Microsoft: Pas de TCP/IP correctifs pour vous, XP
Microsoft en fin de semaine dernière a dit qu'il ne patch Windows XP pour une paire de bugs elle a annulé Sept. 8 dans Windows Vista, Windows Server 2003 et Windows Server 2008.
Les nouvelles ajoute Windows XP Service Pack 2 (SP2) et SP3 à la n de la liste des patchs qui étaient auparavant inclus uniquement Windows 2000 Server SP4.
"Nous parlons de code qui est de 12 à 15 ans dans son origine, de sorte que le portage de ce niveau de code est essentiellement pas possible," a déclaré le directeur du programme de sécurité Adrian Pierre lors de Microsoft mensuel de post-patch Webcast, en se référant à Windows 2000 et XP.
"Une mise à jour pour Windows XP ne seront pas mis à la disposition" de la Pierre et les compagnons de gestionnaire de programme Jerry Bryant a déclaré lors de la Q&Une partie de la Webdiffusion (transcription ici).
Mardi dernier, Microsoft a déclaré qu'il n'était pas à l'application de correctifs Windows 2000, car la création d'un correctif a été "impossible."
Les bugs en question sont en Windows de mise en œuvre de TCP/IP, le site Web par défaut de la suite de protocoles de connexion. Tous les trois de ces vulnérabilités ont été mis en évidence dans le MS09-048 mise à jour ont été corrigées dans Vista et Server 2008. Seulement deux de le trio affecter Windows Server 2000 et Windows XP, Microsoft a déclaré dans l'accompagnement consultatif, qui a été actualisé le jeudi.
Dans la version révisée avis, Microsoft a expliqué pourquoi il ne sera pas de patch Windows XP, le plus populaire du monde du système d'exploitation. "Par défaut, Windows XP SP2, Windows XP SP3 et Windows XP Professional x64 Edition SP2 ne disposez pas d'un service d'écoute configuré dans le client de pare-feu et ne sont donc pas concernés par cette vulnérabilité," a indiqué la compagnie. "Windows XP SP2 et versions ultérieures systèmes d'exploitation comprennent une dynamique d'accueil de pare-feu qui prévoit la protection des ordinateurs contre le trafic entrant à partir de l'Internet ou de la voisine réseau périphériques sur un réseau privé."
Bien que les deux bugs peuvent être exploitées sur Windows 2000 et XP, Microsoft minimisé l'importance de leur impact. "Un système de devenir instable en raison de la consommation de mémoire ... [mais] une attaque réussie nécessite soutenue de l'inondation de spécialement conçu paquets TCP, et le système sera de récupérer une fois le déluge cesse."
Microsoft nominale des vulnérabilités sur Windows 2000 et XP comme "important" sur Windows 2000, et "faible" sur XP. La société utilise des quatre étapes du système de notation, où "basse" est la moins dangereuse menace, suivie par ordre croissant de "modéré", "important" et de "critique".
Les deux mêmes bugs ont été classés "modérée" pour Vista et Server 2008, tandis qu'un troisième, -- qui n'affecte pas les anciens systèmes d'exploitation, a été jugée "critique".
Pendant le Q&A, toutefois, les utilisateurs de Windows à plusieurs reprises demandé à Microsoft de l'équipe de sécurité pour expliquer pourquoi il n'était pas patcher XP, ou si, dans certains scénarios, leurs machines peuvent être à risque. "Nous utilisent encore Windows XP et nous n'utilisons pas le Pare-feu Windows," lire l'une des questions des utilisateurs. "Nous avons recours à une tierce partie fournisseur de pare-feu. Même en supposant que nous utilisons le Pare-feu Windows, si il y a des services d'écoute, tels que le bureau à distance, ne serait pas à l'époque de Windows XP à être vulnérables à cela?"
"Les serveurs sont une cible potentielle pour cette attaque, et votre pare-feu doit fournir une protection supplémentaire contre les exploits", a répondu Pierre et Bryant.
Un autre utilisateur a demandé à préciser les conditions dans lesquelles Microsoft de ne pas offrir des correctifs pour les systèmes d'exploitation supportés. Windows Server 2000 SP4, par exemple, est de recevoir des mises à jour de sécurité jusqu'en juillet 2010; Windows XP, le support n'a pas d'échéance jusqu'en avril 2014.
Pierre et Bryant réponse: "Nous allons continuer à fournir des mises à jour pour Windows 2000, alors qu'il est dans le support à moins qu'il n'est pas techniquement possible de le faire."
Sauter des patchs est très inhabituel pour Microsoft. Selon une Pierre et Bryant, la dernière fois, elle a refusé de corriger une vulnérabilité dans un support de l'édition de Windows qui était en Mars 2003, quand il dit qu'il ne serait pas corrigé un bug dans Windows NT 4.0. Ensuite, il a expliqué que l'omission de la langue, très semblable à ce qu'il était quand il dit qu'il ne serait pas de mise à jour de Windows 2000.
"En raison de ces différences fondamentales entre Windows NT 4.0 et Windows 2000 et de ses successeurs, il est impossible de reconstruire le logiciel pour Windows NT 4.0 pour éliminer le problème," Microsoft a déclaré à l'époque.
