Bienvenue sur www.virtuelnet.net :: Hébergement libre sur serveurs libres
Recherche
Sujets
 
  Devenez membre Rubriques Téléchargements Votre Compte Proposer un article Top 10  

Menu
 Accueil
 Hébergement
 Infrastructure
 Panel Hosting
 Charte
 Mise à jour
 Webcams
 Webcam
 News
 Tous les Articles
 Archives
 Proposer un Article
 Rubriques
 Dossiers
 Réseaux de A à Z
 FAQ
 Rechercher sur le site
 Outils PHP
 Outils Réseaux
 DNS et IP
 Test Bande passante
 TCP Port Scanner
 Network Query Tool
 Whois
 Multimédias
 Lecteur Audio
 Lecteur Video
 Web TV
 Galerie Photos
 Downloads et Liens
 Téléchargements
 Liens Web
 Discussions
 Forums
 WebChat
 Utilisateurs
 Votre Compte
 Téléchargements privés
 Messages Privés
 Liste des Membres
 Staff du site
 Analyse
 MS Analysis
 Statistiques
 Top10
 Outils WEB
 Web FTP

Failles de sécurité chez Microsoft Windows
Posté le 17 October 2003 à 00:43:03 CEST par Buzz

Sécurité C'est l'automne, les feuilles commencent déjà à tomber. Chez Microsoft ce sont les vulnérabilités qui tombent. Un véritable hécatombe puisque ce n'est pas moins de sept failles de sécurité qui viennent d'être publiées par Microsoft.

Vulnérabilité critique Windows Authenticode:

Une vulnérabilité critique de la technologie Authenticode, qui permet aux utilisateurs de vérifier l?identité de l?auteur d?un contrôle ActiveX, vient d?être découverte.
Cette faille peut permettre à un contrôle ActiveX d?être téléchargé et installé sans que l?utilisateur soit prévenu par une boîte de dialogue.
Un agresseur peut exploiter cette vulnérabilité en convainquant ses victimes de visiter un site Web, ou en leur envoyant un Email au format HTML spécialement conçu.
Dans les 2 cas, il pourra ainsi installer et exécuter un contrôle ActiveX sur les systèmes visés, avec les mêmes permissions que leurs utilisateurs, et sans avertissement préalable.

Les versions suivantes de Windows sont vulnérables:

  • Windows NT Workstation 4.0, Service Pack 6a
  • Windows NT Server 4.0, Service Pack 6a
  • Windows NT Server 4.0, Terminal Server Edition, Service Pack 6
  • Windows 2000, Service Pack 2, Service Pack 3, et Service Pack 4
  • Windows XP Gold, Service Pack 1
  • Windows XP 64-bit Edition
  • Windows XP 64-bit Edition Version 2003
  • Windows Server 2003
  • Windows Server 2003 64-bit Edition

    Plus d'informations et téléchargement du patch : http://www.microsoft.com/.../.../default.asp?url=/technet/security/bulletin/MS03-041.asp

    Vulnérabilité critique Windows 2000 / ActiveX:

    Une faille de sécurité critique vient d?être découverte dans le contrôle ActiveX "Local Troubleshooter" (Tshoot.ocx).
    Celui-ci contient en effet un "buffer overflow" pouvant permettre à un agresseur d?exécuter le code de son choix sur le système de ses victimes.
    Celui-ci devra pour cela les convaincre de visiter un site Web ou leur envoyer un Email au format HTML spécialement conçu.

    Le contrôle ActiveX "Local Troubleshooter" étant installé par défaut sur Windows 2000, ce système d?exploitation (Service Pack 2, 3, et 4) est vulnérable à ce type d?attaque.

    Plus d'informations et téléchargement du patch : http://www.microsoft.com/.../.../default.asp?url=/technet/security/bulletin/MS03-042.asp

    Vulnérabilité critique Windows / Messenger Service:

    Une vulnérabilité critique vient d?être découverte dans le "Messenger Service".
    En effet, celui-ci ne valide pas correctement la longueur des messages avant de les transmettre au "buffer" alloué.
    Cette faille de sécurité peut être exploitée par un agresseur afin de "planter" le service Messenger, ou d?exécuter le code de son choix, avec les permissions de l?utilisateur, sur le système visé. Il pourra ainsi installer des programmes, visualiser, modifier ou détruire des données, et créer de nouveaux comptes avec des permissions complètes ?

    Les versions suivantes de Windows sont vulnérables:

  • Windows NT Workstation 4.0, Service Pack 6a
  • Windows NT Server 4.0, Service Pack 6a
  • Windows NT Server 4.0, Terminal Server Edition, Service Pack 6
  • Windows 2000, Service Pack 2, Service Pack 3, et Service Pack 4
  • Windows XP Gold, Service Pack 1
  • Windows XP 64-bit Edition
  • Windows XP 64-bit Edition Version 2003
  • Windows Server 2003
  • Windows Server 2003 64-bit Edition

    Plus d'informations et téléchargement du patch : http://www.microsoft.com/.../.../default.asp?url=/technet/security/bulletin/MS03-043.asp

    Faille critique "Windows Help and Support Center":

    Une vulnérabilité, générée par l?existence d?un tampon non-vérifié ("unchecked buffer") dans un fichier associé au protocole HCP, vient d?être découverte dans la fonctionnalité "Windows Help and Support Center".
    Un agresseur peut exploiter cette faille de sécurité en forgeant une URL, qui, lorsque cliquée par un utilisateur, pourra exécuter le code choisi par celui-ci dans le contexte de sécurité "Local Computer". Cette URL peut être hébergée sur une page Web, ou envoyée directement via un Email au format HTML.

