Une faille dans le noyau des versions 32-bits de Windows
Vient d'être annoncée par Google, et confirmée par Microsoft

Le , par Gordon Fowler, Expert éminent sénior
Décidément, après l'affaire de la faille d'Internet Explorer, Microsoft connait une période très agitée.

Dans un bulletin de sécurité paru hier, Microsoft vient de reconnaitre une faille dans le noyau des version 32-bits de de la plupart de ses Windows (7, Vista, XP, 2000, server 2003 et 2008). La faille n'aurait cependant pas été exploitée et ne toucherait pas les versions 64 bits.

Le problème c'est qu'elle n'a pas été annoncée par Redmond. C'est un employé de Google qui a, le premier, attiré l'attention sur cette vulnérabilité.

"Le risque pour les utilisateurs est très limité" affirme néanmoins Jerry Bryant, Senior Security Program Manager chez Microsoft.

Dans les faits, la faille permet à un hacker de modifier ses droits sur le système (de passer de simple utilisateur à administrateur).
Autrement dit, il faut déjà que l'attaquant ait accès à la machine pour utiliser cette vulnérabilité.
Et comme d'autre part très peu de particuliers utilisent - à tort - un autre compte que celui de l'administrateur, la manipulation peut n'avoir souvent que peu d'intérêt...

Microsoft recommande néanmoins de désactiver la Windows Virtual DOS Machine (NTVDM), une fonctionnalité qui permet habituellement de faire tourner les applications 16-bits et DOS sur les versions de l'OS postérieures à Windows NT.

Un patch de sécurité est bien évidemment en cours.

Une fois de plus, reconnaissons que Microsoft ne cherche pas à cacher la vérité et se met immédiatement au travail.

Mais que pour l'image de Redmond, une faille annoncée par Google est un gros coup de griffe.

Et pour Google un gros coup de pub pour promouvoir Chrome OS ?

Source : L'avertissement de sécurité de Microsoft

Lire aussi

Les rubriques (actu, forums, tutos) de Développez.com
Windows
Sécurité

Et vous ?

Pensez-vous que Microsoft réagit bien sur les questions de sécurité ?
D'après vous, Google va-t-il essayer de tirer profit de cette nouvelle faille ?


Vous avez aimé cette actualité ? Alors partagez-la avec vos amis en cliquant sur les boutons ci-dessous :


 Poster une réponse

Avatar de dams78 dams78 - Membre chevronné http://www.developpez.com
le 22/01/2010 à 14:38
Citation Envoyé par digitaldna  Voir le message
cependant comme le faisait remarquer et à juste titre "kaymak" cela deviens malsain !

Mais non c'est fun
Avatar de Lyche Lyche - Expert confirmé http://www.developpez.com
le 22/01/2010 à 14:40
Citation Envoyé par dams78  Voir le message
Mais non c'est fun

Grâve, c'est mieux qu'au cinéma. On paye pas !
*prend du pop corn, s'installe dans son fauteuil, attend la suite de l'histoire*
Avatar de - http://www.developpez.com
le 22/01/2010 à 14:51
Ca fait 20 ans qu'on se pleind de l'hégémonie de Microsoft. On va avoir le contraire dans les années à venir. Tant mieux !
Microsoft et google n'auront aucune pitiée l'un envers l'autre et le gagnant, au final, c'est nous, les consommateurs... à moins qu'on se retrouve avec deux mondes hermétiques l'un a l'autre comme windows et apple.
Bonjour les soucis de compatibilité pour les développeurs...
Avatar de goomazio goomazio - Membre chevronné http://www.developpez.com
le 22/01/2010 à 15:28
Citation Envoyé par Acropole  Voir le message
[...] et le gagnant, au final, c'est nous, les consommateurs...

