IdentifiantMot de passe
Mot de passe oublié ?Je m'inscris ! (gratuit)

Vous êtes nouveau sur Developpez.com ? Créez votre compte ou connectez-vous afin de pouvoir participer !

Vous devez avoir un compte Developpez.com et être connecté pour pouvoir participer aux discussions.

Vous n'avez pas encore de compte Developpez.com ? Créez-en un en quelques instants, c'est entièrement gratuit !

Si vous disposez déjà d'un compte et qu'il est bien activé, connectez-vous à l'aide du formulaire ci-dessous.

Identifiez-vous
Identifiant
Mot de passe
Mot de passe oublié ?
Créer un compte

L'inscription est gratuite et ne vous prendra que quelques instants !

Je m'inscris !

Patch Tuesday : Microsoft corrige une faille critique touchant toutes les versions de Windows
Pouvant entraîner l'exécution du code distant

Le , par Hinault Romaric
91 commentaires

21PARTAGES

2  0 
Comme il est de coutume tous les seconds mardis du mois, Microsoft a publié son Patch Tuesday, qui regroupe un ensemble de correctifs de sécurité pour ses systèmes d’exploitation Windows et ses principaux logiciels

Le Patch Tuesday pour le mois de novembre est un patch record. Il s’agit du plus grand paquet de mises à jour de sécurité pour 2014. Il apporte 14 mises à jour de sécurité pour corriger près de 33 failles dans Windows, Internet Explorer et Office. Microsoft avait initialement annoncé 16 mises à jour, mais deux ont été reportées.

Le Patch Tuesday de novembre contient 4 bulletins de sécurité marqués critiques. La mise à jour MS14-066 est la plus importante. Elle apporte des correctifs à une faille aux conséquences désastreuses. La faille touche toutes les versions de Windows encore supportées (allant de Windows Vista à Windows 8.1) et peut être exploitée pour exécuter du code distant. La faille se trouve au niveau du composant Schannel, qui est la couche qui gère le chiffrement et l’authentification sur Windows, particulièrement pour les applications HTTP.

Un exploit réussi permet à un pirate d’exécuter du code sur un serveur Windows avec des droits d’administrateurs. Microsoft affirme n’avoir découvert aucune preuve de son exploitation. La firme conseille d’appliquer dans les plus brefs délais cette mise à jour.

À chaque patch, Internet Explorer a droit à son lot de correctifs. Ce Patch Tuesday ne déroge pas à cette règle. La mise à jour MS14-066 apporte des correctifs pour 17 failles dans le navigateur, dont six sont étiquetées critiques. Toutes les versions du navigateur de Microsoft sont concernées.

En ce qui concerne Office, des vulnérabilités dans Word 2007 SP3 permettant l’exécution de code distant en utilisant des fichiers spécialement conçus, ont été corrigées par la mise à jour MS14-069.

Microsoft a également corrigé une vulnérabilité dans le Framework .NET (MS14-072) permettant une élévation de privilèges. Toutes les versions de Windows sont affectées.

Dans la mise à jour de ce mois, on retrouve également des correctifs pour IIS (Internet Information Services), Active Directory et dans le pilote Kernel Mode.

Le Patch Tuesday est appliqué automatiquement via Windows Update, pour ceux qui ont activé la fonctionnalité.

Source : Microsoft

Une erreur dans cette actualité ? Signalez-nous-la !

