Navigation

Inscrivez-vous gratuitement
pour pouvoir participer, suivre les réponses en temps réel, voter pour les messages, poser vos propres questions et recevoir la newsletter

  1. #1
    Responsable .NET

    Avatar de Hinault Romaric
    Homme Profil pro
    Consultant
    Inscrit en
    janvier 2007
    Messages
    4 560
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : Cameroun

    Informations professionnelles :
    Activité : Consultant
    Secteur : High Tech - Éditeur de logiciels

    Informations forums :
    Inscription : janvier 2007
    Messages : 4 560
    Points : 252 020
    Points
    252 020
    Billets dans le blog
    106
    Par défaut Windows : nouvelle vulnérabilité critique ? Non, répond Microsoft
    Une société française spécialisée dans la sécurité critique violemment Microsoft
    Un ingénieur de Google la soutient

    Mise à jour du 18/02/11


    Travis Ormandy semble passer beaucoup de temps à scruter tout ce qui touche à la sécurité de Microsoft.

    L'ingénieur de Google avait suscité la colère des responsables de Microsoft en publiant une preuve de faisabilité (PoC) seulement 5 jours après avoir découvert une faille critique dans Windows (lire par ailleurs)

    Après cette polémique et les critiques contre Ormandy, un groupe anonyme s'était constitué pour laver son honneur... en promettant de s'attaquer à toutes les technologies Microsoft pour en dévoiler les vulnérabilités.

    Autre épisode, après la découverte d'une faille dans le noyau de Windows, Ormandy avait fait reparler de lui en critiquant à nouveau vertement Microsoft. Et ce alors que la faille était qualifiée de « mineure ».

    Google a toujours affirmé que les « analyses » des systèmes de Microsoft par son ingénieur étaient faites sur son temps libre. Et que toutes ces polémiques n'avaient rien à voir avec l'arrivée de Chrome OS, que Google présente par ailleurs comme un système d'exploitation particulièrement sécurisé.

    Quoiqu'il en soit, depuis hier, une nouvelle faille de Windows a été dévoilée et un nouveau PoC publié. La société française VUPEN Security, basée à Montpellier, l'avait même qualifiée de « faille critique ».

    Aujourd'hui, Microsoft relativise la situation et affirme que l'exécution distante d'un code ou la prise de contrôle d'une machine n'est pas (ou très difficilement) possible via cette vulnérabilité.

    Son Centre de Sécurité a décidé de lui donner la note de 3 pour sa dangerosité. Autrement dit, Microsoft ne prévoit pas d'exploit avant 30 jours. Cette faille ne serait donc pas « critique » et permettrait tout au plus un Déni de Service.

    Face à cette annonce, Vupen a réagi violemment sur son Twitter : « Après avoir patché des failles en silence, Microsoft appelle ''Déni de Service'' les failles difficiles à exploiter ! Et après [ce sera quoi] ? ».

    Travis Ormandy dans tout cela ?

    L'ingénieur de Google de Moutain View a immédiatement soutenu la société Montpelliéraine.

    Et une fois de plus, il ne mâche pas ses mots : « Ils font ça depuis toujours. Leur centre de sécurité fait des Relations Presse, ils n'améliorent pas la sécurité ».

    Avec son analyse de la faille, Microsoft ne devrait, de son coté, pas sortir de correctif en urgence.


    Sources : MSRD, Tweet de Vupen, et de Travis Ormandy

    MAJ de Gordon Fowler



    Windows : nouvelle vulnérabilité critique
    Dans Windows Server 2003 et Windows XP, une preuve de faisabilité a été publiée

    Un chercheur vient de révéler une faille de sécurité affectant les anciennes versions de Windows. Elle pourrait être exploitée par un pirate pour prendre le contrôle complet des machines touchées.

    La vulnérabilité est causée par un débordement dans la fonction « BowserWriteerrorLofEntry() » du pilote mrxsmn.sys utilisé par les anciennes versions de Windows pour les communications en réseau . Selon la société française de sécurité Vuipen la faille, pourrait être exploitée pour des attaques par déni de service

    Cupidon-3005, le chercheur ayant découvert la vulnérabilité, a déjà publié une preuve de faisabilité (PoC).