Date de publication: Les nouvelles ajoute Windows XP Service Pack 2 (SP2) et SP3 à la n de la liste des patchs qui étaient auparavant inclus uniquement Windows 2000 Server SP4.
"Nous parlons de code qui est de 12 à 15 ans dans son origine, de sorte que le portage de ce niveau de code est essentiellement pas possible," a déclaré le directeur du programme de sécurité Adrian Pierre lors de Microsoft mensuel de post-patch Webcast, en se référant à Windows 2000 et XP.
"Une mise à jour pour Windows XP ne seront pas mis à la disposition" de la Pierre et les compagnons de gestionnaire de programme Jerry Bryant a déclaré lors de la Q&Une partie de la Webdiffusion (transcription ici).
Mardi dernier, Microsoft a déclaré qu'il n'était pas à l'application de correctifs Windows 2000, car la création d'un correctif a été "impossible."
Les bugs en question sont en Windows de mise en œuvre de TCP/IP, le site Web par défaut de la suite de protocoles de connexion. Tous les trois de ces vulnérabilités ont été mis en évidence dans le MS09-048 mise à jour ont été corrigées dans Vista et Server 2008. Seulement deux de le trio affecter Windows Server 2000 et Windows XP, Microsoft a déclaré dans l'accompagnement consultatif, qui a été actualisé le jeudi.
Dans la version révisée avis, Microsoft a expliqué pourquoi il ne sera pas de patch Windows XP, le plus populaire du monde du système d'exploitation. "Par défaut, Windows XP SP2, Windows XP SP3 et Windows XP Professional x64 Edition SP2 ne disposez pas d'un service d'écoute configuré dans le client de pare-feu et ne sont donc pas concernés par cette vulnérabilité," a indiqué la compagnie. "Windows XP SP2 et versions ultérieures systèmes d'exploitation comprennent une dynamique d'accueil de pare-feu qui prévoit la protection des ordinateurs contre le trafic entrant à partir de l'Internet ou de la voisine réseau périphériques sur un réseau privé."
Bien que les deux bugs peuvent être exploitées sur Windows 2000 et XP, Microsoft minimisé l'importance de leur impact. "Un système de devenir instable en raison de la consommation de mémoire ... [mais] une attaque réussie nécessite soutenue de l'inondation de spécialement conçu paquets TCP, et le système sera de récupérer une fois le déluge cesse."
Microsoft nominale des vulnérabilités sur Windows 2000 et XP comme "important" sur Windows 2000, et "faible" sur XP. La société utilise des quatre étapes du système de notation, où "basse" est la moins dangereuse menace, suivie par ordre croissant de "modéré", "important" et de "critique".
Les deux mêmes bugs ont été classés "modérée" pour Vista et Server 2008, tandis qu'un troisième, -- qui n'affecte pas les anciens systèmes d'exploitation, a été jugée "critique".
Pendant le Q&A, toutefois, les utilisateurs de Windows à plusieurs reprises demandé à Microsoft de l'équipe de sécurité pour expliquer pourquoi il n'était pas patcher XP, ou si, dans certains scénarios, leurs machines peuvent être à risque. "Nous utilisent encore Windows XP et nous n'utilisons pas le Pare-feu Windows," lire l'une des questions des utilisateurs. "Nous avons recours à une tierce partie fournisseur de pare-feu. Même en supposant que nous utilisons le Pare-feu Windows, si il y a des services d'écoute, tels que le bureau à distance, ne serait pas à l'époque de Windows XP à être vulnérables à cela?"
"Les serveurs sont une cible potentielle pour cette attaque, et votre pare-feu doit fournir une protection supplémentaire contre les exploits", a répondu Pierre et Bryant.
Un autre utilisateur a demandé à préciser les conditions dans lesquelles Microsoft de ne pas offrir des correctifs pour les systèmes d'exploitation supportés. Windows Server 2000 SP4, par exemple, est de recevoir des mises à jour de sécurité jusqu'en juillet 2010; Windows XP, le support n'a pas d'échéance jusqu'en avril 2014.
Pierre et Bryant réponse: "Nous allons continuer à fournir des mises à jour pour Windows 2000, alors qu'il est dans le support à moins qu'il n'est pas techniquement possible de le faire."
Sauter des patchs est très inhabituel pour Microsoft. Selon une Pierre et Bryant, la dernière fois, elle a refusé de corriger une vulnérabilité dans un support de l'édition de Windows qui était en Mars 2003, quand il dit qu'il ne serait pas corrigé un bug dans Windows NT 4.0. Ensuite, il a expliqué que l'omission de la langue, très semblable à ce qu'il était quand il dit qu'il ne serait pas de mise à jour de Windows 2000.
"En raison de ces différences fondamentales entre Windows NT 4.0 et Windows 2000 et de ses successeurs, il est impossible de reconstruire le logiciel pour Windows NT 4.0 pour éliminer le problème," Microsoft a déclaré à l'époque.
Auteur: Keylogger.Org L'Équipe