91 commentaires
Commenter Signaler un problème
Avatar de
https://www.developpez.com
Le 12/11/2014 à 21:08
Citation Envoyé par GHetfield Voir le message
Et un DC ca ne se virtualise pas n'importe comment. Mais t'es pas obliger de me croire. C'est pas parce-que t'as jamais eu de problèmes que tu suis les bonnes pratiques en production.
Le lien que tu nous as indiqué ne dit pas qu'il ne faut pas virtualisé un DC, mais qu'il y a des fonctionnalités à ne pas utiliser.
Ça se résume à :

- un rollback de snapshot, un backup de système de fichiers et enfin un clone de VM. Ben déjà ces 3 actions reviennent au même finalement. Et ça parait évident que revenir sur une sauvegarde/snapshot antérieur d'une machine ça peut foutre la merde. C’est peut-être d'autant plus vrai pour un DC, mais c'est probablement vrai aussi pour d'autres types de serveur, genre DNS, DHCP, base de données, etc. Et puis ces 3 fonctionnalités ne sont pas l'exclusivité de la virtualisation. On peut très bien faire un snapshot sur une machine physique.

- et enfin ne pas mettre un DC sur une machine trop occupée sinon le temps (NTP) risque d'être trop décalé et provoquer des problèmes. La marge de tolérance par défaut du DC est de 5 minutes, ce qui me parait déjà énorme !!! Le jour où j'ai un serveur qui est tellement occupé qu'il n'arrive plus à mettre son horloge à jour, ben je revoie mon archi réseau et j'achète de nouveaux serveurs !

PS : une faille de sécurité dans l’implémentation SSL de Windows vient d'être découverte. Elle est présente dans Windows depuis 7 ans et demi. Presque aussi bien qu'OpenSSL
4  0 
JayGr
Avatar de JayGr
Membre actif https://www.developpez.com
Le 12/11/2014 à 13:57
Citation Envoyé par Hinault Romaric Voir le message
Patch Tuesday : Microsoft corrige une faille critique touchant toutes les versions de Windows
pouvant entraîner l’exécution du code distant

Un exploit réussi permet à un pirate d’exécuter du code sur un serveur Windows avec des droits d’administrateurs. Microsoft affirme n’avoir découvert aucune preuve de son exploitation. La firme conseille d’appliquer dans les plus brefs délais cette mise à jour.

Source : Microsoft
Je ne sais plus qui demandais quel était l'intérêt de ce genre de news. Et bien il est là.
Exploit ultra critique... A patcher d'urgence.

@+
2  0 
JayGr
Avatar de JayGr
Membre actif https://www.developpez.com
Le 12/11/2014 à 21:20
Citation Envoyé par sevyc64 Voir le message
toutes activité sur internet laisse des traces, des sortes de signatures. De plus, Microsoft est très certainement en contact d'une manière ou d'une autre avec toute sorte d'organismes analysant la sécurité informatique, à commencer par les éditeurs d'antivirus.

Donc si de potentielles signatures d'activités attribuables à cette faille n'ont pas encore été repéré sur Internet, si aucune des activités suspectes repérés par les analystes ne sont clairement attribuables à cette faille, ça permet de dire à Microsoft que cette faille n'a, à priori (restons prudent), pas encore été exploitée.

Cela ne signifie pas forcément 0 exploits, mais tout au moins un nombre inférieur (et donc forcément faible) au seuil qui permettrait à cette exploitation d'apparaitre au dessus du bruit ambiant.
Voilà ! Tu as tout dit !
A noter que Symantec (ou autres éditeurs) dispose de moyens d'analyse assez impressionnant qui permette de découvrir un nombre impressionnant de virus, malware, exploits par jour.
C'est d'ailleurs eux qui avait découvert Stux si je me souviens bien.

Tout ça pour dire qu'il faut patcher vos systèmes. Parce que même si ça n'a pas été exploités, dites vous que depuis hier...

@+
2  0 
Avatar de
https://www.developpez.com
Le 12/11/2014 à 21:56
Ah mais que Samba 4 n'égale pas l'AD Microsoft, ça j'en suis sûr aussi ! Mais y'a pas que les fonctionnalités qui rentre en jeu pour moi.
2  0 
tpericard
Avatar de tpericard
Membre confirmé https://www.developpez.com
Le 15/12/2014 à 23:28

PS: ceci n'est pas un troll: avec une base unifiée, imaginez que certains patchs seront appliqués sur des architectures/profils totalement différent. Il sera donc encore plus difficile d'évaluer et tester toutes ces combinaisons...

donc c'est la porte ouverte aux livraisons directes en production sans tests ?

