Patch Tuesday : Microsoft prévoit six bulletins de sécurité
Dont deux sont classés critiques

Le , par Stéphane le calme, Chroniqueur Actualités
Pour son patch Tuesday de mardi 8 juillet, Microsoft annonce qu’il livrera six bulletins de sécurité parmi lesquels deux sont considérés comme étant critiques. Les deux premiers bulletins, classés dans la catégorie critique, concernent toutes les versions d’Internet Explorer, de la 6 à la 11. Ils viendront combler les failles permettant l’exécution du code à distance.

Les trois bulletins suivants, enregistrés comme étant importants, concernent également la famille Windows mentionnée en sus. Les brèches qui seront colmatées permettent de laisser s’échapper des données en permettant potentiellement une élévation des privilèges.

Le dernier bulletin, enregistré dans la catégorie modéré, concerne un risque de déni de service dans le Service Bus de Windows utilisé dans Windows Azure. Il s’applique à Windows Server 2003 SP2/2008 et 2008 RT et Windows Server 2012.


Source : blog Microsoft


Vous avez aimé cette actualité ? Alors partagez-la avec vos amis en cliquant sur les boutons ci-dessous :


 Poster une réponse Signaler un problème

Avatar de Stéphane le calme Stéphane le calme - Chroniqueur Actualités https://www.developpez.com
le 08/11/2014 à 22:51
Patch Tuesday : Microsoft prévoit 16 bulletins de sécurité
dont cinq sont jugés critiques

Comme à l’accoutumée, le second mardi de tous les mois, Microsoft publiera une série de correctif durant son « Patch Tuesday ». Aussi, Microsoft a déjà communiqué son bulletin de sécurité : au total 16 patchs viendront combler des failles dans différentes versions du système d’exploitation maison de Redmond, Internet Explorer, Office, Exchange, .NET Framework, IIS (Internet Information Services), RDP (Remote Desktop Protocol), ADFS (Active Directory Federation Services) et Kernel Mode Driver (KMD). Il faut noter que Windows 10 est également concerné puisque Microsoft explique que la Technical Preview fait partie du lot.

Quatre des cinq bugs catégorisés comme étant critiques portent sur l’exécution de code à distance. Le dernier est décrit comme permettant à une personne non autorisée d’administrer une machine vulnérable. Les autres failles permettent d’outrepasser les niveaux de privilège.

Microsoft publiera également une nouvelle version de Windows Malicious Software Removal Tool sur Windows Update ainsi que d’autres mises à jour qui ne concerne pas directement la sécurité

Si nous nous référons aux différents correctifs qui ont été distribués par Microsoft au courant de l’année, il s’agit d’un nombre relativement important de patchs distribués comparé par exemple aux 9 correctifs du mois d’août ou aux 6 du mois de juillet.

Source : Microsoft
Avatar de earhater earhater - Membre confirmé https://www.developpez.com
le 09/11/2014 à 3:05
je n'ai jamais compris l’intérêt de ce genre de news qui est exactement la même tous les mois à part le nombre de correctifs appliqués ... Je remercie quand même l'équipe de dvp.com pour les actualités.
Avatar de coolspot coolspot - Membre confirmé https://www.developpez.com
le 09/11/2014 à 3:09
Moi ce que je n'ai jamais compris c'est l'abolition de cette horeur qu'est le patch tuesday à notre époque ou tout va vite. Parce que la en gros ya des faille critique mais on va attendre 4 jours avant de les publier pour permettre au éventuel hacker de bien exploiter la faille pendant ces 3/4 jours.

Enfin bon la réactivité de Microsoft pour les failles de sécurité ca s'est améliorer mais ca reste encore très médiocre comparé aux solution libre tel que GNU/Linux ou on a eu des correctif dans les heures qui suivent les publication de failles. (et pas quelques jours après)
Avatar de GHetfield GHetfield - Nouveau Candidat au Club https://www.developpez.com
le 09/11/2014 à 10:41
Enfin bon la réactivité de Microsoft pour les failles de sécurité ca s'est améliorer mais ca reste encore très médiocre comparé aux solution libre tel que GNU/Linux ou on a eu des correctif dans les heures qui suivent les publication de failles. (et pas quelques jours après)
La différence est que la plupart des failles corrigées par les patch sont des failles non connue par la majorités du grand public. Donc moins exploitable. Sous GNU/Linux TOUTEs les failles sont publiques vu que le code source est ouvert. Donc oui les patch arrivent vite après découverte/exploit. La question est de savoir combien de failles ont été recouverte/exploitée par des Hacker/NSA sans en informé la communauté et qui sont donc exploitable par de grosses boite genre NSA qui ont les moyens de trouver ces failles et qui se garderont bien de les dévoiler au grand publique.. Il suffit de voir les dernières faille très critique des derniers mois. Il y a des failles dans tous les OS, c'est pas le problèmes. Sauf que dans le libre elle sont publique et il faut compter sur la communauté pour les rendres publiques quand elle en découvre. Vu les failles critique des dernier moi et encore la récente faille dans Drupal exploitable automatiquement je trouve pas que le libre s'en sort mieux que Microsoft du point de vue sécurité. Mais quand c'est gratuit il ne faut pas trop en demander c'est vrai. (ou il faut les moyens de le faire sois même mais c'est pas ce que cherche les plupart des entreprises)
Avatar de Neckara Neckara - Expert éminent sénior https://www.developpez.com
le 09/11/2014 à 12:15
Bonjour,

Citation Envoyé par GHetfield Voir le message
Sous GNU/Linux TOUTEs les failles sont publiques vu que le code source est ouvert.
[...]
Sauf que dans le libre elle sont publique et il faut compter sur la communauté pour les rendres publiques quand elle en découvre.
Ceci est faux, faux et archi-faux.
La sécurité par l'obscurantisme n'a jamais été une bonne sécurité.
On peut ainsi se retrouver avec des failles qui ne sont pas corrigée ou corrigée très tardivement car on pense alors que personne d'autre ne la trouvera.
Et rien n'est fait jusqu'à ce que l'auteur de la faille décide de la "rendre publique".

