300.000.000 de machines vulnérables à des failles sans patchs !


Par (© K-OTik.COM) - L'équipe Microsoft a publié mardi un patch de sécurité fixant la vulnérabilité ASN.1 MS04-007. Cette faille critique a été découverte par les chercheurs de eEye Security depuis juillet dernier, Microsoft aura donc mis six mois pour mettre au point un correctif.

Un délai "normal" selon Cyril Voisin, chef de programme Sécurité chez Microsoft France, qui a indiqué à notre rédaction que "Le correctif pour ASN.1 est disponible pour NT4, 2000, XP, 2003 dans chacune de leurs versions respectives (Standard, Terminal Server, Pro, Home, Web, Advanced, Datacenter, 32 et 64 bits, etc...) et pour tous les Service Packs supportés (en général 2) et toutes les langues (24 en tout). Soit 456 versions différentes (estimation 19x24). Si on veut que chacune de ces versions continue à fonctionner ne serait qu'en connexion directe une à une il faut alors vérifier 207480 scénarios de base (456x455)... Et cela ne se fait pas en une semaine".

La société eEye a notamment révélé la découverte de sept nouvelles failles de sécurité dans les systèmes Windows, ces vulnérabilités non patchées sont toujours en cours d'étude par Microsoft : Les deux failles les plus critiques (découvertes le 10 septembre 2003) touchent les systèmes Windows NT 4.0 - Windows 2000 - Windows XP et Windows Server 2003, elles pourraient permettre à un attaquant de prendre le contrôle d'un système vulnérable à distance (plus de 300 Millions de machines *Gartner PC Market by Operating System*). Les cinq autres vulnérabilités pourraient permettre l'élévation des privilèges ou l'exécution de commandes arbitraires, elles concernent Internet Explorer, Microsoft Office et les différentes versions Windows NT-2000-XP-2003.

Même si les détails techniques de ces vulnérabilités n'ont pas encore été révélés, rien n'empêche d'autres chercheurs ou blackhats d'identifier et d'exploiter ces failles, Cyril Voisin n'écarte pas cette possibilité "on peut le craindre en effet. Nous restons vigilants et à l'écoute de tout rapport d'exploitation".

Source : © K-OTik.COM       
  

 

 Audits de Sécurité & Tests Intrusifs Mailing Listes Advisories  Service Publicitaire

Tous droits réservés © 2002-2004 K-OTiK Security Voir Notice Légale   

actualité informatique  Exploits