Windows : nouvelle vulnérabilité critique
Dans Windows Server 2003 et Windows XP, une preuve de faisabilité a été publiée
Le 2011-02-17 12:51:27, par Hinault Romaric, Responsable .NET
Mise à jour du 18/02/11
Travis Ormandy semble passer beaucoup de temps à scruter tout ce qui touche à la sécurité de Microsoft.
L'ingénieur de Google avait suscité la colère des responsables de Microsoft en publiant une preuve de faisabilité (PoC) seulement 5 jours après avoir découvert une faille critique dans Windows (lire par ailleurs)
Après cette polémique et les critiques contre Ormandy, un groupe anonyme s'était constitué pour laver son honneur... en promettant de s'attaquer à toutes les technologies Microsoft pour en dévoiler les vulnérabilités.
Autre épisode, après la découverte d'une faille dans le noyau de Windows, Ormandy avait fait reparler de lui en critiquant à nouveau vertement Microsoft. Et ce alors que la faille était qualifiée de « mineure ».
Google a toujours affirmé que les « analyses » des systèmes de Microsoft par son ingénieur étaient faites sur son temps libre. Et que toutes ces polémiques n'avaient rien à voir avec l'arrivée de Chrome OS, que Google présente par ailleurs comme un système d'exploitation particulièrement sécurisé.
Quoiqu'il en soit, depuis hier, une nouvelle faille de Windows a été dévoilée et un nouveau PoC publié. La société française VUPEN Security, basée à Montpellier, l'avait même qualifiée de « faille critique ».
Aujourd'hui, Microsoft relativise la situation et affirme que l'exécution distante d'un code ou la prise de contrôle d'une machine n'est pas (ou très difficilement) possible via cette vulnérabilité.
Son Centre de Sécurité a décidé de lui donner la note de 3 pour sa dangerosité. Autrement dit, Microsoft ne prévoit pas d'exploit avant 30 jours. Cette faille ne serait donc pas « critique » et permettrait tout au plus un Déni de Service.
Face à cette annonce, Vupen a réagi violemment sur son Twitter : « Après avoir patché des failles en silence, Microsoft appelle ''Déni de Service'' les failles difficiles à exploiter ! Et après [ce sera quoi] ? ».
Travis Ormandy dans tout cela ?
L'ingénieur de Google de Moutain View a immédiatement soutenu la société Montpelliéraine.
Et une fois de plus, il ne mâche pas ses mots : « Ils font ça depuis toujours. Leur centre de sécurité fait des Relations Presse, ils n'améliorent pas la sécurité ».
Avec son analyse de la faille, Microsoft ne devrait, de son coté, pas sortir de correctif en urgence.
Sources : MSRD, Tweet de Vupen, et de Travis Ormandy
MAJ de Gordon Fowler
Windows : nouvelle vulnérabilité critique
Dans Windows Server 2003 et Windows XP, une preuve de faisabilité a été publiée
Un chercheur vient de révéler une faille de sécurité affectant les anciennes versions de Windows. Elle pourrait être exploitée par un pirate pour prendre le contrôle complet des machines touchées.
La vulnérabilité est causée par un débordement dans la fonction « BowserWriteerrorLofEntry() » du pilote mrxsmn.sys utilisé par les anciennes versions de Windows pour les communications en réseau . Selon la société française de sécurité Vuipen la faille, pourrait être exploitée pour des attaques par déni de service
Cupidon-3005, le chercheur ayant découvert la vulnérabilité, a déjà publié une preuve de faisabilité (PoC).
Microsoft, informé de cette situation, a annoncé que les études de la faille sont en cours pour fournir un correctif le plus tôt possible.
Vupen a qualifié cette vulnérabilité de critique. Les systèmes touchés sont Windows Server 2003 SP2 et Windows XP SP3.
Source : Vupen
Travis Ormandy semble passer beaucoup de temps à scruter tout ce qui touche à la sécurité de Microsoft.
L'ingénieur de Google avait suscité la colère des responsables de Microsoft en publiant une preuve de faisabilité (PoC) seulement 5 jours après avoir découvert une faille critique dans Windows (lire par ailleurs)
Après cette polémique et les critiques contre Ormandy, un groupe anonyme s'était constitué pour laver son honneur... en promettant de s'attaquer à toutes les technologies Microsoft pour en dévoiler les vulnérabilités.
Autre épisode, après la découverte d'une faille dans le noyau de Windows, Ormandy avait fait reparler de lui en critiquant à nouveau vertement Microsoft. Et ce alors que la faille était qualifiée de « mineure ».
Google a toujours affirmé que les « analyses » des systèmes de Microsoft par son ingénieur étaient faites sur son temps libre. Et que toutes ces polémiques n'avaient rien à voir avec l'arrivée de Chrome OS, que Google présente par ailleurs comme un système d'exploitation particulièrement sécurisé.
Quoiqu'il en soit, depuis hier, une nouvelle faille de Windows a été dévoilée et un nouveau PoC publié. La société française VUPEN Security, basée à Montpellier, l'avait même qualifiée de « faille critique ».