De plus, s'il faut "compter sur la communauté pour les rendre publiques", c'est que de base, elles ne le sont pas. Il faudrait donc te décider.
Sans compter qu'il me semble que les failles sont rendues publique après que la faille ai été corrigée afin que tous puissent appliquer les mesures qui s'imposent.

Mais quand c'est gratuit il ne faut pas trop en demander c'est vrai.
Libre != gratuit.
gratuit != piètre qualité.
Avatar de GHetfield GHetfield - Nouveau Candidat au Club https://www.developpez.com
le 09/11/2014 à 12:30
La sécurité par l'obscurantisme (ici du code source) n'a jamais été une bonne sécurité (et cela ne fait pas débat dans la profession).
oui j'irai dire ça a mon banquier demain quand j'irai lui demander les plans de la banque et des info sur leur système de sécurité Et j'en profiterai pour lui demander le code Source de leur sute HomeBank car c'est plus secure de leur part de me le donner.

Libre != gratuit.
C'est vrai mais la plupart des gens l'utilise soit parce que c'est gratuit soit par philosophie (anti-Microsoft). Ceux qui l'utilise pour des raisons bien objectives doivent mettre de tres gros moyen pour que cela soit secure et productif. Ce qui fait que ca devient tres/trop cher voir les recents echecs du libres.

Et Drupal est bien gratuit et c'est ca qui fait son success.

En plus c'est quoi l'alternative libre d' ActiveDirectory ?? Imaginer un AD OpenSource. Qui voudrait que sont système de sécurité sois OpenSource ? AUtant mettre le systeme des distributeur de billets OpenSource. Plus personne ne ferai confiance au banque.
Avatar de GHetfield GHetfield - Nouveau Candidat au Club https://www.developpez.com
le 09/11/2014 à 12:34
On peut ainsi se retrouver avec des failles qui ne sont pas corrigée ou corrigée très tardivement car on pense alors que personne d'autre ne la trouvera.
Ou faire confiance a la communauté et après se retrouvéer avec un OpenSSL et Bash vulnerable depuis pres de 10 ans. Mais en 10 ans personne d'autre n'a trouvé cette faille je parie
Avatar de Neckara Neckara - Expert éminent sénior https://www.developpez.com
le 09/11/2014 à 12:47
Citation Envoyé par GHetfield Voir le message
oui j'irai dire ça a mon banquier demain quand j'irai lui demander les plans de la banque et des info sur leur système de sécurité Et j'en profiterai pour lui demander le code Source de leur sute HomeBank car c'est plus secure de leur part de me le donner.
C'est bien de troller sans même n'avoir qu'un soupçon de connaissances dans le domaine dans lequel tu débats .
Prends les algorithmes de (dé)chiffrements, de hashage et dit moi combien d'entre eux ont un algorithme "secret".

Ceux qui l'utilise pour des raisons bien objectives doivent mettre de tres gros moyen pour que cela soit secure et productif. Ce qui fait que ca devient tres/trop cher voir les recents echecs du libres.
Trop cher pour qui?
De quels échecs du libre nous parles-tu?

En plus c'est quoi l'alternative libre d' ActiveDirectory ?? Imaginer un AD OpenSource. Qui voudrait que sont système de sécurité sois OpenSource ? AUtant mettre le systeme des distributeur de billets OpenSource. Plus personne ne ferai confiance au banque.
Tu ne connais rien à la sécurité.
Tu crois que c'est parce qu'un système est "secret" qu'il est sûr ? Que parce que le code est "secret" qu'on ne peut pas y accéder ?
Que le fait de cacher ton code source permet de supprimer toutes les failles ?

Citation Envoyé par GHetfield Voir le message
Ou faire confiance a la communauté et après se retrouvéer avec un OpenSSL et Bash vulnerable depuis pres de 10 ans. Mais en 10 ans personne d'autre n'a trouvé cette faille je parie
Parce que si ce n'était pas open source, certaines failles ne pourraient pas avoir plus de 10 ans d'âges et que personne n'aurait pu les découvrir et les garder pour soit ??
Et ceci empêcherait aussi l'apparition de backdoors ?

Bon, je ne suis pas non plus naïf, je sais parfaitement que tu adores troller pour le plaisir de troller .
Avatar de GHetfield GHetfield - Nouveau Candidat au Club https://www.developpez.com
le 09/11/2014 à 12:52
Prends les algorithmes de (dé)chiffrements, de hashage et dit moi combien d'entre eux ont un algorithme "secret".
Donc si je suis ta logique si ActiveDirectory et les soft dans les distributeur de billet / lecteur de carte serai OpenSource il serait plus secure.

C'est quoi encore l'Alternative OpenSource a ActiveDirectory ?

Trop cher pour qui?
De quels échecs du libre nous parles-tu?
Munich, PSA,.. pour eux l'OpenSource etait trop cher pour avoir les meme fonction et la meme securité que MS. J'ai poster l'interview en Allemand qui disait que le libre etait beaucoup trop cher.
Avatar de GHetfield GHetfield - Nouveau Candidat au Club https://www.developpez.com
le 09/11/2014 à 12:58
Bon, je ne suis pas non plus naïf, je sais parfaitement que tu adores troller pour le plaisir de troller
Vous etes tellement certain de vous et arrogant (malgré toutes les dernières failles qui vous donne tort) que de temps en temps je n'arrive pas a me retenir
Contacter le responsable de la rubrique Accueil