Flux RSS
Virus/alertes
481 documents trouvés, affichage des résultats 271 à 280.
| < Les 10 documents précédents | Les 10 documents suivants > |
(13/01/2009 07:53:34)
La NSA liste le top 25 des erreurs de programmation ouvrant des failles de sécurité
Ce sont des erreurs de programmation courantes, et elles ouvrent des failles de sécurité béantes dans les logiciels : la NSA (National security agency), agence fédérale américaine de sécurité, a mis en oeuvre un programme pour déterminer les 25 plus courantes. Ce top 25 se divise en trois catégories : les interactions non sécurisées entre composants (9 erreurs), une gestion hasardeuse des ressources (9 erreurs) et des défenses poreuses (7 erreurs). D'après les responsables du projet, deux seulement de ces erreurs ont provoqué en 2008 quelque 1,5 million de failles dans les sites Web, et se sont répercutées dans les PC visitant ces sites, les transformant en zombies. Le projet, initié par la NSA et la division cyber-sécurité du ministère américain de la Sécurité intérieure, a vu la collaboration de plusieurs instituts (Sans, Mitre, Secunia...) et éditeurs (Microsoft, Oracle, RSA, Symantec...). Le chef du projet explique que si les débats ont été parfois chauds, il y a eu un consensus plutôt large pour établir ce top 25 des erreurs de programmation les plus courantes ouvrant des failles de sécurité. Les agences fédérales américaines espèrent, en publiant la liste des erreurs et la façon de les empêcher, faire prendre conscience aux développeurs des conséquences en matière « de cyber-espionnage et de cyber-crime ». Car étonnamment, poursuit Bob Martin, du Mitre (organisme à but non lucratif travaillant à la sécurisation des systèmes gouvernementaux américains), « la plupart de ces erreurs ne sont pas bien connues des développeurs ; le moyen de les éviter peu enseigné par les écoles ; et leur présence rarement testée par les éditeurs de logiciels commerciaux ». (...)
(23/12/2008 12:30:10)Microsoft alerte sur une faille dans SQL Server
Hier soir, 22 décembre, Microsoft a indiqué qu'une faille pouvait être exploitée dans certaines versions de sa base de données SQL Server. Au nombre des versions concernées par ce problème, l'éditeur liste SQL Server 2000, 2005, 2005 Express Edition, SQL Server 2000 Desktop Engine (MSDE et WMSDE), et Windows Internal Database (WYukon). En revanche, les systèmes qui sont équipés de SQL Server 7.0 Service Pack 4, SQL Server 2005 Service Pack 3 et SQL Server 2008 ne sont pas touchés. Le code permettant d'exploiter cette défaillance a bien été publié sur Internet, mais aucune attaque n'a pour l'instant été signalée. Microsoft travaille avec ses partenaires à la résolution de cette vulnérabilité dans le cadre de ses programmes MAPP (Microsoft active protections program) et MSRA (Microsoft security response alliance). Trois bugs sérieux en un mois C'est le troisième bug d'importance débusqué ce mois-ci sur les produits de Microsoft. Il y a quelques jours à peine, l'éditeur a dû livrer un correctif d'urgence pour son navigateur Web Internet Explorer (IE). Au début de ce mois, il a également alerté sur une faille identifiée dans le convertisseur de son éditeur de texte WordPad permettant d'enregistrer les fichiers au format Word 97. Quatre Service Pack de Windows étaient concernés. Enfin, le fameux « patch Tuesday » du 9 décembre, dernier correctif programmé de l'année avait fourni un record de rustines : 40 Mo pour combler 28 failles, notamment dans Vista et IE. (...)
