Actions

Journaux











Microsoft refuse de corriger un trou de sécurité

Écrit le 27/03/2003 @ 15:25 par Drizzt

Informatique - SécuritéSelon cet article de SlashDot, Microsoft refuserait de fermer un trou de sécurité trouvé de Windows NT 4, 2000 et XP.

Des 'patch' sont déjà disponibles pour Windows 2000 et Windows XP, mais Microsoft affirme que l'architecture de Windows NT 4 empêche de régler le trou de sécurité.

Une solution a toutefois été trouvée, il suffit de bloquer le port tcp/135 sur la machine.

À ce que je sache, Windows NT 4 est encore officiellement supporté par Microsoft, c'est donc une sorte de bris de parole de refuser de corriger le problème.

Commentaires

Commentaire par Drizzt  Score: 0
Écrit le: 27/03/2003 @ 15:28

En passant, je crois que c'est cette mise à jour :

331953 : Mise à jour de la sécurité (Windows XP)
Taille du téléchargement : 826 Ko, < 1 minute
Une faille de sécurité identifiée pourrait permettre à une personne malveillante de mettre hors service un ordinateur exécutant Microsoft® Windows®. Cette personne doit avoir la possibilité d'établir une connexion à un processus sur l'ordinateur. Vous pouvez renforcer la protection de votre ordinateur en installant cette mise à jour de Microsoft. Une fois cet élément installé, vous serez peut-être amené à redémarrer l'ordinateur. Plus d'infos... (Ce site peut être en anglais).

Commentaire par blanalex  Score: 2
Écrit le: 27/03/2003 @ 15:47

C'est pas trop vrai.... Microsoft dit que c'est impossible de patcher le problème. On peut supposer que de corriger ce bug-là pourrait briser l'implantation de plusieurs autres choses dans Windows (y compris des 3rd party).

Déjà que la manière que la documentation est faite, est que s'il y a une différence entre la documentation et l'implantation (disons pour un protocole), au lieu de corriger le code, ils corrigent la documentation. Ça donne une idée de l'esprit chez Microsoft... C'est plus facile de corriger la documentation que les programmes qui se basent sur le bug.

Commentaire par Drizzt  Score: 0
Écrit le: 27/03/2003 @ 16:53

Sauf qu'il y a un contrat de support pour les entreprises.. (jusqu'en janvier 2005)

Je pense présentement à CSDHR, qui ont entre 1 et 3 serveurs NT4 par école. Imagine s'ils ont besoin du port 135 à l'externe, mais qu'il n'y a pas de patch de sécurité?

C'est peut-être pas facile de le fixer, mais c'est possible c'est sur. Si Win2000 et WinXP sont fixé, pourquoi pas WinNT4?


Tous les blogs
<< Trop drôle !! | Retour aux blogs | Un petit poème pour vous >>
Blogs de la même catégorie
<< Buffer Overflow dans WebDav/IIS5 | Encore un trou de sécurité dans Samba >>