Patch Tuesday du mois de janvier

CervoiseMD · 10/01/2012, 20h07

Microsoft publie le Patch Tuesday du mois de janvier, qui corrige huit failles

Le Patch Tuesday survient le deuxième mardi de chaque mois ; Microsoft publie des correctifs de sécurité à destination de ses clients. Les bulletins sont qualifiés Faible, Moyen, Important ou Critique.

Le premier Patch Tuesday de 2012 comporte sept bulletins qui corrigent huit vulnérabilités. Un seul est jugé critique, les six autres importants. Toutes les versions des systèmes d'exploitation de la firme de Redmond sont concernées ainsi que Microsoft Developper Tolls and Software.

Les différentes failles permettent l'exécution de code arbitraire à distance, le contournement de fonctionnalités de sécurité, l'élévation de privilèges et la divulgation d’informations.

Lors du mois de décembre Microsoft a dérogé à la règle en publiant un bulletin de sécurité fin décembre : le MS11-100. Ce patch, qualifié de critique par l'éditeur, corrige quatre vulnérabilités dans Microsoft .NET qui permettaient :

l'élévation de privilèges à distance ;

un déni de service ;

une redirection de l'utilisateur vers un site arbitraire.

Ce bulletin fait suite à la présentation lors de la 28e conférence du Chaos Communication Congress, d'une attaque nommée HashDOS qui permet via l'envoi de requêtes très longues, de provoquer un déni de service sur un site web. Il s'agit d'un défaut de conception présent dans la plupart des langages Web (PHP, Ruby, ASP.NET, Python, Java, etc.).

Autre actualité, plus récente, les mises à jour des Windows Phone seront désormais poussées au bon vouloir des opérateurs. Cette annonce faite sur le blog de Windows Phone a immédiatement entrainé de nombreuses critiques de la communauté. Celle-ci craint de se retrouver avec un parc très fragmenté et peu mis à jour comme l'est actuellement le parc d'Android, l'OS mobile de Google.

Dernière nouveauté, les produits suivants ne seront plus supportés à partir du 10 janvier 2012 :

SQL Server 2005 Service Pack 3 ;

Dynamics AX 3.0 ;

Host Integration Server 2000 ;

Content Management Server 2001.

Les prochains Patch Tuesday ne corrigeront donc plus d'éventuelles vulnérabilités affectant ces produits.

Références CVE
CVE-2011-3389, CVE-2012-0001, CVE-2012-0003, CVE-2012-0004, CVE-2012-0005, CVE-2012-0007, CVE-2012-0009 et CVE-2012-0013

Références

Patch du mois de novembre

Patch du mois de décembre

Patch MS11-100

Présentation faite lors de la 28e conférence du Chaos Communication Congress

Sources

Bulletin Microsoft MS11-100

Bulletin Microsoft du mois de janvier

Nouvelle gestion des mises à jour de Windows Phone

Cycle de vie des produits Microsoft

GCSX_ · 11/01/2012, 11h56

Attention! Concernant les mises à jour Windows Phone, cette information a été démentie par Microsoft via ZDNet et Joe Belfiore sur son Twitter :

Citation:

ps - on updates, pls don't overreact, our focus is on users first! As greg said "nothing has changed" in how we work w carriers on updates.

Plus précisément : les opérateurs peuvent retarder au maximum une mise à jour mineure à la fois (s'ils n'ont pas eu le temps de la tester par exemple). Mais ils sont obligé de la déployé avec le mise à jour suivante (qu'ils ne seront donc pas autorisés à retarder). C'est comme ça depuis le début et d'après le démenti, rien a changé.

Il s'agit d'un malentendu suite à une phrase mal écrite.

AppMaestro · 11/01/2012, 18h17

C'est quand même dingue qu'après toutes ces années à patcher il y a toujours des failles critiques qui permettent de prendre le contrôle du système à distance

sevyc64 · 12/01/2012, 18h49

Ben oui, un os ou un logiciel avec zéro faille, ça n'existe pas et ça n'existera jamais, même après plusieurs patchs. Et ceux qui te disent le contraire te mentent.