    Microsoft, informé de cette situation, a annoncé que les études de la faille sont en cours pour fournir un correctif le plus tôt possible.

    Vupen a qualifié cette vulnérabilité de critique. Les systèmes touchés sont Windows Server 2003 SP2 et Windows XP SP3.



    Source : Vupen
    Vous souhaitez participer aux rubriques .NET ? Contactez-moi

    Si déboguer est l’art de corriger les bugs, alors programmer est l’art d’en faire
    Mon blog, Mes articles, Me suivre sur Twitter
    En posant correctement votre problème, on trouve la moitié de la solution

  2. #2
    Inactif
    Homme Profil pro
    Auditeur informatique
    Inscrit en
    décembre 2009
    Messages
    335
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 36
    Localisation : Algérie

    Informations professionnelles :
    Activité : Auditeur informatique
    Secteur : Administration - Collectivité locale

    Informations forums :
    Inscription : décembre 2009
    Messages : 335
    Points : 0
    Points
    0
    Par défaut
    Là pour les sociétés qui utilisent encore ces deux technologies, il va falloir pour eux corriger la faille au plus vite

  3. #3
    Membre chevronné Avatar de Sendusha
    Femme Profil pro
    Inscrit en
    juillet 2006
    Messages
    55
    Détails du profil
    Informations personnelles :
    Sexe : Femme

    Informations forums :
    Inscription : juillet 2006
    Messages : 55
    Points : 2 098
    Points
    2 098
    Par défaut
    Citation Envoyé par wokerm Voir le message
    la pour les sociétés qui utilise encore ces deux technologies va falloir pour eux de corriger la faille au plus vite
    Ah, parce que les sociétés disposent du code source des vieux Windows pour corriger la faille eux-même ?

  4. #4
    Expert éminent sénior

    Inscrit en
    juillet 2009
    Messages
    3 407
    Détails du profil
    Informations forums :
    Inscription : juillet 2009
    Messages : 3 407
    Points : 148 400
    Points
    148 400
    Par défaut
    Une société française spécialisée dans la sécurité critique violemment Microsoft
    Un ingénieur de Google la soutient

    Mise à jour du 18/02/11


    Décidément, Travis Ormandy semble passer beaucoup de temps à scruter tout ce qui touche à la sécurité de Microsoft.

    L'ingénieur de Google avait suscité la colère des responsables de Microsoft en publiant une preuve de faisabilité (PoC) seulement 5 jours après avoir découvert une faille critique dans Windows (lire par ailleurs)

    Après cette polémique et les critiques contre Ormandy, un groupe anonyme s'était constitué pour laver son honneur... en promettant de s'attaquer à toutes les technologies Microsoft pour en dévoiler les vulnérabilité.

    Autre épisode, après la découverte d'une faille dans le noyau de Windows, Ormandy avait fait reparler de lui en critiquant à nouveau vertement Microsoft. Et ce alors que la faille était qualifiée de « mineure ».

    Google a toujours affirmé que les « analyses » des systèmes de Microsoft par son ingénieur étaient faites sur son temps libre. Et que toutes ces polémiques n'avaient rien à voir avec l'arrivée de Chrome OS, que Google présente par ailleurs comme un système d'exploitation particulièrement sécurisé.

    Quoiqu'il en soit, depuis hier, une nouvelle faille de Windows a été dévoilée et un nouveau PoC publié. La société française VUPEN Security, basée à Montpellier, l'avait même qualifiée de « faille critique ».

    Aujourd'hui, Microsoft relativise la situation et affirme que l'exécution distante d'un code ou la prise de contrôle d'une machine n'est pas (ou très difficilement) possible via cette vulnérabilité.

    Son Centre de Sécurité a décidé de lui donner la note de 3 pour sa dangerosité. Autrement dit, Microsoft ne prévoit pas d'exploit avant 30 jours. Cette faille ne serait donc pas « critique » et permettrait tout au plus un Déni de Service.

    Face à cette annonce, Vupen a réagi violemment sur son Twitter : « Après avoir patché des failles en silence, Microsoft appelle ''Déni de Service'' les failles difficiles à exploiter ! Et après [ce sera quoi] ? ».

