This is a machine translation. The original page (in English) is available here.
Windows
Mac OS
Mobile

Dernières nouvelles: le 12 novembre 2016 - Nous avons trouvé un nouveau indétectable enregistreurs de frappe pour vous. Flux RSS

Accueil>news du Monde>Microsoft se précipite embrayage d'un correctif pour 'profonde' bug dans Windows, applications tierces

AnyKeylogger pour Mac

Microsoft se précipite embrayage d'un correctif pour 'profonde' bug dans Windows, applications tierces

L'urgence de correctifs Microsoft prévoit de sortir cette semaine sera corrigé une faille qui traverse plusieurs éléments critiques de Windows et un nombre inconnu d'applications de tiers, selon une paire de chercheurs en sécurité.

Mardi, Microsoft va gifler un patch permanent sur une vidéo en streaming contrôle ActiveX utilisé par Internet Explorer (IE), en réponse à une vulnérabilité qu'il a connu, mais non pas fixe, pour plus d'un an. Il y a deux semaines, Microsoft a publié un "kill bit" mise à jour qui, au lieu de régler le problème sous-jacent, désactivé le contrôle ActiveX pour empêcher les attaques qui étaient déjà en cours. Il est également prévu un correctif pour Visual Studio, Microsoft populaire plate-forme de développement.

Bien que Microsoft ait pas connu exactement ce qu'il vous en patch avec les deux "out-of-band" mises à jour -- le terme pour les mises à jour de sécurité diffusées à l'extérieur de l'entreprise une fois par mois calendrier -- plus tôt ce mois-ci chercheurs ont pointé du doigt l'ATL (Active Template Library), un code "bibliothèque" utilisé non seulement par Microsoft, les développeurs, mais aussi par des tiers, les programmeurs de logiciels pour accéder à certaines fonctionnalités dans Windows.

Deux chercheurs allemands -- Thomas Dullien, le chef de la direction et responsable de la recherche à Zynamics GmbH, et Dennis Elser -- creusé dans le bug dans le contrôle ActiveX, l' "msvidctl.dll" fichier, que les flux de contenu vidéo. Ils ont trouvé qu'il résulte d'une simple erreur de programmation dans une fonction appelée "ATL::CComVariant::ReadFromStream."

"Au lieu de passer un pointeur vers une mémoire tampon de données de IStream::Lu, il a eu l'adresse d'un (petit) variable locale, et passe à cette adresse comme tampon de sortie à IStream::Lire, avec une longueur de lire à partir du flux auparavant", a déclaré Dullien, qui va par le surnom de "Halvar Flake" quand on écrit sur des failles de sécurité. "Quelqu'un a clairement me demande, ajouta-t-il dans un billet de blog publié le 9 juillet.

Le résultat? Bien que Microsoft arrêt des attaques contre le contrôle ActiveX, l'erreur de programmation est présent dans plusieurs autres fichiers Windows -- au moins cinq sous XP, au moins 13 dans Vista, y compris celles crucial pour IE, Windows Media Player et des Services Terminal server.

"Le bug est en fait beaucoup" plus loin " que la plupart des gens à réaliser," a dit Dullien, [et] les kill bits correctif est clairement insuffisant, car il y a certainement beaucoup d'autres façons de déclencher le problème."

En outre, dit Dullien et Elser, développeurs tiers ont utilisé les mêmes vices de la bibliothèque pour créer leurs propres applications. "Le bug pourrait avoir weaseled son chemin dans les composants tiers, si quelqu'un en dehors de Microsoft ont eu accès à l'cassé ATL versions", a déclaré Dullien. "Si ce qui s'est passé, Microsoft aurait accidentellement introduit des failles de sécurité dans des produits tiers." Dullien affirmé que les anciennes versions d'Adobe Flash contenu de la vulnérabilité.

