Une vulnérabilité critique affectant Windows Server 2003 ne sera pas corrigée
Le patch nécessite de ré-architecturer l'OS

Le , par Michael Guilloux

43PARTAGES

6  0 
Pour le Patch Tuesday du mois de Février, Microsoft a livré 9 mises à jour de sécurité. Trois d'entre elles, notées critiques, permettent de corriger des failles exploitables par les attaquants pour exécuter des codes distants.

L'une des mises à jour critiques, MS15-010, permet de corriger des vulnérabilités dans un composant Windows de niveau noyau qui gère les polices TrueType. Elle permet de corriger 5 failles qui ont été signalées en privé à Microsoft et une autre, dans Windows 7 et les versions 8.x, qui a été publiquement signalée.

Une autre mise à jour publiée, MS15-009, permet de corriger plusieurs vulnérabilités dans Internet Explorer. Microsoft affirme qu'elle vient corriger une faille signalée publiquement dans IE et 40 autres vulnérabilités signalées en privé.

La troisième mise à jour de sécurité notée critique, MS15-011, s’attaque à une vulnérabilité dans la stratégie de groupe qui pourrait permettre l'exécution de code à distance. Cette faille a été découverte, il y a plus d'un an par JAS Advisors, lorsque l'ICANN lui a fait appel pour vérifier la sécurité de ses systèmes pour la création de nouveaux domaines génériques de premier niveau.

La faille peut affecter toutes les éditions prises en charge de Windows Server 2003, Windows Vista, Windows Server 2008, Windows 7, Windows Server 2008 R2, Windows 8, Windows Server 2012, Windows RT, Windows 8.1, Windows Server 2012 R2 et Windows RT 8.1.

Selon Microsoft, un attaquant qui parviendrait à exploiter cette vulnérabilité pourrait prendre le contrôle intégral d'un système affecté. Il pourrait alors installer des programmes, afficher, modifier ou supprimer des données, ou créer de nouveaux comptes dotés de tous les privilèges.

Après avoir été signalée confidentiellement à Microsoft par le chercheur qui a découvert le bug, la firme de Redmond a travaillé avec JAS pendant un an pour corriger la vulnérabilité.

Notons que la particularité de cette vulnérabilité est qu'elle se présente comme un défaut dans la conception fondamentale de Windows, plutôt qu'un problème de mise en œuvre.

Le temps passé à développer la solution n'a donc pas permis de livrer un correctif pour Windows Server 2003. « Le correctif imposait à Microsoft de repenser les composants de base du système d'exploitation et d'ajouter plusieurs nouvelles fonctionnalités ». A écrit JAS sur son blog.

D'après Microsoft, « l'architecture pour prendre en charge convenablement le correctif fourni dans la mise à jour n'existe pas sur les systèmes Windows Server 2003, ce qui rend impossible de construire le correctif pour Windows Server 2003. Pour ce faire, il faudrait ré-architecturer une quantité très importante de composants du système d'exploitation Windows Server 2003, et pas seulement le composant concerné. Le produit d'un tel effort de ré-architecture serait suffisamment incompatible avec Windows Server 2003 de sorte qu'il n'y aurait aucune garantie que les applications conçues pour fonctionner sur Windows Server 2003 continueraient à fonctionner sur le système mis à jour. » On pourrait alors s'attendre à la fin de Windows Server 2003 d'un moment à l'autre.

Pour ce qui est des autres mises à jour, certaines couvrent un sous-ensemble de produits Microsoft avec deux correctifs de sécurité pour Office. Les autres sont des correctifs pour la stratégie de groupe, vraisemblablement en complément de la mise à jour MS15-011; un patch pour Flash, et des correctifs pour Virtual Machine Manager et le système graphique.

Sources : JAS Advisors, Security TechCenter

Et vous ?

Qu’en pensez-vous ?

Les jours de Windows Server 2003 sont-ils comptés ?

Une erreur dans cette actualité ? Signalez-le nous !

Avatar de imikado
Rédacteur https://www.developpez.com
Le 11/02/2015 à 17:22
Citation Envoyé par Michael Guilloux Voir le message

La troisième mise à jour de sécurité notée critique, MS15-011, s’attaque à une vulnérabilité dans la stratégie de groupe qui pourrait permettre l'exécution de code à distance. Cette faille a été découverte, il y a plus d'un an par JAS Advisors, lorsque l'ICANN lui a fait appel pour vérifier la sécurité de ses systèmes pour la création de nouveaux domaines génériques de premier niveau.
On reparle des 90 jours de Google ?
Avatar de Sylvaner
Membre éclairé https://www.developpez.com
Le 11/02/2015 à 17:57
Donc en gros, y a une grosse faille, on peut pas la corriger, mais on ne peut même essayer de se protéger "plus" car on ne sait pas comment elle fonctionne ?
Avatar de dfiad77pro
Membre éprouvé https://www.developpez.com
Le 11/02/2015 à 20:42
Oui les jours de Windows server 2003 sont comptés 12 ans c'est déjà énorme pour un OS.

Dans mon entreprise on a 60% de serveur sous Linux (red hat) et le reste sous Windows server 2008R2, la migration s'est faite sans soucis majeur.
Honnêtement on hésite pas à mettre à jours Red Hat (payant aussi ), je ne voit pas pourquoi on fait tout un foin pour un système qui a 12 ans , il y a un moment faut pas tout attendre de Microsoft...

vous vous voyez développer une seule version d'une application pendant 12 ans sans aucun changement cassant la compatibilité ?
Avatar de Franck.H
Rédacteur https://www.developpez.com
Le 12/02/2015 à 10:23
Ça c'est simplement pour que tous ceux qui utilisent ce système achètent le nouveau, selon moi c'est purement commercial et basta, c'est typiquement Microsoftient ce genre de chose
Avatar de SurferIX
Membre chevronné https://www.developpez.com
Le 23/02/2015 à 11:48
Citation Envoyé par dfiad77pro Voir le message
...Vous vous voyez développer une seule version d'une application pendant 12 ans sans aucun changement cassant la compatibilité ?
C'est forcément quelqu'un qui n'a jamais géré une entreprise qui parle...
Contacter le responsable de la rubrique Accueil

Partenaire : Hébergement Web