    Travis Ormandy dans tout cela ?

    L'ingénieur de Google de Moutain View a immédiatement soutenu la société Montpelliéraine.

    Et une fois de plus, il ne mâche pas ses mots : « Ils font ça depuis toujours. Leur centre de sécurité fait des Relations Presse, ils n'améliorent pas la sécurité ».

    Avec le peu de machines concernées et son analyse de la faille, Microsoft ne devrait, de son coté, pas sortir de correctif en urgence.


    Sources : MSRD, Tweet de Vupen, et de Travis Ormandy

  5. #5
    Modérateur
    Avatar de sevyc64
    Homme Profil pro
    Développeur informatique
    Inscrit en
    janvier 2007
    Messages
    9 650
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 47
    Localisation : France, Pyrénées Atlantiques (Aquitaine)

    Informations professionnelles :
    Activité : Développeur informatique

    Informations forums :
    Inscription : janvier 2007
    Messages : 9 650
    Points : 25 874
    Points
    25 874
    Par défaut
    Citation Envoyé par Gordon Fowler Voir le message
    Après cette polémique et les critiques contre Ormandy, un groupe anonyme s'était constitué pour laver son honneur... en promettant de s'attaquer à toutes les technologies Microsoft pour en dévoiler les vulnérabilité.
    ...
    Google a toujours affirmé que les « analyses » des systèmes de Microsoft par son ingénieur étaient faites sur son temps libre. Et que toutes ces polémiques n'avaient rien à voir avec l'arrivée de Chrome OS, que Google présente par ailleurs comme un système d'exploitation particulièrement sécurisé.
    MAis bien sur, et on va les croire en plus.

    Pourquoi les employés de Microsoft, sur leur temps libre, bien sur, ne montent-ils pas eux aussi un collectif pour s'attaquer à toutes les technologies de Google ???
    --- Sevyc64 ---

    Parce que le partage est notre force, la connaissance sera notre victoire

  6. #6
    Membre habitué
    Homme Profil pro
    Ingénieur développement logiciels
    Inscrit en
    septembre 2007
    Messages
    143
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 37
    Localisation : France, Seine et Marne (Île de France)

    Informations professionnelles :
    Activité : Ingénieur développement logiciels

    Informations forums :
    Inscription : septembre 2007
    Messages : 143
    Points : 178
    Points
    178
    Par défaut
    Parce que les employés de Microsoft ne dispose pas de deux heures par jour offerte par leur employeur pour mener à bien leurs recherches personnelles

  7. #7
    Inactif
    Homme Profil pro
    Auditeur informatique
    Inscrit en
    décembre 2009
    Messages
    335
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 36
    Localisation : Algérie

    Informations professionnelles :
    Activité : Auditeur informatique
    Secteur : Administration - Collectivité locale

    Informations forums :
    Inscription : décembre 2009
    Messages : 335
    Points : 0
    Points
    0
    Par défaut
    je n'aime pas trop ce genre d'attaque juste pour dénigrer un produit
    mais je dois l'avouer sur ce point la microsoft devrai changer de politique car la sécurité est un enjeux de taille
    leur produits sans de qualité certes mais il néglige trop la sécurité il faut qu'il fournissent le code source de leur produit je pense qu'il l'ont fait mais il doivent aussi changer la licence copyright par exemple ne pas autoriser la redistribution du produit ou le commercialiser mais pouvoir comme même l'optimiser et corriger les faille et en fournir le code optimise a redmond
    je pense qu'au fond google regrette seulement que l'os de microsoft ne soit pas sécuriser
    dommage il font du bon travail mais il peuvent pas a eux seuls fournir des correctif il ont besoin de l'aides des autres firmes mais en contre partie il seront dans l'obligation de fournir le code source d'ailleurs c'est ce que je leur recommande

  8. #8
    Membre averti
    Inscrit en
    avril 2007
    Messages
    143
    Détails du profil
    Informations personnelles :
    Âge : 31