    Toutes les versions de Windows sont vulnérables:

  • Windows Millennium Edition
  • Windows NT Workstation 4.0, Service Pack 6a
  • Windows NT Server 4.0, Service Pack 6a
  • Windows NT Server 4.0, Terminal Server Edition, Service Pack 6
  • Windows 2000, Service Pack 2, Service Pack 3, et Service Pack 4
  • Windows XP Gold, Service Pack 1
  • Windows XP 64-bit Edition
  • Windows XP 64-bit Edition Version 2003
  • Windows Server 2003
  • Windows Server 2003 64-bit Edition

    Plus d'informations et téléchargement du patch : http://www.microsoft.com/.../.../default.asp?url=/technet/security/bulletin/MS03-044.asp

    Faille Windows / ListBox & ComboBox: Une vulnérabilité vient d?être découverte, générée par l?existence d?un "buffer overrun" dans le fichier User32.dll, utilisé par une fonction appelée par les contrôles ListBox et ComboBox.
    En effet, cette fonction ne valide pas correctement les paramètres envoyés par un message Windows spécialement conçu.
    Les messages Windows permettent aux processus interactifs de réagir aux événements utilisateur (frappes clavier ou mouvements de souris), et de communiquer avec d?autres processus interactifs.
    Un message Windows spécialement conçu peut ainsi faire en sorte que les contrôles ListBox ou ComboBox exécute un code arbitraire.

    Les versions suivantes de Windows sont vulnérables:

  • Windows NT Workstation 4.0, Service Pack 6a
  • Windows NT Server 4.0, Service Pack 6a
  • Windows NT Server 4.0, Terminal Server Edition, Service Pack 6
  • Windows 2000, Service Pack 2, Service Pack 3, et Service Pack 4
  • Windows XP Gold, Service Pack 1
  • Windows XP 64-bit Edition
  • Windows XP 64-bit Edition Version 2003
  • Windows Server 2003
  • Windows Server 2003 64-bit Edition

    Plus d'informations et téléchargement du patch:

    http://www.microsoft.com/.../.../default.asp?url=/technet/security/bulletin/MS03-045.asp

    Vulnérabilité critique Exchange Server 5.5 et 2000:

    Deux failles de sécurité viennent d?être découvertes dans Exchange Server:

  • Dans Exchange Server 5.5, une vulnérabilité existe dans le service Internet Mail, qui peut permettre à un agresseur non-authentifié de ce connecter au port SMTP d?un serveur Exchange et d?émettre une requête qui consommera une grande quantité de mémoire.
    Ce type d?attaque peut entraîner le "plantage" du service Internet Mail, ou empêcher le fonctionnement du serveur pour cause de mémoire insuffisante.

  • Une faille similaire existe dans Exchange Server 2000, mais, si la requête émise par l?agresseur est soigneusement conçue, elle peut en outre permettre à celui-ci d?exécuter le code de son choix dans le contexte de sécurité du service SMTP.

    Plus d'informations et téléchargement du patch : http://www.microsoft.com/.../.../default.asp?url=/technet/security/bulletin/MS03-046.asp

    Faille de sécurité Exchange 5.5 / OWA:

    Une vulnérabilité de type "cross-site scripting" résulte de la manière dont Outlook Web Access gère l?encodage HTML dans le formulaire de création de nouveaux messages.
    Un agresseur peut exploiter cette faille de sécurité en convainquant un utilisateur de cliquer sur un lien hypertexte, générant ainsi l?exécution d?un script. Si ce dernier s?exécute dans le contexte de sécurité de l?utilisateur, le code malicieux pourra permettre à cet agresseur d?accéder à toutes les données du serveur Outlook Web Access auquel accède l?utilisateur.

    Notez que Exchange Server 2000 et Exchange Server 2003 ne sont pas affectés par cette vulnérabilité.

    Plus d'informations et téléchargement du patch : http://www.microsoft.com/.../.../default.asp?url=/technet/security/bulletin/MS03-047.asp

    Source: ECHU.ORG.

  •  
    Liens connexes
    · Plus à propos de Sécurité
    · Nouvelles transmises par Buzz


    L'article le plus lu à propos de Sécurité:
    Le site officiel de PHP-Nuke FRANCE attaqué


    Noter cet Article
    Score Moyen: 0
    Votes: 0

    Merci de prendre quelques secondes pour voter cet article:

    Excellent
    Très Bien
    Bien
    Passable
    Mauvais


    Options

     Format imprimable Format imprimable

     Envoyer cet article à un(e) ami(e) Envoyer cet article à un(e) ami(e)


    Sujets Associés

    Windows

     

    Site déclaré à la C.N.I.L. (Commission Nationale Informatique et Liberté) sous le numéro 854874.

    Copyright ® 2003 - 2023 par virtuelnet.net. Tous droits réservés à Laurent Bras. Toute reproduction, même partielle interdite sans l'avis de son auteur.



    Copyright © 2002 by . Tous droits réservés. PHP-Nuke est un logiciel libre sous licence GNU/GPL.
    Page Générée en: 0.130 Secondes