Dans un suivi de l'entrée de blog vendredi, Dullien spéculé que le mardi de la correction de "patch un tas de bibliothèques (de l'ATL ?) dans Visual Studio" ainsi que l'ActiveX "msvidctl.dll" fichier utilisé par IE.

Pour ajouter du carburant à la spéculation, Brian Krebs du Washington Post a cité Dullien la semaine dernière en disant Microsoft l'avait appelé et lui a demandé de ne pas faire d'autres commentaires sur la vulnérabilité.

Ni Dullien ou Elser a répondu aux demandes de commentaires sur dimanche.

D'autres chercheurs en sécurité soit refusé à tout commentaire ou supposé Dullien est sur la bonne voie.

"Je ne pense pas que je peux faire des commentaires, mais je suis prêt à dire qu'à chaque fois que Microsoft se donne la peine de faire un out-of-band [mise à jour], les gens devraient probablement payer l'attention, et le patch dès qu'ils le peuvent", a déclaré Roger Thompson, directeur de la recherche à la sécurité, fournisseur de logiciels AVG Technologies, via la messagerie instantanée, le samedi. Il y a deux semaines, Thompson a averti que les ActiveX vulnérabilité a été un candidat de choix pour un autre Conficker-attaque massive.

"Si ce que [Dullien] a dit sur son blog, même à distance correcte, et si son appel à partir de Microsoft est crédible, les consommateurs et les partenaires de Microsoft ont eu un travail sérieux de l'avant", a averti Andrew Tempêtes, directeur des opérations de sécurité à nCircle la Sécurité du Réseau, dans un e-mail dimanche.

L'appel de l'extérieur de la bande de mises à jour d'un "stand-up-and-pay attention moment," Tempêtes ont également recommandé aux entreprises de tester les patchs à fond avant qu'ils ne soient déployés. "Les entreprises voudrez peut-être attendre quelques jours et voir si leurs autres les éditeurs de logiciels ont à dire," at-il exhorté. "Raison de l'attention supplémentaire? Il semble que certaines entreprises peuvent être à l'aide de la malheureuse Microsoft fonction et quand patché, [qui] peut entraîner des conséquences inattendues."

Les tempêtes s'est offert une autre raison pour Microsoft est mardi, l'application de correctifs. "Beaucoup de le même les professionnels de la sécurité sera à las Vegas pour un Chapeau Noir, qui lui-même peut avoir relancer Microsoft correctif d'urgence de presse," il a dit. Black Hat, qui a débuté samedi, traverse jeudi. Dullien, Halvar Flake, a été désignée pour mener une session de formation à la Black Hat, selon la conférence de l'annexe.

Thompson détaché des Tempêtes. "Je pense que la prochaine grande chose à surveiller est de voir ce qui vient à la Black Hat", dit-il. "En vérité, je ne sais pas de quoi que ce soit, mais je suis assez sûr que les pirates sont de piratage."

"Plus de à venir mardi lorsque nous recevons les patchs, bien évidemment", a conclu Tempêtes.

Microsoft publiera l'extérieur de la bande de mises à jour mardi, 28 juillet, par l'intermédiaire de son habituelle mise à Jour de Windows et Windows Server Update Services (WSUS) des mécanismes. Si il sort sur le même calendrier que sa mise à jour mensuelle, ils devraient être disponibles aux alentours de 1 h ET.

Plus tard dans la journée, à la fois 4 h et 7 h ET -- Microsoft sera l'hôte d'une webémission pour prendre les questions des clients. Généralement, Microsoft héberge ces webcasts le jour d'après il fournit des correctifs.
Accueil>news du Monde>Microsoft se précipite embrayage d'un correctif pour 'profonde' bug dans Windows, applications tierces
IMPORTANT! L'installation de l'ordinateur à des outils de surveillance sur les ordinateurs que vous ne possédez pas ou n'avez pas la permission de suivre peuvent violer locales, de l'état ou la loi fédérale.
Suggest translation