(15/12/2008 12:45:08)Firefox et Flash en tête des applications classées les moins sûres pour les entreprises par Bit9
Entreprises, redoutez Firefox, Flash Player et VMware. Ces applications arrivent en effet en tête du top 12 des programmes les moins sûrs dans le cadre d'une utilisation professionnelle... d'après un classement établi par Bit9, spécialisé dans la confection de listes blanches d'applications et éditeur de Parity, un programme permettant la détection de code malveillant. Les douze applications recensées par Bit9 ont comme caractéristiques communes qu'elles fonctionnent sur Windows, sont populaires auprès du grand public et présentent au moins une faille critique depuis janvier 2008. Elles sont en outre souvent installées sur les postes de travail des salariés sans que le service informatique en ait connaissance ou puisse surveiller leur mise à jour. Elles constituent par conséquent, selon l'éditeur, les maillons faibles du SI, lequel étant dans l'impossibilité de déployer des correctifs de façon centralisée via les services Systems management server ou Windows Server Update Services de Microsoft, par exemple. Peu importe donc que les éditeurs des applications montrées du doigt par Bit9 mettent régulièrement en ligne des mises à jour pour leurs produits puisque l'installation de ces dernières ne repose que sur les utilisateurs - ce qui induit bien évidemment un biais dans le classement. Le top 12 des applications à redouter selon Bit9 1 - Mozilla Firefox 2 - Adobe Flash et Acrobat 3 - EMC VMware Player, Workstation et autres produits 4 - Sun Java Runtime Environment 5 - Apple QuickTime, Safari et iTunes 6 - Symantec Norton 7 - Trend Micro OfficeScan 8 - Citrix DNE, Access Gateway et Presentation Server 9 - Aurigma Image Uploader, Lycos FileUploader 10 - Skype 11 - Yahoo Assistant 12 - Microsoft Windows Live Messenger (...)
(10/12/2008 17:14:20)Record de rustines pour finir l'année avec Microsoft
Vingt-huit failles, la plupart "critiques", le dernier patch Tuesday pour 2008 de Microsoft prend des allures de (triste) record. On n'avait pas vu un emplâtre (40 Mo) de cette envergure depuis cinq ans. Microsoft en donne le détail dans huit différents bulletins. Au moins deux correctifs empêchent l'exploitation à distance de failles dans le noyau de Windows, dont celui de Vista, ce qui va se traduire par une phase de redémarrage des systèmes ainsi corrigés. A l'installation de ces rustines, il convient d'ajouter en priorité celles qui concernent Internet Explorer. Mais, le pire, c'est qu'installer l'intégralité de la palanquée de rustines du jour n'empêche pas d'être exposé à deux autres failles "zero day". L'une dans SQL Server 2000 et l'autre dans IE 7. Cette dernière est, en effet, déjà exploitée et son utilisation est expliquée sur les forums chinois. Pour ceux qui auraient choisi d'utiliser IE 7, il n'y a qu'une solution : désactiver les scripts. Tous les logiciels vedettes de Microsoft concernés En auscultant les rustines à télécharger, on constate bien que Vista, présenté comme un parangon de la sécurisation, figure parmi les logiciels qui souffrent de failles critiques, de celles qui permettent de s'arroger les fameux droits d'administration sur le système attaqué. Il est, lui aussi, menacé par les failles qui empoisonnent toujours le GDI (Graphic Device Interface) de la famille Windows. D'autres logiciels de dernière génération - Word 2007 et IE 7- souffrent aussi de failles critiques. Le discours de Microsoft autour de son Security Development Lifecycle (SDL), sur la certification du code de ses logiciels, est donc encore loin d'être passé dans ses pratiques de développement. Aux côtés de ces trois vedettes, on trouve la quasi-intégralité des logiciels Microsoft : toutes les générations d'Internet Explorer (de la 5.01 à 7), de Windows (de 2000 à 2008 en passant par XP), idem pour Office (y compris sur Macintosh) et pour Windows Media Player (de la version 6.4 à celle d'aujourd'hui, en 32 et 64 bits). Les outils de développement VB, Visual Studio et Project ont aussi leurs rutines. La longue liste s'achève par Sharepoint Server, 2007 et 2008, 32 et 64 bits. (...)
| < Les 10 documents précédents | Les 10 documents suivants > |