10/01/2012, 20h07	#1
CervoiseMD Membre éclairé Antoine Cervoise Inscription : décembre 2009 Messages : 27 Détails du profil Informations personnelles : Nom : Antoine Cervoise Localisation : France Informations forums : Inscription : décembre 2009 Messages : 27 Points : 311 Points : 311	Patch Tuesday du mois de janvier Microsoft publie le Patch Tuesday du mois de janvier, qui corrige huit failles Le Patch Tuesday survient le deuxième mardi de chaque mois ; Microsoft publie des correctifs de sécurité à destination de ses clients. Les bulletins sont qualifiés Faible, Moyen, Important ou Critique. Le premier Patch Tuesday de 2012 comporte sept bulletins qui corrigent huit vulnérabilités. Un seul est jugé critique, les six autres importants. Toutes les versions des systèmes d'exploitation de la firme de Redmond sont concernées ainsi que Microsoft Developper Tolls and Software. Les différentes failles permettent l'exécution de code arbitraire à distance, le contournement de fonctionnalités de sécurité, l'élévation de privilèges et la divulgation d’informations. Lors du mois de décembre Microsoft a dérogé à la règle en publiant un bulletin de sécurité fin décembre : le MS11-100. Ce patch, qualifié de critique par l'éditeur, corrige quatre vulnérabilités dans Microsoft .NET qui permettaient : l'élévation de privilèges à distance ; un déni de service ; une redirection de l'utilisateur vers un site arbitraire. Ce bulletin fait suite à la présentation lors de la 28e conférence du Chaos Communication Congress, d'une attaque nommée HashDOS qui permet via l'envoi de requêtes très longues, de provoquer un déni de service sur un site web. Il s'agit d'un défaut de conception présent dans la plupart des langages Web (PHP, Ruby, ASP.NET, Python, Java, etc.). Autre actualité, plus récente, les mises à jour des Windows Phone seront désormais poussées au bon vouloir des opérateurs. Cette annonce faite sur le blog de Windows Phone a immédiatement entrainé de nombreuses critiques de la communauté. Celle-ci craint de se retrouver avec un parc très fragmenté et peu mis à jour comme l'est actuellement le parc d'Android, l'OS mobile de Google. Dernière nouveauté, les produits suivants ne seront plus supportés à partir du 10 janvier 2012 : SQL Server 2005 Service Pack 3 ; Dynamics AX 3.0 ; Host Integration Server 2000 ; Content Management Server 2001. Les prochains Patch Tuesday ne corrigeront donc plus d'éventuelles vulnérabilités affectant ces produits. Références CVE CVE-2011-3389, CVE-2012-0001, CVE-2012-0003, CVE-2012-0004, CVE-2012-0005, CVE-2012-0007, CVE-2012-0009 et CVE-2012-0013 Références Patch du mois de novembre Patch du mois de décembre Patch MS11-100 Présentation faite lors de la 28e conférence du Chaos Communication Congress Sources Bulletin Microsoft MS11-100 Bulletin Microsoft du mois de janvier Nouvelle gestion des mises à jour de Windows Phone Cycle de vie des produits Microsoft
	10

12/01/2012, 18h49	#4
sevyc64 Modérateur Yves Développeur informatique Inscription : janvier 2007 Messages : 3 882 Détails du profil Informations personnelles : Nom : Yves Âge : 39 Localisation : France, Pyrénées Atlantiques (Aquitaine) Informations professionnelles : Activité : Développeur informatique Informations forums : Inscription : janvier 2007 Messages : 3 882 Points : 7 667 Points : 7 667	Ben oui, un os ou un logiciel avec zéro faille, ça n'existe pas et ça n'existera jamais, même après plusieurs patchs. Et ceux qui te disent le contraire te mentent. __________________ Sevyc64 --- Le partage est notre force NON AU LANGAGE SMS & FAUTES VOLONTAIRES SUR LES FORUMS
	10

11/01/2012, 18h17	#3
AppMaestro Nouveau Membre du Club Développeur informatique Inscription : janvier 2012 Messages : 10 Détails du profil Informations personnelles : Sexe : Âge : 34 Localisation : France Informations professionnelles : Activité : Développeur informatique Secteur : High Tech - Éditeur de logiciels Informations forums : Inscription : janvier 2012 Messages : 10 Points : 39 Points : 39	C'est quand même dingue qu'après toutes ces années à patcher il y a toujours des failles critiques qui permettent de prendre le contrôle du système à distance
	00

Outils de la discussion
Afficher une version imprimable Envoyer un lien vers cette page par email