J'ai plutôt l'impression que ces entreprises s'entretuent avec l'argent des consommateurs. On pourrait se passer de tout ce cirque Ce n'est plus de la concurrence mais un combat de coqs.
Avatar de nirgal76 nirgal76 - Membre expérimenté http://www.developpez.com
le 26/01/2010 à 16:22
Citation Envoyé par digitaldna  Voir le message
Franchement j'aimerais tout de même préciser que cela deviens un grand n'importe quoi ! Des failles il y en a partout même sous l'os de google. Pourquoi ? Parce que c'est fait par des Hommes et parce que la machine est plus ou moins à l'image de l'Homme. Bref il n'y a que de solaris et des versions de BSD dont on entend pas parler ^^

Parceque ça n'interesse pas grand monde
Avatar de mokmap mokmap - Candidat au Club http://www.developpez.com
le 27/01/2010 à 10:44
bonjour,

moi je trouve que microsoft réagi trés bien et sur tout plus il y a de la concurence plus le devellope vas vite et bien et plus le monde avance.

google avec son os ( chromium ) ne va pas faire grand chose.
ils ont les idée un peux trop grande pour eux, c'est du n'importe quoi leur os.
je les tester, il va tout cherché en reseau car presque rien n'ai installer sur la machine il va cherché tout l'os sur les serveur de microsoft donc un beug de connection et pas de chargement de l'os ( mais uen fois chargé il plus de soucis de connection car il est chargé en ram ). ensuite on ne peut installer ce que l'on veux question dll, activx...... c'est que ce que google autorise du style si on veux installer flash player ou divx web player ben on ne pourra pas car c'est google qui doit l'intégré a son os et quand on charge l'os on charge c'est plug-in avec.
et je trouve sa vraiment trép trép mal fais ( car deja gogle n'a pas tout intégré je l'avais lus dans un article qu'il intégreron que certain truc ) mais comme par exemple silverlight n'est pas intégret or silverlight c'est l'avenir.

voila google veux joué les grand mais n'a pas la carure pour aprés la sortie de leur os ils vont vite ce rendre compte du travail fourni par microsoft qui n'est pas venu du jour au lendemain nous donner un os, il y a eu toute une évollutiond e plusieur année.

google enfin de compte ne sert qu'a une chose faire avancé le travail des concurent rien de plus ( pour le moment )
Avatar de Churay Churay - Nouveau membre du Club http://www.developpez.com
le 27/01/2010 à 10:46
Bah je pense quand même qu'il faut arreter de jeter la pierre 17 ans que cette machine virtuelle existe, 1 faille de trouver quand même les mecs ont très bien codés le soft

C'est bien le problème : ça fait 17 ans que la faille est connue.
Que peu de gens aient pensé à vérifier sa présence sur toutes les versions qui se sont succédées et qu'une seule le rappele n'enlève en rien au fait que ce n'est pas si bien codé que ça...

Un utilitaire de Kro$oft fait ce qui est, somme toute, simple à faire à la main : désactiver le sous-système MS-DOS et empêcher le lancement d’applications 16 bits (via l'éditeur des stratégies de groupe),

c'est vrai que de ce point de vue la ca impose le respect.

Effectivement être capable de coder autant de failles et bugs, c'est digne du livre des records.
Il serait instructif de lister les failles de Win et de compter celle qui restent sans correctif...

Car pour mémoire :
Incorrigible Windows...

Et si Windows avait des failles pour lesquelles il était impossible de créer un correctif ? C’est ce que deux chercheurs affirment avoir trouvé dans Windows 7, ces derniers étant tombés sur «*un problème de conception*»...

C’est à la conférence Hack In The Box que la faille en question a été révélée par les deux chercheurs. Celle-ci s’exploite grâce à un petit logiciel de 3 Ko, qui permet de prendre le contrôle de l’ordinateur dès que celui-ci a démarré. Celui-ci change simplement quelques fichiers chargés en mémoire par le système, ce qui permet notamment une élévation des privilèges. Il faut cependant noter que le simple redémarrage de la machine fait tout rentrer dans l’ordre.

«*Il n’y a pas de correctif pour cette faille. Il est impossible de la corriger. C’est un problème de conception*», expliquait un des deux chercheurs à propos de cette faille. Cela vient surtout prouver à Microsoft, qui affirmait que le processus de Windows 7 était inviolable, que nul n’est à l’abri d’une erreur.