Non, c'est une remarque inacceptable d'un point de vue qualité. Microsoft doit se donner les moyens de tester toutes ses modifications dès lors qu'elles s'adressent à des millions d'utilisateurs. Comme toute application livrée à un large panel d'utilisateurs d'ailleurs.

Laisser ainsi tout un pan d'utilisateurs dans la (censurée) n'est pas digne d'une société comme celle-ci
2  0 
sevyc64
Avatar de sevyc64
Modérateur https://www.developpez.com
Le 12/11/2014 à 20:20
toutes activité sur internet laisse des traces, des sortes de signatures. De plus, Microsoft est très certainement en contact d'une manière ou d'une autre avec toute sorte d'organismes analysant la sécurité informatique, à commencer par les éditeurs d'antivirus.

Donc si de potentielles signatures d'activités attribuables à cette faille n'ont pas encore été repéré sur Internet, si aucune des activités suspectes repérés par les analystes ne sont clairement attribuables à cette faille, ça permet de dire à Microsoft que cette faille n'a, à priori (restons prudent), pas encore été exploitée.

Cela ne signifie pas forcément 0 exploits, mais tout au moins un nombre inférieur (et donc forcément faible) au seuil qui permettrait à cette exploitation d'apparaitre au dessus du bruit ambiant.
1  0 
Neckara
Avatar de Neckara
Inactif https://www.developpez.com
Le 16/11/2014 à 17:45
Citation Envoyé par GHetfield Voir le message
Au fait t'as vu que .Net est libre maintenant ? Librairie, clr, runtime et tous... Mais tu vas encore trouve une excuse pour dire que c'est de la me**de Vive l'objectivité.
Tiens... t'as l'air de bien aimer .NET, pourtant maintenant que le code est "ouvert", les failles sont publiques et tout et tout.
Étrange qu'une grande entreprise comme Microsoft ai commis une aussi grave erreur de sécurité .

Tu vois l'hypocrisie ??
Comme dans chacun de tes messages, oui on le voit très bien.

Les fonctionnalités et le fait qu'un logiciel soit libre ou non, ne sont pas les seules choses qu'on regarde lorsqu'on choisit un logiciel.
Mais bon, dès qu'on est pas d'accord avec toi, on est un "fanboy du libre".

D'ailleurs pour ta gouverne, certaines applications de carte à puces ont un code "ouvert" de même que certains protocoles.
Tsss... les banques qui sont pourtant dans un domaine où la sécurité est critique... et avec les cartes à puces en plus !
Va falloir que tu rendes ta CB et que tu retourne au chéquier pour plus de sécurité.
2  1 
Neckara
Avatar de Neckara
Inactif https://www.developpez.com
Le 16/11/2014 à 19:09
Citation Envoyé par GHetfield Voir le message
C'est pas parce que tu ne comprend pas que c'est hypochrite.
Oui oui oui, quand on est pas d'accord avec toi, c'est parce qu'on ne comprend pas.
Et ça c'est pas hypocrite peut-être ?

C'est bien la preuve que tu ne comprend pas. Je parlais d'OS. C'etai bien ca le sujet. Et a ce que je sache Windows n'est pas Libre. C'est les outils et framework developpeur qui sont OpenSource. Et c'est une bonne chose.
Parce que AD, c'est un OS maintenant ?
Bien tenté, mais ce n'est pas facile de retourner sa veste après tout ce que tu as dit...

Citation Envoyé par GHetfield Voir le message
Votre ego est votre vrai point faible il suffit de voir vos reponses. Au lieu de ne rien répondre et de me laissez dans le vent vous répondez TOUJOURS
Donc tu reconnais d'une certaines manière de ne poster que pour nous provoquer ?
Que tes posts n'ont aucun sens à par de rechercher une réponse de notre part ?

