IdentifiantMot de passe
Loading...
Mot de passe oublié ?Je m'inscris ! (gratuit)
Navigation

Inscrivez-vous gratuitement
pour pouvoir participer, suivre les réponses en temps réel, voter pour les messages, poser vos propres questions et recevoir la newsletter

  1. #1
    Expert éminent sénior
    Avatar de Katleen Erna
    Profil pro
    Inscrit en
    juillet 2009
    Messages
    1 547
    Détails du profil
    Informations personnelles :
    Localisation : France, Paris (Île de France)

    Informations forums :
    Inscription : juillet 2009
    Messages : 1 547
    Points : 75 938
    Points
    75 938
    Par défaut Microsoft patche les derniers bugs critiques de son ATL, à l'occasion de sa dernière mise à jour de sécurité
    Microsoft patche les derniers bugs critiques de son ATL, à l'occasion de sa dernière mise à jour de sécurité

    La compagnie américaine consultante en sécurité Accuvant avait découvert un bug critique au sein d'une ATL (Active Template Library ) de Microsoft. Avertie, l'entreprise éditrice de Windows avait alors entamé un long travail de recherche et distribué plusieurs patchs successifs pour résoudre le problème, mais cela ne semblait jamais suffir à enrailler les attaques subies.

    Microsoft a délivré hier le dernier patch de cette série noire, qui devrait enfin sécuriser totalement les vecteurs majeurs d'attaques. Ryan Smith, l'un des chercheurs qui avait le premier découvret la faille, déclare : "Les patch pour Office ont définitivement fermé la porte du dernier grand vecteur d'attaque sur les ATL".

    La vulnérabilité avait été présentée au public lors de la conférence Black Hat de juillet dernier. Il avait alors été démontré de quelle manière un ordinateur pouvait être infiltré par le biais d'Internet Explorer, et que la racine du bug tenait en un caractère "&" superflu. Niché dans l'ATL, une bibliothèque de code utilisée à la fois par Microsoft et des développeurs tiers pour construire des programmes.

    Afin de règler le problème, la firme de Redmond fut forcée de patcher sa très populaire plateforme de développement Visual Studio ; puis de requérir expressément de ses collaborateurs créateurs de logiciels de recompiler les moindres morceaux de code ou applications construite sur la base de cette ATL compromise.

    Les employés de Bill Gates décortiquèrent aussi leurs propres produits en profondeur afin de proposer un patch pour cinq vulnérablités en août. Mais cette mise à jour de sécurité MS09-037 fut qualifiée d' "affreuse" et "insuffisante" par les experts en sécurité informatique.

    Hier, Microsoft a corrigé le tir dans le cadre de ses mises à jour de sécurité du mardi, en patchant trois bugs liés à l'ATL dans la suite Office. Ce correctif devrait être le dernier, puisque les failles présentes dans Office étaient les seuls vestiges du problème.

    Un kit "kill bit" spécial a également été rendu disponible hier. Il gère la désactivaton de 15 contrôles ActiveX différents qui furent crées par Microsoft avec le code ATL vulnérable, et destinés à une utilisation dans IE (y compris pour le très largeent utilisé Windows Live Hotmail).

    Source : Microsoft Update et Windows Update

    Lire aussi :

    Windows : Le prochain pack de sécurité corrigera la faille du SMB2, celle du FTP dans IIS et 32 autres failles également

    Oracle et Apple ne s'impliqueraient pas autant que Microsoft dans l'élaboration de correctifs, le père de Windows fait état de plus de 745 vulnérabilités patchées depuis 2003

    Pensez-vous qu le problème sera définitivement résolu grâce à toutes ces mesures ?

    Le "kill bit" d'hier concernant une quinzaine de contrôles ActiveX est-il un prélude à une campagne de patch, ou bien une simple mesure préventive ?

    Malgré la divulgation de la faille au grand public, elle ne fut peu ou pas exploitée par les hackers, alors qu'elle semblait représenter un moyen très simple pour compromettre un navigateur Internet. Pourquoi si peu d'intérêt de la part des pirates ?

  2. #2
    ILP
    ILP est déconnecté
    Membre confirmé
    Avatar de ILP
    Homme Profil pro
    Analyste programmeur
    Inscrit en
    mai 2002
    Messages
    257
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 35
    Localisation : France, Finistère (Bretagne)

    Informations professionnelles :
    Activité : Analyste programmeur
    Secteur : High Tech - Éditeur de logiciels

    Informations forums :
    Inscription : mai 2002
    Messages : 257
    Points : 570
    Points
    570
    Par défaut
    Citation Envoyé par Katleen Erna Voir le message
    Pensez-vous qu le problème sera définitivement résolu grâce à toutes ces mesures ?
    Du fait que l'ATL permette plus de libertés dans la programmation. Je pense qu'elle aura forcement plus de problèmes de sécurité.

Discussions similaires

  1. Réponses: 2
    Dernier message: 06/05/2014, 09h14
  2. Réponses: 37
    Dernier message: 14/11/2013, 18h41
  3. Réponses: 0
    Dernier message: 03/06/2010, 12h15
  4. Réponses: 0
    Dernier message: 21/04/2010, 08h35
  5. Réponses: 72
    Dernier message: 23/12/2009, 16h18

Partager

Partager
  • Envoyer la discussion sur Viadeo
  • Envoyer la discussion sur Twitter
  • Envoyer la discussion sur Google
  • Envoyer la discussion sur Facebook
  • Envoyer la discussion sur Digg
  • Envoyer la discussion sur Delicious
  • Envoyer la discussion sur MySpace
  • Envoyer la discussion sur Yahoo