Vous êtes nouveau sur Developpez.com ? Créez votre compte ou connectez-vous afin de pouvoir participer !

Vous devez avoir un compte Developpez.com et être connecté pour pouvoir participer aux discussions.

Vous n'avez pas encore de compte Developpez.com ? Créez-en un en quelques instants, c'est entièrement gratuit !

Si vous disposez déjà d'un compte et qu'il est bien activé, connectez-vous à l'aide du formulaire ci-dessous.

Identifiez-vous
Identifiant
Mot de passe
Mot de passe oublié ?
Créer un compte

L'inscription est gratuite et ne vous prendra que quelques instants !

Je m'inscris !

Microsoft publie un correctif d'urgence pour Windows Server
Et recommande son installation immédiate

Le , par Hinault Romaric

21PARTAGES

3  0 
Une semaine seulement après la publication du Patch Tuesday pour le mois de novembre 2014, Microsoft annonce la sortie d’un nouveau correctif de sécurité d’urgence pour son système d’exploitation Windows Server.

Le correctif étiqueté « MS14-068 » doit être appliqué immédiatement. Il permet de corriger un bogue dans le système d’authentification Kerberos de Windows. Un pirate pourrait exploiter cette faille sur Windows Server pour élever ses privilèges au point d’avoir des droits d’administrateur.

En cas d’authentification dans un domaine, le pirate peut ainsi compromettre la sécurité de l’ensemble du réseau du domaine en question, et procéder à l’installation d’applications, à la modification/suppression des données et même à la création de nouveaux comptes.

Microsoft affirme qu’il a reçu des rapports sur des attaques « limitées et ciblées » qui exploitent cette faille.

La faille touche Windows Server 2003, 2008, 2012, 2012 R2, mais aussi la nouvelle préversion de Windows Server. Elle affecte également les versions desktop de Windows (de Windows Vista à Windows 8.1). Mais, pour ces dernières, Microsoft n’a noté aucun indice de gravité. Un correctif devrait être néanmoins disponible probablement avec le prochain Patch Tuesday.

La mise à jour sera disponible via Windows Update.

Il faut noter que pour le mois de novembre, Microsoft a publié un Patch Tuesday survitaminé, contenant 14 mises à jour de sécurité pour corriger près de 33 failles dans Windows, Internet Explorer et Office. Parmi ces failles s'en trouvait une vieille de 19 ans et présente dans toutes les versions de Windows, depuis Windows 95. Cette faille permettait de prendre le contrôle d’un ordinateur en navigant avec Internet Explorer.

Source : Microsoft

Une erreur dans cette actualité ? Signalez-le nous !

Avatar de tpericard
Membre averti https://www.developpez.com
Le 15/12/2014 à 23:28

PS: ceci n'est pas un troll: avec une base unifiée, imaginez que certains patchs seront appliqués sur des architectures/profils totalement différent. Il sera donc encore plus difficile d'évaluer et tester toutes ces combinaisons...

donc c'est la porte ouverte aux livraisons directes en production sans tests ?

Non, c'est une remarque inacceptable d'un point de vue qualité. Microsoft doit se donner les moyens de tester toutes ses modifications dès lors qu'elles s'adressent à des millions d'utilisateurs. Comme toute application livrée à un large panel d'utilisateurs d'ailleurs.

Laisser ainsi tout un pan d'utilisateurs dans la (censurée) n'est pas digne d'une société comme celle-ci
2  0 
Avatar de imikado
Rédacteur https://www.developpez.com
Le 19/11/2014 à 12:16
Deux choses:
Microsoft affirme qu’il a reçu des rapports sur des attaques « limitées et ciblées » qui exploitent cette faille.
Comment sont ils avertis de l'exploitation d'une faille ?

La faille touche Windows Server 2003, 2008, 2012, 2012 R2, mais aussi la nouvelle préversion de Windows Server. Elle affecte également les versions desktop de Windows (de Windows Vista à Windows 8.1). Mais, pour ces dernières, Microsoft n’a noté aucun indice de gravité. Un correctif devrait être néanmoins disponible probablement avec le prochain Patch Tuesday.
D'un coté c'est très grave, urgent à corriger, de l'autre il faut attendre mardi prochain pour avoir une correction
1  0 
Avatar de JayGr
Membre actif https://www.developpez.com
Le 19/11/2014 à 14:39
Citation Envoyé par Hinault Romaric Voir le message
Microsoft publie un correctif d’urgence pour Windows Server
et recommande une installation immédiate

Une semaine seulement après la publication du Patch Tuesday pour le mois de novembre 2014, Microsoft annonce la sortie d’un nouveau correctif de sécurité d’urgence pour son système d’exploitation Windows Server.

Le correctif étiqueté « MS14-068 » doit être appliqué immédiatement. Il permet de corriger un bogue dans le système d’authentification Kerberos de Windows. Un pirate pourrait exploiter cette faille sur Windows Server pour élever ses privilèges au point d’avoir des droits d’administrateur.

