Le dernier ‘patch’ de Microsoft en date du 10 mars nourrit des interrogations au sein de la communauté des spécialistes en sécurité. Selon Tyler Reguly, expert au réseau de sécurité nCircle estime que la mise à jour MS09-008 ne réglerait pas les problèmes de faille DNS observées sur les éditions Windows 2000, 2003 et 2008.
« Lorsque vous installez un patch sur votre machine vous êtes en droit d’attendre un certain niveau de sécurité mais le dernier patch atténue les risques mais ne corrige pas le problème. Il ne le patche pas ! » lâche cet expert dans les colonnes du site Computerworld.
Pourtant, la mise à jour signée des développeurs de Redmond délivre trois nouvelles solutions de sécurité couvrant quatre failles séparées du DNS (Domain name Server) mais oublierait de réparer les fonctionnalités sur le WPAD (Web Proxy Auto-Discovery).
Le spécialiste commente : « Le WPAD sert a configurer de manière automatique les serveurs proxy sur les machines. Lorsqu’un navigateur comme Internet Explorer est configuré pour détecter automatiquement les réglages, il va chercher à atteindre wpad.company.com et tenter de résoudre par lui-même la faille.Mais si un pirate peut manipuler les entrées WPAD, tout le trafic provenant de ces machines passera par ce même serveur. Une attaque de type homme du milieu peut alors être initiée (personne tierce) afin de voler les mots de passe et bien d’autres informations« .
Après que Tyler Reguly a publié ses recherches, Microsoft a tenu à défendre son approche. Sur le blog, la firme explique sa position : « Le WPAD est une fonctionnalité courante pour les entreprises et Microsoft est très attentif lorsqu’il diffuse une mise à jour de sécurité pour s’assurer qu’elle protège correctement nos utilisateurs. Il ne s’agit en aucun cas d’un cassage d’outils en lesquels notre public à toute sa confiance ». Le commentaire publié par Maarten Van Horenbeeck, un responsable programmeur du MSRC (Microsoft Security Response Center) tente de calmer le jeu.
Après cette critique, Microsoft a publié un document explicatif baptisé : « Les craintes à l’égard du serveur DNS après installation de la mise à jour du serveur DNS« . Tout est dans le titre.
La guerre de position continue donc, par blogs interposés….
Une mise à jour de l'EDR Crowdstrike Falcon a planté une multitude de serveurs et…
Un modèle GPT-4o mini rejoint le catalogue d'OpenAI. De la conception à l'évaluation, il a…
La Cour des comptes appelle à formaliser et à professionnaliser certains aspects du RIE, tout…
La Cour des comptes attire l'attention sur le risque d'affaiblissement d'Etalab, privé, ces dernières années,…
Missions historiques de la Dinum, l'ouverture des données publiques et la promotion des logiciels libres…
Pour développer une version 7B de son modèle Codestral, Mistral AI n'a pas utilisé de…