Discussion :

[CervoiseMD]

Microsoft publie le Patch Tuesday du mois de janvier, qui corrige huit failles

Le Patch Tuesday survient le deuxième mardi de chaque mois ; Microsoft publie des correctifs de sécurité à destination de ses clients. Les bulletins sont qualifiés Faible, Moyen, Important ou Critique.

Le premier Patch Tuesday de 2012 comporte sept bulletins qui corrigent huit vulnérabilités. Un seul est jugé critique, les six autres importants. Toutes les versions des systèmes d'exploitation de la firme de Redmond sont concernées ainsi que Microsoft Developper Tolls and Software.

Les différentes failles permettent l'exécution de code arbitraire à distance, le contournement de fonctionnalités de sécurité, l'élévation de privilèges et la divulgation d’informations.

Lors du mois de décembre Microsoft a dérogé à la règle en publiant un bulletin de sécurité fin décembre : le MS11-100. Ce patch, qualifié de critique par l'éditeur, corrige quatre vulnérabilités dans Microsoft .NET qui permettaient :

• l'élévation de privilèges à distance ;

• un déni de service ;

• une redirection de l'utilisateur vers un site arbitraire.

Ce bulletin fait suite à la présentation lors de la 28e conférence du Chaos Communication Congress, d'une attaque nommée HashDOS qui permet via l'envoi de requêtes très longues, de provoquer un déni de service sur un site web. Il s'agit d'un défaut de conception présent dans la plupart des langages Web (PHP, Ruby, ASP.NET, Python, Java, etc.).

Autre actualité, plus récente, les mises à jour des Windows Phone seront désormais poussées au bon vouloir des opérateurs. Cette annonce faite sur le blog de Windows Phone a immédiatement entrainé de nombreuses critiques de la communauté. Celle-ci craint de se retrouver avec un parc très fragmenté et peu mis à jour comme l'est actuellement le parc d'Android, l'OS mobile de Google.

Dernière nouveauté, les produits suivants ne seront plus supportés à partir du 10 janvier 2012 :

• SQL Server 2005 Service Pack 3 ;

• Dynamics AX 3.0 ;

• Host Integration Server 2000 ;

• Content Management Server 2001.

Les prochains Patch Tuesday ne corrigeront donc plus d'éventuelles vulnérabilités affectant ces produits.

Références CVE
CVE-2011-3389, CVE-2012-0001, CVE-2012-0003, CVE-2012-0004, CVE-2012-0005, CVE-2012-0007, CVE-2012-0009 et CVE-2012-0013

Références
Patch du mois de novembre
Patch du mois de décembre
Patch MS11-100
Présentation faite lors de la 28e conférence du Chaos Communication Congress

Sources
Bulletin Microsoft MS11-100
Bulletin Microsoft du mois de janvier
Nouvelle gestion des mises à jour de Windows Phone
Cycle de vie des produits Microsoft

[GCSX_]

Attention! Concernant les mises à jour Windows Phone, cette information a été démentie par Microsoft et Joe Belfiore sur son Twitter :

ps - on updates, pls don't overreact, our focus is on users first! As greg said "nothing has changed" in how we work w carriers on updates.

Plus précisément : les opérateurs peuvent retarder au maximum une mise à jour mineure à la fois (s'ils n'ont pas eu le temps de la tester par exemple). Mais ils sont obligé de la déployé avec le mise à jour suivante (qu'ils ne seront donc pas autorisés à retarder). C'est comme ça depuis le début et d'après le démenti, rien a changé.

Il s'agit d'un malentendu suite à une phrase mal écrite.

[AppMaestro]

C'est quand même dingue qu'après toutes ces années à patcher il y a toujours des failles critiques qui permettent de prendre le contrôle du système à distance

[sevyc64]

Ben oui, un os ou un logiciel avec zéro faille, ça n'existe pas et ça n'existera jamais, même après plusieurs patchs. Et ceux qui te disent le contraire te mentent.