Aujourd'hui, Microsoft relativise la situation et affirme que l'exécution distante d'un code ou la prise de contrôle d'une machine n'est pas (ou très difficilement) possible via cette vulnérabilité.
Son Centre de Sécurité a décidé de lui donner la note de 3 pour sa dangerosité. Autrement dit, Microsoft ne prévoit pas d'exploit avant 30 jours. Cette faille ne serait donc pas « critique » et permettrait tout au plus un Déni de Service.
Face à cette annonce, Vupen a réagi violemment sur son Twitter : « Après avoir patché des failles en silence, Microsoft appelle ''Déni de Service'' les failles difficiles à exploiter ! Et après [ce sera quoi] ? ».
Travis Ormandy dans tout cela ?
L'ingénieur de Google de Moutain View a immédiatement soutenu la société Montpelliéraine.
Et une fois de plus, il ne mâche pas ses mots : « Ils font ça depuis toujours. Leur centre de sécurité fait des Relations Presse, ils n'améliorent pas la sécurité ».
Avec son analyse de la faille, Microsoft ne devrait, de son coté, pas sortir de correctif en urgence.
Sources : MSRD, Tweet de Vupen, et de Travis Ormandy
MAJ de Gordon Fowler
Windows : nouvelle vulnérabilité critique
Dans Windows Server 2003 et Windows XP, une preuve de faisabilité a été publiée
Un chercheur vient de révéler une faille de sécurité affectant les anciennes versions de Windows. Elle pourrait être exploitée par un pirate pour prendre le contrôle complet des machines touchées.
La vulnérabilité est causée par un débordement dans la fonction « BowserWriteerrorLofEntry() » du pilote mrxsmn.sys utilisé par les anciennes versions de Windows pour les communications en réseau . Selon la société française de sécurité Vuipen la faille, pourrait être exploitée pour des attaques par déni de service
Cupidon-3005, le chercheur ayant découvert la vulnérabilité, a déjà publié une preuve de faisabilité (PoC).
Microsoft, informé de cette situation, a annoncé que les études de la faille sont en cours pour fournir un correctif le plus tôt possible.
Vupen a qualifié cette vulnérabilité de critique. Les systèmes touchés sont Windows Server 2003 SP2 et Windows XP SP3.
Source : Vupen
-
SendushaMembre chevronnéAh, parce que les sociétés disposent du code source des vieux Windows pour corriger la faille eux-même ?le 17/02/2011 à 22:34
-
gillaiMembre avertile 18/02/2011 à 16:00
-
sevyc64ModérateurMAis bien sur, et on va les croire en plus.
Pourquoi les employés de Microsoft, sur leur temps libre, bien sur, ne montent-ils pas eux aussi un collectif pour s'attaquer à toutes les technologies de Google ???le 18/02/2011 à 12:20 -
CravisMembre habituéParce que les employés de Microsoft ne dispose pas de deux heures par jour offerte par leur employeur pour mener à bien leurs recherches personnellesle 18/02/2011 à 12:35
-
CyrilangeMembre avertiCette culture de l'anti Microsoft (qui est aussi un anti américanisme européen) est absolument pathétique. Tous les systèmes ont des failles et en auront toujours.
Pour ma part j'adore les technologies Microsoft et mes clients comme moi même n'avons jamais souffert de la moindre faille.
Ces agitateurs vont finir par se ridiculiser à force de crier au loup !le 23/02/2011 à 6:27 -
sevyc64ModérateurSi sortir une moyenne d'une dizaine de patch chaque mois, n'est pas s'occuper de la sécurité, je sais ce qu'il te faut.
Tu préfère la technique de Google, qui sort une nouvelle version toutes les 3 semaines, sans même que l'on sache, la plupart du temps ce qui change avec la version précédente, ce que ça corrige ou pas, etc....
Tu préfère Linux, où, d'après ce que j'ai compris, les mises à jours sont automatiques et se font en silence. Ce qui pourrait faire dire qu'il n'y a pas besoin de patch alors qu'en réalité ils s'installent tous seuls sans que l'on est connaissance de leur existance.
Ou tu préfère MAC OS, système tellement fermé (comme tous les produits APPLE) que l'on ne sait même pas s'il y a des failles de sécurité. De toute façon le système est tellement peu visible que même s'il y en a, elles n'intéressent personne.le 23/02/2011 à 9:54 -
gillaiMembre avertile 18/02/2011 à 14:02
-
FaridMMembre expérimentéApparement ils n'ont pas le temps de s'occuper de la sécurité de leurs produits non plus.le 21/02/2011 à 9:24
-
psychadelicExpert confirméC'est pas 5 jours mais 65 jours, relis ton propre post :
On sait tous aujourd'hui que Microsoft à tout fait pour discréditer Tavis Ormandy.
Je serai dans son cas, je crois que je garderai une certaine rancune contre Microsoftle 19/02/2011 à 2:07 -
wokermInactifil ont d'autres chat a fouetter que de s'occuper des problèmes d'autrui , il innove il ont pas le temps de surveiller les autresle 19/02/2011 à 11:03