Source : Tom's Guide

----

Pour info : professionnellement, je travaille plus sur des systèmes Win que sous Linux et personnellement mes machines sont 2 PC sous Vista, 2 PC Multiboot (Debian / Win XP Pro x32 et Debian Win WP Pro x64), et 1 PC Debian : soit 4 Win / 3 Linux.
Force est de constater que Linux est plus stable, moins bugué et que les correctifs y sont plus rapides à venir.
Mais, je reconnais qu'un paramétrage d'imprimante sous Debian oblige parfois à se creuser les méninges : ça permet de garder les neurones opérationnels
Avatar de teddyalbina teddyalbina - Membre confirmé http://www.developpez.com
le 27/01/2010 à 10:58
Citation Envoyé par Churay  Voir le message
C'est bien le problème : ça fait 17 ans que la faille est connue.
Que peu de gens aient pensé à vérifier sa présence sur toutes les versions qui se sont succédées et qu'une seule le rappele n'enlève en rien au fait que ce n'est pas si bien codé que ça...

Un utilitaire de Kro$oft fait ce qui est, somme toute, simple à faire à la main : désactiver le sous-système MS-DOS et empêcher le lancement d’applications 16 bits (via l'éditeur des stratégies de groupe),

Effectivement être capable de coder autant de failles et bugs, c'est digne du livre des records.
Il serait instructif de lister les failles de Win et de compter celle qui restent sans correctif...

Car pour mémoire :

----

Pour info : professionnellement, je travaille plus sur des systèmes Win que sous Linux et personnellement mes machines sont 2 PC sous Vista, 2 PC Multiboot (Debian / Win XP Pro x32 et Debian Win WP Pro x64), et 1 PC Debian : soit 4 Win / 3 Linux.
Force est de constater que Linux est plus stable, moins bugué et que les correctifs y sont plus rapides à venir.
Mais, je reconnais qu'un paramétrage d'imprimante sous Debian oblige parfois à se creuser les méninges : ça permet de garder les neurones opérationnels



Des trous dans linux il y en a de tous les cotés, et franchement niveau conception il y a aussi pas mal de truc pas très net dans linux ou même unix.

Pour le problème en question de ce que je comprend il s'agit bien de la première faille trouvé en 17ans dans ce sous-système. Comme ça fais 17 ans qu'il est présent sous Win les mag titre "Une faille de 17ans". Oui elle existe bien depuis 17 ans mais n'a été trouvée que dernièrement ...

Pour les correctifs la plateforme Win x64 est beaucoup mieux que la X32 parce que simplement la x64 n'a pas d'histoire grand publique donc ms peut facilement corrigé les problèmes ou même carrement recoder des composants voir en supprimer carrément ici le machine dos qui ne nous manquera pas.

Concernant la vitesse des correctifs, linux n'a pas d'exigence client, je veux dire que si un bug est exploité par des boites ça devient vite compliqué de le corriger parce qu'il devient essentiel à des softs. Ce problème existe quand les dev ne respectent pas les guides et les API du système, un peu comme les boites de jeux vidéos te sortent que telle ou telle jeux ne fonctionne pas sous Win X alors qu'en fait c'est simplement qu'elles utilisent une méthode maison pour définir la version de l'os plutot que d'utiliser l'api prévu pour . Comme ça elles peuvent vendre des patchs .

Pour la stabilité je n'ai rien a redire de Windows à part Xp qui a pas mal de blocage par moment, et n'ai pas très résistant aux erreurs.
Avatar de Louis Griffont Louis Griffont - Inactif http://www.developpez.com
le 27/01/2010 à 11:04
Citation Envoyé par Churay  Voir le message
C'est bien le problème : ça fait 17 ans que la faille est connue.

Ne pas confondre "présente" et "connue". Si Google vient de la découvrir, c'est qu'elle était "présente" mais pas "connue". Et donc, pas connue pas exploitée. Il n'y a donc pas à crier au scandale !
Un peu de modération et de retenue, merci !