    Informations forums :
    Inscription : avril 2007
    Messages : 143
    Points : 321
    Points
    321
    Par défaut
    Citation Envoyé par wokerm Voir le message
    je n'aime pas trop ce genre d'attaque juste pour dénigrer un produit
    mais je dois l'avouer sur ce point la microsoft devrai changer de politique car la sécurité est un enjeux de taille
    leur produits sans de qualité certes mais il néglige trop la sécurité il faut qu'il fournissent le code source de leur produit je pense qu'il l'ont fait mais il doivent aussi changer la licence copyright par exemple ne pas autoriser la redistribution du produit ou le commercialiser mais pouvoir comme même l'optimiser et corriger les faille et en fournir le code optimise a redmond
    je pense qu'au fond google regrette seulement que l'os de microsoft ne soit pas sécuriser
    dommage il font du bon travail mais il peuvent pas a eux seuls fournir des correctif il ont besoin de l'aides des autres firmes mais en contre partie il seront dans l'obligation de fournir le code source d'ailleurs c'est ce que je leur recommande
    Tu devrais en parler à Stebe Baldmer. Tu veux son numéro ?

  9. #9
    Inactif
    Homme Profil pro
    Auditeur informatique
    Inscrit en
    décembre 2009
    Messages
    335
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 36
    Localisation : Algérie

    Informations professionnelles :
    Activité : Auditeur informatique
    Secteur : Administration - Collectivité locale

    Informations forums :
    Inscription : décembre 2009
    Messages : 335
    Points : 0
    Points
    0
    Par défaut
    Citation Envoyé par hivenz Voir le message
    Tu devrais en parler à Steve Ballmer. Tu veux son numéro ?
    t inquiete pas pour moi j'ai des moyen bien plus sophistiqué que ça la meilleur messagerie au monde hotmail j'ai sa boite mail

  10. #10
    Membre averti
    Inscrit en
    avril 2007
    Messages
    143
    Détails du profil
    Informations personnelles :
    Âge : 31

    Informations forums :
    Inscription : avril 2007
    Messages : 143
    Points : 321
    Points
    321
    Par défaut
    Citation Envoyé par wokerm Voir le message
    t inquiete pas pour moi j'ai des moyen bien plus sophistiqué que ça la meilleur messagerie au monde hotmail j'ai sa boite mail
    Jerry golay avec l'association de hotmail à meilleure messagerie.

  11. #11
    Expert confirmé Avatar de psychadelic
    Profil pro
    Inscrit en
    mai 2010
    Messages
    2 408
    Détails du profil
    Informations personnelles :
    Localisation : France

    Informations forums :
    Inscription : mai 2010
    Messages : 2 408
    Points : 4 653
    Points
    4 653
    Par défaut
    Citation Envoyé par Gordon Fowler Voir le message
    L'ingénieur de Google avait suscité la colère des responsables de Microsoft en publiant une preuve de faisabilité (PoC) seulement 5 jours après avoir découvert une faille critique dans Windows
    C'est pas 5 jours mais 65 jours, relis ton propre post :
    Citation Envoyé par Gordon Fowler Voir le message
    Tavis Ormandy, l'employé de Google qui a mis à jour une faille dans le Centre d'Aide et de Support de Windows XP et qui a publié un exploit montrant comment il était possible d'en tirer profit, se défend d'avoir eu un comportement irresponsable.

    Il affirme dans un Tweet que, contrairement aux dires de Microsoft, il n'a pas laissé 5 jours mais deux mois à l'éditeur de Windows (60 jours) pour colmater la faille.
    On sait tous aujourd'hui que Microsoft à tout fait pour discréditer Tavis Ormandy.

    Je serai dans son cas, je crois que je garderai une certaine rancune contre Microsoft
    «La pluralité des voix n'est pas une preuve, pour les vérités malaisées à découvrir, tant il est bien plus vraisemblable qu'un homme seul les ait rencontrées que tout un peuple.» [ René Descartes ] - Discours de la méthode

  12. #12
    Inactif
    Homme Profil pro
    Auditeur informatique
    Inscrit en
    décembre 2009
    Messages
    335
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 36
    Localisation : Algérie

    Informations professionnelles :
    Activité : Auditeur informatique
    Secteur : Administration - Collectivité locale

    Informations forums :
    Inscription : décembre 2009
    Messages : 335
    Points : 0
    Points
    0
    Par défaut
    Citation Envoyé par sevyc64 Voir le message
    MAis bien sur, et on va les croire en plus.

