Un patch pour la fiabilité de Windows Vista

le 26/06/2008 à 23:18
Un patch pour la fiabilité de Windows Vista
Microsoft profite de la fin du mois de juin pour mettre en ligne plusieurs mises à jour à destination de ses systèmes d'exploitation. Le dernier d'entre eux, en l'occurrence Windows Vista profite non seulement de mises à jour pour son module Windows Media Center, qui se dote dorénavant d'une prise en charge étendue des récepteurs infrarouges et d'un correctif pour le module gérant l'Extender Xbox 360, mais également d'une mise à jour plus importante censée améliorer la fiabilité et les performances du système. Alors que les mises à jour Media Center sont téléchargées automatiquement par le module Windows Update, la mise à jour KB952709 fait pour l'instant l'objet d'un téléchargement manuel.

Parmi les améliorations apportées par cette mise à jour, signalons la correction ou tout du moins la réduction des problèmes de sauts audio et vidéo lors de la diffusion de contenu HD depuis un PC Vista SP1 avec un circuit réseau NVIDIA nForce vers un périphérique Windows Media Center Extender. Microsoft indique également avoir corrigé les plantages de la galerie photos Windows Live lors de la prévisualisation de vidéos QuickTime. Et Microsoft de corriger des problèmes de plantage lors de la réception d'emails avec Thunderbird ou Windows Mail dans certains scénarios spécifiques alors qu'un problème de lancement d'applications pouvait intervenir lorsque le PC fonctionnait depuis une trop longue période.

Le téléchargement de cette mise à jour s'effectue sur le site de Microsoft, après vérification de l'authenticité de votre licence Windows Vista en suivant ce lien.

A lire également

Le monde du logiciel libre est en émoi depuis la découverte d'une faille de sécurité majeure qui affecte plusieurs logiciels ou couches logicielles d'importance. La faille en question se situe dans la bibliothèque OpenSSL de Debian au niveau de la génération des clés utilisées pour le cryptage ou le décryptage, une fonction largement utilisée par le protocole SSH, le serveur Web Apache ou encore par les logiciels sécurisés de messagerie et le protocole VPN notamment. Deux lignes de code erronées sont à l'origine de cette faille, une faille qui affecte quatre systèmes d'exploitation et 25 logiciels au bas mot sans parler des ordinateurs affectés.

Découverte à la mi-mai, cette faille existe en vérité depuis deux années maintenant, date à laquelle des développeurs ont supprimé une portion de code utilisée par le package OpenSSL de Debian en vue de stopper l'apparition d'alertes dans les outils de validation de la sécurité du code comme Valgrind et Purify. Hélas, la suppression de ces lignes de code a introduit une vulnérabilité au niveau de la génération de nombres aléatoires dans la bibliothèque OpenSSL : au lieu d'utiliser des données aléatoires pour générer les valeurs des clés, la bibliothèque OpenSSL utilise l'identifiant du processus en cours. Le problème est que sous Linux, la valeur maximale par défaut utilisée pour identifier un processeur est 32 768. En clair, il n'existe que 32 768 clés possibles pour une architecture, un type de clé et une longueur de clé donnée ce qui rend les attaques en brute force réalisables.

Un patch vient d'être distribué mais il ne peut hélas pas réparer les dommages sur les systèmes compromis puisque tous les certificats générés doivent être recréés et renvoyés à l'autorité de certification pour une nouvelle validation. En clair, tous les certificats émis à partir de systèmes Debian doivent être révoqués et regénérés alors que les administrateurs systèmes sont vivement encouragés à pratiquer un audit des clés utilisées sur leurs serveurs par le protocole SSH pour interdire l'utilisation de clés vulnérables.

Un peu moins de 24 heures après l'annonce de cette faille, divers outils ont déjà été publié pour compromettre la sécurité des systèmes Linux à base Debian. Pour l'heure, personne ne sait exactement combien d'ordinateurs sont concernés et divers analystes se demandent si cette faille est belle et bien due à une erreur ou à une volonté délibérée d'introduire des portes cachées dans les systèmes d'exploitation libres. D'autres se contentent simplement de faire remarquer que le très décrié Windows Vista de Microsoft a prouvé depuis quelques mois sa fiabilité en matière de sécurité, notamment face à Windows XP. Rappelons pour conclure que seules les distributions Debian et ses dérivés (Ubuntu inclus donc) sont concernées par cette faille.

Commentaires

Ecrire

Ecrire un message

Votre message vient d'être créé avec succès.
LoadingChargement en cours