En cas d’authentification dans un domaine, le pirate peut ainsi compromettre la sécurité de l’ensemble du réseau du domaine en question, et procéder à l’installation d’applications, à la modification/suppression des données et même à la création de nouveaux comptes.

Microsoft affirme qu’il a reçu des rapports sur des attaques « limitées et ciblées » qui exploitent cette faille.

La faille touche Windows Server 2003, 2008, 2012, 2012 R2, mais aussi la nouvelle préversion de Windows Server. Elle affecte également les versions desktop de Windows (de Windows Vista à Windows 8.1). Mais, pour ces dernières, Microsoft n’a noté aucun indice de gravité. Un correctif devrait être néanmoins disponible probablement avec le prochain Patch Tuesday.

La mise à jour sera disponible via Windows Update.

Il faut noter que pour le mois de novembre, Microsoft a publié un Patch Tuesday survitaminé, contenant 14 mises à jour de sécurité pour corriger près de 33 failles dans Windows, Internet Explorer et Office. Parmi ces failles s'en trouvait une vieille de 19 ans et présente dans toutes les versions de Windows, depuis Windows 95. Cette faille permettait de prendre le contrôle d’un ordinateur en navigant avec Internet Explorer.

Source : Microsoft
@Hinault Romaric
Bon c'est sûr que c'est plus clair que mon message qui disait la même chose mais en plus condensé .

@imikado :
Le bogue dans le système d'authentification Kerberos n'est pas facilement exploitable depuis les Windows Desktop si j'ai bien compris. Du coup, il patch plutôt par principe de défense en profondeur.

@+
1  0 
Avatar de LeBressaud
Membre actif https://www.developpez.com
Le 17/12/2014 à 16:56
Citation Envoyé par tpericard Voir le message
donc c'est la porte ouverte aux livraisons directes en production sans tests ?

Non, c'est une remarque inacceptable d'un point de vue qualité. Microsoft doit se donner les moyens de tester toutes ses modifications dès lors qu'elles s'adressent à des millions d'utilisateurs. Comme toute application livrée à un large panel d'utilisateurs d'ailleurs.

Laisser ainsi tout un pan d'utilisateurs dans la (censurée) n'est pas digne d'une société comme celle-ci
Sauf que vu la quantité de périphérique différent et chacun avec ses pilotes dans plusieurs versions (idem avec les logiciels installé) c'est impossible.
1  0 
Avatar de imikado
Rédacteur https://www.developpez.com
Le 19/11/2014 à 15:49
Merci de la précision
0  0 
Avatar de JayGr
Membre actif https://www.developpez.com
Le 19/11/2014 à 15:53
Citation Envoyé par imikado Voir le message
Merci de la précision
Et pour ça :

Microsoft affirme qu’il a reçu des rapports sur des attaques « limitées et ciblées » qui exploitent cette faille.
Je pense qu'un cabinet d'audit a dû faire un peu de forensic et se rendre compte que cette faille a été exploitée... Puis prévenir Microsoft.
Pour le coup je ne vois pas comment il pourrait savoir autrement.

@+
0  0 
Avatar de imikado
Rédacteur https://www.developpez.com
Le 19/11/2014 à 16:22
1. c'est quoi forensic ?
2. les cabinets d'audit communiquent sur les failles exploitées aux éditeurs ?
0  0 
Avatar de JayGr
Membre actif https://www.developpez.com
Le 19/11/2014 à 16:48
Citation Envoyé par imikado Voir le message
1. c'est quoi forensic ?
2. les cabinets d'audit communiquent sur les failles exploitées aux éditeurs ?
1 - Le forensic c'est de l'investigation effectué par des pentesteurs dans le cadre d'audit de vuln ou d'audit sécu. Pas facile à définir, enfin je trouve pas les bons mots. Mais tu peux mieux comprendre en regardant le contenu d'une formation forensic ici. D'ailleurs c'est un très bon organisme pour la formation en sécu' !
2- C'est une théorie ce que j'ai écris au dessus. Mais pourquoi est-ce qu'il ne communiquerais pas les failles ?
Cabinets d'audits et éditeurs travaillent ensemble.

Tiens regardes...

Microsoft credited Qualcomm's information security and risk management team for reporting the vulnerability, and called out Qualcomm cyber security engineer Tom Maddock in particular for his help.
Source : http://www.computerworld.com/
0  0 
Avatar de imikado
Rédacteur https://www.developpez.com
Le 19/11/2014 à 16:52
Ok, merci de l'info
0  0 
Avatar de imikado
Rédacteur https://www.developpez.com
Le 07/12/2014 à 13:47
Avec l'unification prévu pour W10, on aura également des patch tuesday pour nos tablettes/smartphones et xbox one ?
0  0