    Pourquoi les employés de Microsoft, sur leur temps libre, bien sur, ne montent-ils pas eux aussi un collectif pour s'attaquer à toutes les technologies de Google ???
    il ont d'autres chat a fouetter que de s'occuper des problèmes d'autrui , il innove il ont pas le temps de surveiller les autres

  13. #13
    Membre expérimenté
    Homme Profil pro
    Inscrit en
    janvier 2008
    Messages
    623
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 34
    Localisation : France, Hauts de Seine (Île de France)

    Informations forums :
    Inscription : janvier 2008
    Messages : 623
    Points : 1 363
    Points
    1 363
    Par défaut
    Citation Envoyé par wokerm Voir le message
    il ont d'autres chat a fouetter que de s'occuper des problèmes d'autrui , il innove il ont pas le temps de surveiller les autres
    Apparement ils n'ont pas le temps de s'occuper de la sécurité de leurs produits non plus.

  14. #14
    Membre averti
    Avatar de Cyrilange
    Profil pro
    Inscrit en
    février 2004
    Messages
    268
    Détails du profil
    Informations personnelles :
    Localisation : France

    Informations forums :
    Inscription : février 2004
    Messages : 268
    Points : 351
    Points
    351
    Par défaut
    Cette culture de l'anti Microsoft (qui est aussi un anti américanisme européen) est absolument pathétique. Tous les systèmes ont des failles et en auront toujours.
    Pour ma part j'adore les technologies Microsoft et mes clients comme moi même n'avons jamais souffert de la moindre faille.
    Ces agitateurs vont finir par se ridiculiser à force de crier au loup !

  15. #15
    Modérateur
    Avatar de sevyc64
    Homme Profil pro
    Développeur informatique
    Inscrit en
    janvier 2007
    Messages
    9 650
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 47
    Localisation : France, Pyrénées Atlantiques (Aquitaine)

    Informations professionnelles :
    Activité : Développeur informatique

    Informations forums :
    Inscription : janvier 2007
    Messages : 9 650
    Points : 25 874
    Points
    25 874
    Par défaut
    Citation Envoyé par Farid63 Voir le message
    Apparement ils n'ont pas le temps de s'occuper de la sécurité de leurs produits non plus.
    Si sortir une moyenne d'une dizaine de patch chaque mois, n'est pas s'occuper de la sécurité, je sais ce qu'il te faut.

    Tu préfère la technique de Google, qui sort une nouvelle version toutes les 3 semaines, sans même que l'on sache, la plupart du temps ce qui change avec la version précédente, ce que ça corrige ou pas, etc....

    Tu préfère Linux, où, d'après ce que j'ai compris, les mises à jours sont automatiques et se font en silence. Ce qui pourrait faire dire qu'il n'y a pas besoin de patch alors qu'en réalité ils s'installent tous seuls sans que l'on est connaissance de leur existance.

    Ou tu préfère MAC OS, système tellement fermé (comme tous les produits APPLE) que l'on ne sait même pas s'il y a des failles de sécurité. De toute façon le système est tellement peu visible que même s'il y en a, elles n'intéressent personne.
    --- Sevyc64 ---

    Parce que le partage est notre force, la connaissance sera notre victoire

Discussions similaires

  1. Windows : nouvelle vulnérabilité critique ? Non, répond Microsoft
    Par Hinault Romaric dans le forum Actualités
    Réponses: 0
    Dernier message: 17/02/2011, 13h51
  2. Réponses: 4
    Dernier message: 05/01/2011, 20h35
  3. Réponses: 1
    Dernier message: 03/01/2011, 17h36
  4. Réponses: 128
    Dernier message: 20/10/2010, 16h19
  5. Réponses: 34
    Dernier message: 31/07/2010, 16h53

Partager

Partager
  • Envoyer la discussion sur Viadeo
  • Envoyer la discussion sur Twitter
  • Envoyer la discussion sur Google
  • Envoyer la discussion sur Facebook
  • Envoyer la discussion sur Digg
  • Envoyer la discussion sur Delicious
  • Envoyer la discussion sur MySpace
  • Envoyer la discussion sur Yahoo