Ne t'inquiète pas, je ne te répond absolument pas par ego, juste que j'ai un peu de temps à perdre et que tu m'amuses.

D'ailleurs, je n'avais pas répondu une fois que tu t'étais avoué vaincu :
T'est un marrant toi apparemment. Mois qui pensait être le plus gros troll.....
Ca doit pas etre facile de travailler avec vous
Cette phrase n'est absolument pas hypocrite .
La phrase précédente, n'était absolument pas ironique.

Tes seuls "arguments" consiste à dire :
  • vous n'êtes pas objectifs ;
  • vous êtes des fanboys du libre ;
  • c'est pas ma faute si vous ne comprenez pas. ;
  • vous avez un égo surdimensionné.
2  1 
imikado
Avatar de imikado
Rédacteur https://www.developpez.com
Le 19/11/2014 à 12:16
Deux choses:
Microsoft affirme qu’il a reçu des rapports sur des attaques « limitées et ciblées » qui exploitent cette faille.
Comment sont ils avertis de l'exploitation d'une faille ?

La faille touche Windows Server 2003, 2008, 2012, 2012 R2, mais aussi la nouvelle préversion de Windows Server. Elle affecte également les versions desktop de Windows (de Windows Vista à Windows 8.1). Mais, pour ces dernières, Microsoft n’a noté aucun indice de gravité. Un correctif devrait être néanmoins disponible probablement avec le prochain Patch Tuesday.
D'un coté c'est très grave, urgent à corriger, de l'autre il faut attendre mardi prochain pour avoir une correction
1  0 
JayGr
Avatar de JayGr
Membre actif https://www.developpez.com
Le 19/11/2014 à 14:39
Citation Envoyé par Hinault Romaric Voir le message
Microsoft publie un correctif d’urgence pour Windows Server
et recommande une installation immédiate

Une semaine seulement après la publication du Patch Tuesday pour le mois de novembre 2014, Microsoft annonce la sortie d’un nouveau correctif de sécurité d’urgence pour son système d’exploitation Windows Server.

Le correctif étiqueté « MS14-068 » doit être appliqué immédiatement. Il permet de corriger un bogue dans le système d’authentification Kerberos de Windows. Un pirate pourrait exploiter cette faille sur Windows Server pour élever ses privilèges au point d’avoir des droits d’administrateur.

En cas d’authentification dans un domaine, le pirate peut ainsi compromettre la sécurité de l’ensemble du réseau du domaine en question, et procéder à l’installation d’applications, à la modification/suppression des données et même à la création de nouveaux comptes.

Microsoft affirme qu’il a reçu des rapports sur des attaques « limitées et ciblées » qui exploitent cette faille.

La faille touche Windows Server 2003, 2008, 2012, 2012 R2, mais aussi la nouvelle préversion de Windows Server. Elle affecte également les versions desktop de Windows (de Windows Vista à Windows 8.1). Mais, pour ces dernières, Microsoft n’a noté aucun indice de gravité. Un correctif devrait être néanmoins disponible probablement avec le prochain Patch Tuesday.

La mise à jour sera disponible via Windows Update.

Il faut noter que pour le mois de novembre, Microsoft a publié un Patch Tuesday survitaminé, contenant 14 mises à jour de sécurité pour corriger près de 33 failles dans Windows, Internet Explorer et Office. Parmi ces failles s'en trouvait une vieille de 19 ans et présente dans toutes les versions de Windows, depuis Windows 95. Cette faille permettait de prendre le contrôle d’un ordinateur en navigant avec Internet Explorer.

Source : Microsoft
@Hinault Romaric
Bon c'est sûr que c'est plus clair que mon message qui disait la même chose mais en plus condensé .

@imikado :
Le bogue dans le système d'authentification Kerberos n'est pas facilement exploitable depuis les Windows Desktop si j'ai bien compris. Du coup, il patch plutôt par principe de défense en profondeur.

@+
1  0 
Commenter Signaler un problème