Patch Tuesday : Microsoft abandonne Windows Server 2003. La dernière livraison mensuelle des correctifs de sécurité de Microsoft corrige de nombreuses failles.
Mais l'une va rester dans Windows Server 2003. Ce mois-ci, dans son Patch Tuesday, Microsoft va corriger 56 failles dans ses logiciels grâce à 9 bulletins de sécurité. Sur ces 9 bulletins, 3 sont qualifiés de "critiques" et les vulnérabilités qu'ils corrigent permettent à des pirates d'exécuter du code à distance. Le premier bulletin critique concerne Internet Explorer, et les deux autres Windows. La plupart des versions Windows supportées, client comme serveur, devront être mises à jour, y compris la version de Windows 10. Nouvelle faille de sécurité IIS. Linux et Mac OS X plus vulnérables que Windows en 2014.
01net le 24/02/15 à 17h26 Ceux qui pensent encore que Linux et Mac OS X sont beaucoup plus sécurisés que Windows risquent de tomber de leur chaise.
Un tour dans la base de données National Vulnerability Database du NIST permet de s’en rendre compte. En compilant les failles de sécurité signalées durant l’année 2014, on constate que le système qui en a cumulé le plus est Linux, avec 233 vulnérabilités, contre 229 pour Mac OS X et 154 pour Windows. Si l’on se restreint aux vulnérabilités critiques, le système d’Apple passe même en tête, avec 140 brèches découvertes contre « seulement » 120 pour Windows et 104 pour Linux. Autre surprise : iOS accumule deux fois plus de vulnérabilités que son homologue Android. Comme quoi les préjugés ont la vie dure... Lire aussi : Sécurité IT : l'OTAN espionnée via une faille dans Windows. Windows abrite une faille de sécurité qui aurait permis à des pirates informatiques russes d’espionner l’OTAN, l’Union européenne et le gouvernement ukrainien, mais aussi des industriels et opérateurs télécoms, y compris en France.
Ainsi se résume le message d’alerte émis par iSight Partners. L’entreprise américaine spécialisée dans la sécurité IT collabore avec Microsoft sur ce dossier. Dans sa contribution blog, elle indique qu’un premier correctif est proposé pour éliminer cette vulnérabilité « jusqu’alors inconnue » et répertoriée CVE-2014-4114. Windows à lui aussi droit à sa faille ShellShock. The Security Factory met aujourd’hui en lumière une faille permettant à un utilisateur Windows de lancer une commande en mode administrateur.
Une vulnérabilité assez proche de la faille Shellshock découverte sur les systèmes Unix utilisant Bash, et aisée à exploiter. Il suffit en effet de créer un dossier dont le nom se termine par le caractère ‘&’ suivi de la commande que vous souhaitez lancer. Cette dernière sera alors exécutée avec les droits administrateur par le script vulnérable présent sur la machine. Reste bien évidemment à trouver un tel script sur le serveur. La condition requise pour que cette vulnérabilité soit exploitable est que la variable d’environnement %CD% (qui pointe sur le nom du répertoire courant) soit utilisée au sein du script.
Alerté, Microsoft indique ne pas souhaiter corriger ce problème, qui n’est pas une faille de sécurité, mais une mauvaise utilisation des variables d’environnement. Urgent : Microsoft corrige Windows Server pour une faille exploitée. Entre deux mises à jour de sécurité régulières, Microsoft a livré hier un correctif critique pour Windows Server.
(crédit : D.R.) Sans attendre le prochain Patch Tuesday, qui n'arrivera pas avant décembre, Microsoft livre un correctif pour combler une vulnérabilité touchant le protocole d'authentification Kerberos dans l'OS serveur de Windows. Les attaques déjà signalées n'ont pas touchées Windows Server 2012 et 2012 R2. Sécurité : Microsoft corrige une faille qui touche tous les Windows existants. Windows 7 et 8.x : Google dévoile de nouveau les détails d'une faille non corrigée. L'histoire se répète ces temps-ci : Google vient de dévoiler les détails d'une faille débusquée dans Windows 7 et 8.1, mais pas encore corrigée par Microsoft.
Le problème se situe dans la fonction CryptProtectMemory qui, comme son nom l'indique, permet de chiffrer la mémoire. Il y a quelques jours à peine, Microsoft fustigeait Google pour avoir dévoilé publiquement les détails d'une faille qui pouvait conduire à une élévation des privilèges et dont le correctif sortait deux jours plus tard. Cette semaine, rebelote avec la mise en ligne des détails d'une faille sur la fonction CryptProtectMemory qui s'occupe de chiffrer les données de la mémoire, notamment lors de l'échange d'informations entre deux processus.
Quand la fonction CryptProtectMemory fait parler d'elle. Une faille de Windows vieille de 19 ans corrigée. Microsoft a publié, mercredi 12 novembre, une mise à jour de sécurité permettant de corriger une faille touchant plusieurs versions de Windows depuis près de 19 ans.
Ce défaut de sécurité, qualifié de « critique » par Microsoft pouvait permettre à des pirates d'accéder à distance à un ordinateur par le biais de sites internet consultés avec le navigateur Internet Explorer. Le patch de sécurité corrige la faille dans plusieurs éditions de Windows Server 2003, 2008 et 2012, Vista, RT, 7, 8 et 8.1, détaille le bulletin de Microsoft. L'équipe de chercheurs d'IBM qui avait identifié la faille estime toutefois que « toutes les versions de Windows depuis Windows 95 » sont affectées et que le morceau de programme incriminé « est exploitable à distance depuis 18 ans ». « Les utilisateurs ayant activé les mises à jour automatiques n'ont pas besoin de prendre des mesures, car ils seront automatiquement protégés », affirme un porte-parole de Microsoft.