Microsoft corrige trois failles zero-day dans Windows
Dont l'une a été exploitée par des pirates russes pour espionner l'OTAN, l'UE et l'Ukraine

Le , par Hinault Romaric, Responsable .NET
Le patch Tuesday du mois d’octobre est assez important. Il corrige des failles zero-day dans Windows, dont certaines auraient déjà été exploitées par des pirates.

La première faille zero-day, qualifiée d’importante, a été découverte par le cabinet de sécurité iSight. Celle-ci se situe au niveau du gestionnaire des objets OLE et pourrait être exploitée par un pirate pour exécuter du code arbitraire à distance.

Selon iSight, la faille aurait été exploitée par un groupe de pirates russes du nom de « SandWorm » (ver de sables), dans le cadre d’une campagne de cyberespionnage en aout dernier contre l’OTAN. L’objectif des pirates était de récolter des informations sur l’intervention de la Russie dans le conflit ukrainien, lors du sommet de l’OTAN au Pays de Galles. L’Union européenne et des compagnies de télécommunication et du secteur de l’énergie auraient également été la cible de ces pirates.

La faille touche les versions serveur et Desktop à partir de Windows Vista et de Windows Server 2008 jusqu’aux versions actuelles. Windows XP ne serait donc pas concerné.

La seconde faille qui a été étiquetée critique par Microsoft, permet également d’exécuter du code distant. Celle-ci touche le sous-système de polices TrueType. Le poste d’un utilisateur peut être infecté lorsque celui-ci ouvre un document ou visite un site Web malveillant contenant des polices TrueType.

La faille a été identifiée par les experts en sécurité du cabinet FireEye, lors de l’analyse d’attaques utilisant des documents Office contenant des polices malveillantes. La faille toucherait toutes les versions de Windows, à partir de Windows XP.

La troisième faille zero-day, que corrige le Patch Tuesday d’octobre, permet une élévation de privilèges, pouvant conduire au contrôle complet du système affecté. Cependant, la vulnérabilité seule ne donnerait pas un accès au PC d’un utilisateur.

En dehors de ces failles zero-day corrigées dans Windows, le Patch Tuesday corrige également 21 autres vulnérabilités dans Internet Explorer, le Framework .NET, ASP.NET et Office.

Le Patch Tueday est téléchargé et appliqué automatiquement à partir de Windows Update, chaque deuxième mardi du mois.

Source : Blog Technet

Et vous ?

Qu'en de la réactivité de Microsoft dans la correction de ces failles de securité ?


Vous avez aimé cette actualité ? Alors partagez-la avec vos amis en cliquant sur les boutons ci-dessous :


 Poster une réponse

Avatar de Alcore Alcore - Membre averti http://www.developpez.com
le 15/10/2014 à 13:18
J'attends avec impatience l'intervention de notre ami GTSlash / GHetfield qui va nous ressortir les arguments forts de la sécurité par l'obscurité du code fermé...

Trois failles dont une a un cas exploit avérés avant la publication du correctif, et une autre critique date de l'ère XP et avec une facilité de mise en application hors du commun:

Le poste d’un utilisateur peut être infecté lorsque celui-ci ouvre un document ou visite un site Web malveillant contenant des polices TrueType.

http://en.wikipedia.org/wiki/Security_through_obscurity
Avatar de youtpout978 youtpout978 - Membre expert http://www.developpez.com
le 15/10/2014 à 14:01
Citation Envoyé par Alcore  Voir le message
J'attends avec impatience l'intervention de notre ami GTSlash / GHetfield qui va nous ressortir les arguments forts de la sécurité par l'obscurité du code fermé...

Trois failles dont une a un cas exploit avérés avant la publication du correctif, et une autre critique date de l'ère XP et avec une facilité de mise en application hors du commun:

http://en.wikipedia.org/wiki/Security_through_obscurity

Toute façon que le code soit ouvert ou fermé il existera toujours des failles, des fois elles se situent au niveau même du matériel.
Avatar de HardBlues HardBlues - Membre actif http://www.developpez.com
le 15/10/2014 à 14:10
Je suis impatient moi aussi....

Ceci dit une infection par des polices true-type, c'est ingénieux et nouveau à ma connaissance.
Avatar de kipkip kipkip - Membre régulier http://www.developpez.com
le 15/10/2014 à 15:07
Dites, je suis un peu inquiet là, il n'y a aucun lien avec l'autre news : Sentry-Eagle-ou-comment-la-NSA-a-infiltre-des-agents-dans-des-entreprises-privees-pour-compromettre-leur-reseau-de-l-interieur
N'est ce pas?
Avatar de seblutfr seblutfr - Membre averti http://www.developpez.com
le 15/10/2014 à 15:16
Citation Envoyé par Alcore  Voir le message
J'attends avec impatience l'intervention de notre ami GTSlash / GHetfield qui va nous ressortir les arguments forts de la sécurité par l'obscurité du code fermé...

