Flux RSS
Les correctifs logiciels de Microsoft : des cadeaux pour les hackers
http://www.bulletins-electroniques.com/actualites/54504.htm
Un groupe de chercheurs des universités de Pittsburgh, Carnegie Mellon et Berkeley vient de publier les résultats d'une étude sur la vulnérabilité des programmes Microsoft suite à la mise en circulation de correctifs. Ces chercheurs ont mis au point une technique qui crée automatiquement du code d'attaque en comparant les versions vulnérables et réparées d'un même programme.
La méthode, baptisée Automatic Patch Based Exploit Generation (APEG), peut créer du code d'attaque pour la plupart des types de vulnérabilité en quelques minutes en automatisant l'analyse des correctifs grâce à une technique hybride. Et si Microsoft ne change pas la façon dont ses correctifs sont distribués aux utilisateurs, des pirates pourraient créer un système similaire pour attaquer les systèmes non corrigés quelques minutes après la publication de correctifs. Beaucoup de professionnels de la sécurité informatique utilisent déjà la rétro-ingénierie pour déterminer les failles comblées par les correctifs mais le temps nécessaire à ce genre de travaux est actuellement de l'ordre de la journée.
Les avancées majeures de la méthode APEG sont donc sa rapidité et son automatisation. A partir des différences entre un programme vulnérable et un programme corrigé, la méthode APEG peut exploiter une faille de code en quelques minutes voire quelques secondes. "Je dirai que c'est la prochaine étape dans le cycle du développement des logiciels malveillants" affirme John Bambenek, chercheur à l'université d'Illinois.
Afin de contrer de telles attaques, l'équipe de chercheurs a détaillé quelques mesures qui pourraient limiter les menaces lors de la publication de nouveaux correctifs. Les éditeurs de logiciel pourraient par exemple crypter les correctifs avec des clés ou utiliser une distribution par Peer-to-Peer.
Pour en savoir plus, contacts :
Le rapport: "Automatic Patch-Based Exploit Generation is Possible: Techniques and Implications"- http://www.cs.cmu.edu/~dbrumley/pubs/apeg.pdf
Source :
- Microsoft Patch Process Called Security Risk, 25 avril 2008 : http://redirectix.bulletins-electroniques.com/AvzhD
- Patches pose risk - Windows Update should be redesigned, 24 avril 2008 : http://redirectix.bulletins-electroniques.com/n47IG
- Patches pose significant risk, researchers say, 23 avril 2008 : http://www.securityfocus.com/news/11514/2
BE Etats-Unis numéro 122 (5/05/2008) - Ambassade de France aux Etats-Unis / ADIT - http://www.bulletins-electroniques.com/actualites/54504.htm
Les 10 derniers articles mis en ligne
- HEC choisit Capacity & Change Manager d'APC
- Fujitsu Services désenclave la billetterie en ligne Eurostar
- Kelkoo lance son Kelpack
- Ares encore dans le rouge
- Proxim Wireless et CTV améliorent la sécurité du port de La Rochelle
- IPC et d'autres veulent unifier les communications financières
- NEC casse la facture énergétique
- Victoria Calmon rejoint Sinequa
- L'impression en entreprise passée au peigne fin
- Second Life, There.com, Cyworld, 3D...
Quels avenirs pour les mondes virtuels d’entreprises ?
le 16/05/2008 à 20:40