Sécurité : mises à jour de Windows Phone au bon vouloir des opérateurs
Et publication du Patch Tuesday de janvier pour Windows

Le , par CervoiseMD, Membre éprouvé
Microsoft publie le Patch Tuesday du mois de janvier, qui corrige huit failles

Le Patch Tuesday survient le deuxième mardi de chaque mois ; Microsoft publie des correctifs de sécurité à destination de ses clients. Les bulletins sont qualifiés Faible, Moyen, Important ou Critique.

Le premier Patch Tuesday de 2012 comporte sept bulletins qui corrigent huit vulnérabilités. Un seul est jugé critique, les six autres importants. Toutes les versions des systèmes d'exploitation de la firme de Redmond sont concernées ainsi que Microsoft Developper Tolls and Software.

Les différentes failles permettent l'exécution de code arbitraire à distance, le contournement de fonctionnalités de sécurité, l'élévation de privilèges et la divulgation d’informations.

Lors du mois de décembre Microsoft a dérogé à la règle en publiant un bulletin de sécurité fin décembre : le MS11-100. Ce patch, qualifié de critique par l'éditeur, corrige quatre vulnérabilités dans Microsoft .NET qui permettaient :

  • l'élévation de privilèges à distance ;

  • un déni de service ;

  • une redirection de l'utilisateur vers un site arbitraire.


Ce bulletin fait suite à la présentation lors de la 28e conférence du Chaos Communication Congress, d'une attaque nommée HashDOS qui permet via l'envoi de requêtes très longues, de provoquer un déni de service sur un site web. Il s'agit d'un défaut de conception présent dans la plupart des langages Web (PHP, Ruby, ASP.NET, Python, Java, etc.).

Autre actualité, plus récente, les mises à jour des Windows Phone seront désormais poussées au bon vouloir des opérateurs. Cette annonce faite sur le blog de Windows Phone a immédiatement entrainé de nombreuses critiques de la communauté. Celle-ci craint de se retrouver avec un parc très fragmenté et peu mis à jour comme l'est actuellement le parc d'Android, l'OS mobile de Google.

Dernière nouveauté, les produits suivants ne seront plus supportés à partir du 10 janvier 2012 :
  • SQL Server 2005 Service Pack 3 ;

  • Dynamics AX 3.0 ;

  • Host Integration Server 2000 ;

  • Content Management Server 2001.


Les prochains Patch Tuesday ne corrigeront donc plus d'éventuelles vulnérabilités affectant ces produits.

Références CVE
CVE-2011-3389, CVE-2012-0001, CVE-2012-0003, CVE-2012-0004, CVE-2012-0005, CVE-2012-0007, CVE-2012-0009 et CVE-2012-0013

Références
Patch du mois de novembre
Patch du mois de décembre
Patch MS11-100
Présentation faite lors de la 28e conférence du Chaos Communication Congress

Sources
Bulletin Microsoft MS11-100
Bulletin Microsoft du mois de janvier
Nouvelle gestion des mises à jour de Windows Phone
Cycle de vie des produits Microsoft


Vous avez aimé cette actualité ? Alors partagez-la avec vos amis en cliquant sur les boutons ci-dessous :


 Poster une réponse

Avatar de GCSX_ GCSX_ - Membre confirmé https://www.developpez.com
le 11/01/2012 à 11:56
Attention! Concernant les mises à jour Windows Phone, cette information a été démentie par Microsoft et Joe Belfiore sur son Twitter :
ps - on updates, pls don't overreact, our focus is on users first! As greg said "nothing has changed" in how we work w carriers on updates.

Plus précisément : les opérateurs peuvent retarder au maximum une mise à jour mineure à la fois (s'ils n'ont pas eu le temps de la tester par exemple). Mais ils sont obligé de la déployé avec le mise à jour suivante (qu'ils ne seront donc pas autorisés à retarder). C'est comme ça depuis le début et d'après le démenti, rien a changé.

Il s'agit d'un malentendu suite à une phrase mal écrite.
Avatar de AppMaestro AppMaestro - Membre régulier https://www.developpez.com
le 11/01/2012 à 18:17
C'est quand même dingue qu'après toutes ces années à patcher il y a toujours des failles critiques qui permettent de prendre le contrôle du système à distance
Avatar de sevyc64 sevyc64 - Modérateur https://www.developpez.com
le 12/01/2012 à 18:49
Ben oui, un os ou un logiciel avec zéro faille, ça n'existe pas et ça n'existera jamais, même après plusieurs patchs. Et ceux qui te disent le contraire te mentent.
Offres d'emploi IT
Stagiaire Développement
I&E - Ile de France - Paris
Chef de projet JAVA / JEE orienté Finance H/F
Talan - Ile de France - Paris (75008)
Développeur PHP Symfony
Silkhom - Rhône Alpes - Lyon

Voir plus d'offres Voir la carte des offres IT
Contacter le responsable de la rubrique Accueil