Pour lui répondre "nananèèèèèreuh, je l'avais dit", alors qu'il n'y a aucun système 100% sécurisé ?
Provoquer les trolls ne fait en rien avancer le débat.
Avatar de herve4 herve4 - Membre habitué http://www.developpez.com
le 15/10/2014 à 15:48
ce qui est drôle (si je puis dire) est que Mr Microsoft a poussé les utilisateurs de l'OS XP a migrer vers des versions plus récente pour mieux lutter contre ce type de faille...
Avatar de pcaboche pcaboche - Rédacteur http://www.developpez.com
le 15/10/2014 à 16:04
Citation Envoyé par Hinault Romaric  Voir le message
Selon iSight, la faille aurait été exploitée par un groupe de pirates russes du nom de « SandWorm »

What's the name?
Darude - SandWorm

Avatar de earhater earhater - Membre averti http://www.developpez.com
le 15/10/2014 à 16:10
On a beau dire que la sécurité par le code closed source n'est pas une bonne idée (et je suis de cet avis), les failles présentes qui existent depuis windows xp ne vous rappellent pas la faille bash ou openssh qui existent depuis plusieurs décennies ? Open ou closed source c'est la même chose j'ai l'impression
Avatar de Alcore Alcore - Membre averti http://www.developpez.com
le 15/10/2014 à 16:11
Citation Envoyé par seblutfr  Voir le message
Pour lui répondre "nananèèèèèreuh, je l'avais dit", alors qu'il n'y a aucun système 100% sécurisé ?
Provoquer les trolls ne fait en rien avancer le débat.

Qu'il n'y ai pas de système 100% sécurisé n'est pas la question.

Le problème, c'est que de nombreuses personnes sont convaincues et mettent toute leur énergie à l'épreuve pour promouvoir le fait que le modèle open-source est dangereux car il laisse entrevoir les failles du code et que la parade c'est le closed source! Cette impression de sécurité est communément rejettée dans le monde de la sécurité et a été affublée d'un petit nom: "Security through obscurity" (voir lien dans mon post précédent).

Hors ce que l'on observe de manière générale, c'est que la majorité des cas d'exploit avéré se font sur des systèmes fermés.

Alors vous allez me dire Heartbleed? ShellShock?

Qui a découvert heartbleed? -> des ingénieurs de chez Google qui passaient en revue le code de SSL. Combien de cas d'exploit sérieux ont été recensés avant sa découverte?
Qui a découvert ShellSchock -> Un dev français de Red Hat qui passait égallement en revue le code de cette dernière. combien de cas d'exploit avéré??

Bref deux anomalies graves certes, mais découvertent dans le cadre de projet d'évolution de ces dernières.

Qui a découvert les anomalies MS décritent dans cet article? -> Des sociétés de sécurité dont Symantec suite à une attaque avérée sur des institutions EU
Qui a découvert la présence de Stuxnet? -> égallement des société de sécurité IT, et encore une fois, bien après que ce vers soit massivement utilisé.
Avatar de Alcore Alcore - Membre averti http://www.developpez.com
le 15/10/2014 à 16:16
Citation Envoyé par earhater  Voir le message
On a beau dire que la sécurité par le code closed source n'est pas une bonne idée (et je suis de cet avis), les failles présentes qui existent depuis windows xp ne vous rappellent pas la faille bash ou openssh qui existent depuis plusieurs décennies ? Open ou closed source c'est la même chose j'ai l'impression

Des failles, il y en aura que l'on soit open ou closed source.

Cependant, il y a bien des différences dans:

- La manière dont elles sont générallement découverte ( rewier vs exploitation par despirate)
- La manière dont elles sont communiquées et dont le fix est propagé.
Offres d'emploi IT
H/F Ingénieur réseaux et sécurité
1000MERCIS - Ile de France - Paris (75000)
Analyste réalisateur VB6/ SQL server h/f
ELANZ - Ile de France - Levallois-Perret (92300)
Administrateur système et réseau Haute Dispo H/F
UpSourcing - Ile de France - Bagneux

Voir plus d'offres Voir la carte des offres IT
Contacter le responsable de la rubrique Accueil