
|
Site optimisé pour :
|
|
Qui est en ligne ? |
|
|
Statistiques |
|
Sur le Forum ZenZone
Membres : 3774
Dernier Inscrit :
nicolas78
79617 Messages dans 9887 Sujets.
|
|
ZenZone IRC |
|
Total : 3287423
Annee : 132345
Mois : 6313
Jour : 19
3.15.218.44
|
|
[info] les experts partagés sur le rendez-vous Microsoft |
|
|
Auteur |
Message |
Titine
ZenAdmin
Anniversaire : 14 Nov Zodiaque: Sexe: Inscrit le: 15 Déc 2003 Messages: 12462 Localisation: «« Tout Près des Etoiles »»
Citer
|
Posté le: Jeu Avr 15, 2004 07:02
Sujet du message: [info] les experts partagés sur le rendez-vous Microsoft
|
|
|
"Patch Day": les experts partagés sur le rendez-vous mensuel de Microsoft
Le numéro un des logiciels a publié mardi sa mise à jour mensuelle de sécurité. Cette fournée colmate 20 failles. Certaines sont connues depuis plus de 200 jours, déplorent certains experts. Plus pratique pour les entreprises, assurent d'autres.
Microsoft a publié, mercredi 14 avril, le plus lourd rappel de sécurité pour Windows, depuis que l'éditeur a décidé de regrouper, sur une seule journée, la diffusion des rustines résorbant les failles ou les bugs affectant son système d'exploitation. Cette mise à jour ne corrige pas moins de vingt failles de sécurité, réparties en quatre patchs. Certaines d'entre elles datent de plusieurs mois.
Les quatre rustines de Microsoft, disponibles en téléchargement sur le site de l'éditeur, corrigent des failles pour Windows XP, 2003, NT ou 2000. Six d'entre elles permettent à un virus de type MSBlast de contaminer le système. La plus importante (MS04-011) colmate à elle seule quatorze faiblesses, dont près de la moitié peuvent être exploitées par une personne malintentionnée, pour prendre le contrôle à distance d'une machine.
La politique de l'éditeur de ne plus fournir de correctifs au cas par cas est toujours autant discutée par les experts en sécurité.
«Ces nouveaux patchs confirment une tendance, qui se dessinait déjà, comme quoi Microsoft est disposé à laisser ses clients vulnérables pendant de longues périodes (...), ce qui donne l'impression qu'il y a moins de problèmes de sécurité», a déclaré à notre rédaction américaine, Marc Maiffret, expert en chef du consultant en sécurité Eeye Digital. «Cela est complètement inacceptable», martèle-t-il.
En février dernier, Maiffret déplorait déjà que le numéro un des logiciels ait mis plus de 200 jours à corriger une faille elle-même jugée critique par Microsoft. Un période désormais dépassée avec ces nouvelles rustines: Eeye a été à l'origine de la découverte de six des vingt failles colmatées, et sur ces six, deux ont été découvertes exactement 216 jours avant la publication de leur patch, assure Maiffret.
Un mois pour la correction des plus grosses failles
À l'inverse des experts de Eeye, d'autres chercheurs en sécurité voient d'un bon oeil le rendez-vous mensuel de Microsoft. «Faciliter l'installation de patchs est une bonne chose», déclare ainsi Gerhard Eschelbeck, directeur des technologies de Qualys, dont les experts ont découvert deux des failles corrigées, mardi, par Microsoft.
Il met en avant la lourdeur de la mise à jour des systèmes par une myriade de rustines. Ce dernier estime qu'il faudrait actuellement un mois, pour que la moitié des sociétés vulnérables sur le net corrigent simplement les principales failles de Windows.
Un nombre inférieur de correctifs devrait réduire la maintenance, assure-t-il. «Il s'agit d'un seul patch disponible un jour précis. Chacun sait dorénavant que [le deuxième mardi du mois], c'est le "Patch Day" de Microsoft.»
Avec Christophe Guillemin pour ZDNet France
_________________________________________________________
Microsoft publie quatre bulletins de sécurité
Microsoft vient de publier son bulletin mensuel de sécurité pour le mois d'avril 2004. Pas moins de quatre rustines sont proposées visant à corriger une vingtaine de failles sur les systèmes Windows NT (versions Workstation et Server), 2000, XP (y compris la version 64 bits), Server 2003 ainsi que 98, 98 SE et Me. Sur les quatre bulletins proposés, trois (MS04-011 à 013) sont classés au niveau "Critique" tandis que le bulletin MS04-014 est jugé "Important". Globalement, les failles relevées permettent d'exécuter à distance un code malicieux sur la machine affectée.
Une nouvelle brèche dans Outlook
Si l'ensemble des mises à jour est recommandé, les utilisateurs grand public devront particulièrement se concentrer sur le bulletin MS04-013. La faille qu'il décrit affecte en effet l'application de courrier Outlook Express en versions 5.5 et 6. Jugée "critique", elle permet à un intrus – humain ou logiciel – d'exécuter le code de son choix sur l'ordinateur victime via une page HTML ou un courriel au format HTML. Outlook (à partir de la version 9 est également concerné. Le nouveau correctif comble les failles précédentes et remplace le bulletin MS03-014.
Par ailleurs, Microsoft en a profité pour mettre à jour de précédents correctifs, dont l'un date d'octobre 2000, à savoir ceux décrits dans les bulletins MS00-082, MS01-041, MS02-011 et MS03-046. Ces mises à jour de sécurité concernent essentiellement l'application Exchange Server 5.0.
Christophe Lagane (VNUNET France)
____________________________________________________
voir ICI
|
|
|
|
|
|
Page 1 sur 1 |
|
Vous ne pouvez pas poster de nouveaux sujets dans ce forum Vous ne pouvez pas répondre aux sujets dans ce forum Vous ne pouvez pas éditer vos messages dans ce forum Vous ne pouvez pas supprimer vos messages dans ce forum Vous ne pouvez pas voter dans les sondages de ce forum
|
|
|
|