Patch Tuesday : Une vulnérabilité critique affectant Windows Server 2003 ne sera pas corrigée
Patch Tuesday : Une vulnérabilité critique affectant Windows Server 2003 ne sera pas corrigée
Le patch nécessite de ré-architecturer l'OS
Pour le Patch Tuesday du mois de Février, Microsoft a livré 9 mises à jour de sécurité. Trois d'entre elles, notées critiques, permettent de corriger des failles exploitables par les attaquants pour exécuter des codes distants.
L'une des mises à jour critiques, MS15-010, permet de corriger des vulnérabilités dans un composant Windows de niveau noyau qui gère les polices TrueType. Elle permet de corriger 5 failles qui ont été signalées en privé à Microsoft et une autre, dans Windows 7 et les versions 8.x, qui a été publiquement signalée.
Une autre mise à jour publiée, MS15-009, permet de corriger plusieurs vulnérabilités dans Internet Explorer. Microsoft affirme qu'elle vient corriger une faille signalée publiquement dans IE et 40 autres vulnérabilités signalées en privé.
La troisième mise à jour de sécurité notée critique, MS15-011, s’attaque à une vulnérabilité dans la stratégie de groupe qui pourrait permettre l'exécution de code à distance. Cette faille a été découverte, il y a plus d'un an par JAS Advisors, lorsque l'ICANN lui a fait appel pour vérifier la sécurité de ses systèmes pour la création de nouveaux domaines génériques de premier niveau.
La faille peut affecter toutes les éditions prises en charge de Windows Server 2003, Windows Vista, Windows Server 2008, Windows 7, Windows Server 2008 R2, Windows 8, Windows Server 2012, Windows RT, Windows 8.1, Windows Server 2012 R2 et Windows RT 8.1.
Selon Microsoft, un attaquant qui parviendrait à exploiter cette vulnérabilité pourrait prendre le contrôle intégral d'un système affecté. Il pourrait alors installer des programmes, afficher, modifier ou supprimer des données, ou créer de nouveaux comptes dotés de tous les privilèges.
Après avoir été signalée confidentiellement à Microsoft par le chercheur qui a découvert le bug, la firme de Redmond a travaillé avec JAS pendant un an pour corriger la vulnérabilité.
Notons que la particularité de cette vulnérabilité est qu'elle se présente comme un défaut dans la conception fondamentale de Windows, plutôt qu'un problème de mise en œuvre.
Le temps passé à développer la solution n'a donc pas permis de livrer un correctif pour Windows Server 2003. « Le correctif imposait à Microsoft de repenser les composants de base du système d'exploitation et d'ajouter plusieurs nouvelles fonctionnalités ». A écrit JAS sur son blog.
D'après Microsoft, « l'architecture pour prendre en charge convenablement le correctif fourni dans la mise à jour n'existe pas sur les systèmes Windows Server 2003, ce qui rend impossible de construire le correctif pour Windows Server 2003. Pour ce faire, il faudrait ré-architecturer une quantité très importante de composants du système d'exploitation Windows Server 2003, et pas seulement le composant concerné. Le produit d'un tel effort de ré-architecture serait suffisamment incompatible avec Windows Server 2003 de sorte qu'il n'y aurait aucune garantie que les applications conçues pour fonctionner sur Windows Server 2003 continueraient à fonctionner sur le système mis à jour. » On pourrait alors s'attendre à la fin de Windows Server 2003 d'un moment à l'autre.
Pour ce qui est des autres mises à jour, certaines couvrent un sous-ensemble de produits Microsoft avec deux correctifs de sécurité pour Office. Les autres sont des correctifs pour la stratégie de groupe, vraisemblablement en complément de la mise à jour MS15-011; un patch pour Flash, et des correctifs pour Virtual Machine Manager et le système graphique.
Sources : JAS Advisors, Security TechCenter
Et vous ?
Qu’en pensez-vous ?
Répondre avec citation
Envoyé par Michael Guilloux
Mon 
Je ne répond à aucune question technique par MP, merci d'avance !
Partager