Le dernier ‘patch’ de Microsoft en date du 10 mars nourrit des interrogations au sein de la communauté des spécialistes en sécurité. Selon Tyler Reguly, expert au réseau de sécurité nCircle estime que la mise à jour MS09-008 ne réglerait pas les problèmes de faille DNS observées sur les éditions Windows 2000, 2003 et 2008.
« Lorsque vous installez un patch sur votre machine vous êtes en droit d’attendre un certain niveau de sécurité mais le dernier patch atténue les risques mais ne corrige pas le problème. Il ne le patche pas ! » lâche cet expert dans les colonnes du site Computerworld.
Pourtant, la mise à jour signée des développeurs de Redmond délivre trois nouvelles solutions de sécurité couvrant quatre failles séparées du DNS (Domain name Server) mais oublierait de réparer les fonctionnalités sur le WPAD (Web Proxy Auto-Discovery).
Le spécialiste commente : « Le WPAD sert a configurer de manière automatique les serveurs proxy sur les machines. Lorsqu’un navigateur comme Internet Explorer est configuré pour détecter automatiquement les réglages, il va chercher à atteindre wpad.company.com et tenter de résoudre par lui-même la faille.Mais si un pirate peut manipuler les entrées WPAD, tout le trafic provenant de ces machines passera par ce même serveur. Une attaque de type homme du milieu peut alors être initiée (personne tierce) afin de voler les mots de passe et bien d’autres informations« .
Après que Tyler Reguly a publié ses recherches, Microsoft a tenu à défendre son approche. Sur le blog, la firme explique sa position : « Le WPAD est une fonctionnalité courante pour les entreprises et Microsoft est très attentif lorsqu’il diffuse une mise à jour de sécurité pour s’assurer qu’elle protège correctement nos utilisateurs. Il ne s’agit en aucun cas d’un cassage d’outils en lesquels notre public à toute sa confiance ». Le commentaire publié par Maarten Van Horenbeeck, un responsable programmeur du MSRC (Microsoft Security Response Center) tente de calmer le jeu.
Après cette critique, Microsoft a publié un document explicatif baptisé : « Les craintes à l’égard du serveur DNS après installation de la mise à jour du serveur DNS« . Tout est dans le titre.
La guerre de position continue donc, par blogs interposés….
Comment gérer les données numériques après la mort de son détenteur ? La jeune pousse…
Ivès, expert en accessibilité de la surdité, s’est associé à Sopra Steria et à IBM…
L'Autorité de la concurrence et des marchés (CMA) a lancé la phase de recherche de…
Broadcom remplace pas moins de 168 logiciels VMware par deux grandes licences de location correspondant…
La banque d’investissement utilise l'IA pour proposer des stratégies individualisées, en termes de rendement et…
OVHCloud partage ses efforts environnementaux au sommet de l’Open Compute Project qui se tient à…