Citation Envoyé par Churay  Voir le message
Effectivement être capable de coder autant de failles et bugs, c'est digne du livre des records.
Il serait instructif de lister les failles de Win et de compter celle qui restent sans correctif...

Car pour mémoire :
Et si Windows avait des failles pour lesquelles il était impossible de créer un correctif ? C’est ce que deux chercheurs affirment avoir trouvé dans Windows 7, ces derniers étant tombés sur «*un problème de conception*»...

C’est à la conférence Hack In The Box que la faille en question a été révélée par les deux chercheurs. Celle-ci s’exploite grâce à un petit logiciel de 3 Ko, qui permet de prendre le contrôle de l’ordinateur dès que celui-ci a démarré. Celui-ci change simplement quelques fichiers chargés en mémoire par le système, ce qui permet notamment une élévation des privilèges. Il faut cependant noter que le simple redémarrage de la machine fait tout rentrer dans l’ordre.

«*Il n’y a pas de correctif pour cette faille. Il est impossible de la corriger. C’est un problème de conception*», expliquait un des deux chercheurs à propos de cette faille. Cela vient surtout prouver à Microsoft, qui affirmait que le processus de Windows 7 était inviolable, que nul n’est à l’abri d’une erreur.


Deux "chercheurs" capables d'énoncer haut et fort qu'un truc, qu'ils n'ont pas développé, n'est PAS corrigible, ça m'hérisse le poil ! Mais bon, la liste est longue des personnes n'ayant rien à faire d'autres que de chercher la paille dans l'œil des voisins, ça les empêche souvent de voir la meule de foin qu'ils ont dans les leurs !

Citation Envoyé par Churay  Voir le message
Pour info : professionnellement, je travaille plus sur des systèmes Win que sous Linux et personnellement mes machines sont 2 PC sous Vista, 2 PC Multiboot (Debian / Win XP Pro x32 et Debian Win WP Pro x64), et 1 PC Debian : soit 4 Win / 3 Linux.
Force est de constater que Linux est plus stable, moins bugué et que les correctifs y sont plus rapides à venir.
Mais, je reconnais qu'un paramétrage d'imprimante sous Debian oblige parfois à se creuser les méninges : ça permet de garder les neurones opérationnels

Tu veux dire quoi ? Que TU préfères Linux ! Tant mieux pour toi ! Ne dégoutes pas les autres qui préfèrent Windows. Moi, personnellement, je me serais bien volontiers passé de croiser le chemin du "bandit" manchot !
Avatar de dams78 dams78 - Membre chevronné http://www.developpez.com
le 27/01/2010 à 11:23
Citation Envoyé par teddyalbina  Voir le message
Concernant la vitesse des correctifs, linux n'a pas d'exigence client,

Juste comme ça, hier j'ai vu un article comme quoi 75% des développeurs Linux était payés pour leur travail...
Avatar de smyley smyley - Expert éminent http://www.developpez.com
le 27/01/2010 à 12:43
Citation Envoyé par dams78  Voir le message
Juste comme ça, hier j'ai vu un article comme quoi 75% des développeurs Linux était payés pour leur travail...

100% des développeurs de Windows sont payés par leur travail Toute façon tout le monde sais que le "OpenSource" de Linux ne profite qu'aux entreprises, vu que le "cool, je peux recompiler mon noyau" n'est qu'une geekerie pour justifier Linux devant ses camarades

(attention, beaucoup de trolls se sont cachés dans cette assertion )
Offres d'emploi IT
Développeur C# (h/f)
CTS - Pays de la Loire - Nantes (44000)
H/F Ingénieur expérimenté .net
DATUS SUD-OUEST SA - Midi Pyrénées - Toulouse (31000)
Gestionnaire projet front-office h/f
SFIL - Ile de France - Issy-les-Moulineaux (92130)

Voir plus d'offres Voir la carte des offres IT
Contacter le responsable de la rubrique Accueil