Discussion :

[Stéphane le calme]

Microsoft colmate une faille critique sur OpenType,
qui permet l'exécution d'un code à distance sur Vista, Windows 7, 8, 8.1, RT et Server

Un peu plus tôt ce mois, Mateusz Jurczyk du projet Google Zero, Genwei Jiang du spécialiste en sécurité FireEye Inc., et Moony Li de Trend Micro ont découvert une vulnérabilité sur OpenType Font Driver qui pouvait permettre à un attaquant d’exécuter du code à distance dès lors que l’utilisateur ouvre un document spécialement conçu pour cette opération ou visite une page non sécurisée qui embarque des polices OpenType.

« Une vulnérabilité d'exécution de code à distance existe dans Microsoft Windows lorsque le Windows Adobe Type Manager gère mal les polices OpenType spécialement conçues. Un attaquant qui parviendrait à exploiter cette vulnérabilité pourrait prendre le contrôle intégral du système affecté. Un attaquant pourrait alors installer des programmes, afficher, modifier ou supprimer des données ou même créer de nouveaux comptes dotés de tous les privilèges », a expliqué Microsoft.

Une vulnérabilité que Microsoft a classée comme étant critique et qui affecte les environnements Vista, Windows 7, Windows 8, Windows 8.1, Windows RT, Windows RT 8.1, Windows Server 2008 et Windows Server 2012. Windows 10 n’a pas été mentionné, l’écosystème semble donc ne pas présenter cette vulnérabilité.

Microsoft a déployé un correctif d’urgence pour colmater cette faille en modifiant la façon dont Adobe Type Manager Library gère les polices OpenType. « Lorsque ce bulletin de sécurité a été émis, Microsoft avait une information indiquant que cette vulnérabilité était publique, mais ne disposait d'aucune information indiquant si cette vulnérabilité avait été utilisée pour attaquer des clients. Notre analyse a montré que le code d'exploitation pourrait être créé de telle façon qu'un attaquant pourrait systématiquement exploiter cette vulnérabilité ».

« La plupart de nos clients ont activé le système de mise à jour automatique et n’auront donc pas à entreprendre quoique ce soit parce que la mise à jour sera téléchargée et installée automatiquement », précise Microsoft. Pour ceux qui n’ont pas activé le système de mise à jour automatique ou qui installent les mises à jour manuellement, il vous suffit de vous rendre à la liste des logiciels infectés ; des liens sont disponibles pour vous permettre de télécharger et d'installer ces mises à jour.

Source : Microsoft (bulletin de sécurité) , Microsoft (remerciements pour les découvertes de vulnérabilité)

[imikado]

La c'est une bonne nouvelle pour W10 home: ce type de correction sera appliquée ASAP

[Etre_Libre]

Sur les anciens Windows, ça se serait appliqué aussi, dès l'extinction du PC comme souvent, les gens ne valident pas volontairement les mises à jour mais elles se faisaient déjà

[imikado]

Pas si ils ont désactivé windows update (en automatique)

[Etre_Libre]

Pour un particulier c'est extrèmement rare, généralement ce type de personne ne sait même pas où c'est pour appliquer un réglage.

Par contre pour l'utilisateur avancé, ce mode forcé va être vraiment problématique...

[imikado]

1. Pour les licences piratés, c'est souvent le cas
2. Certains constructeurs les désactivent (dernier exemple ici : http://www.developpez.com/actu/86858...lotes-idoines/)

[Etre_Libre]

C'est relativement isolé...

D'une part, les licences pirates sont très rares chez le particulier lambda (j'en vois quasiment jamais, malgré toutes mes interventions), et d'autre part Samsung ne vend pas des tonnes de PC...

De plus, même avec Windows 10, Samsung aurait pu décider de couper le service Windows Update, les mises à jour auraient été bloquées malgré tout.

[imikado]

D'une part, les licences pirates sont très rares chez le particulier lambda (j'en vois quasiment jamais, malgré toutes mes interventions),

Je vous trouve bien naif sur ce point
Je vous invite à lire ce article, qui commence par lister une partie des noms de version de windows pirates existant sur le réseau: une cinquantaine

Ou de voir le nombre d'article précisant que la mise à jour gratuite W10 ne concernera pas les version pirates

Voilà qui semble tomber sous le sens, mais Microsoft a quand même voulu faire un point la dessus

http://www.cowcotland.com/news/47709...s-pirates.html
Microsoft n'aurait pas pris la peine de le préciser si ils pensaient comme vous...

et d'autre part Samsung ne vend pas des tonnes de PC...

Samsung représente environ 5,6% du marché des PCs ce n'est pas négligeable, mais je vous l'accorde c'est un cas isolé

De plus, même avec Windows 10, Samsung aurait pu décider de couper le service Windows Update, les mises à jour auraient été bloquées malgré tout.

Je ne pense pas que ce soit si simple, sinon la plupart des gens le débrayeront sur W10 Home, alors que c'est une volonté de Microsoft de le rendre automatique

[imikado]

Pour information/rappel, la france était parmi les premières à utiliser des version pirate en 2010

Sur les 116 pays observés, l'hexagone est donc premier. 39% des logiciels installés sur nos machines tricolores seraient piratés.

On peut également juste se basé sur cette news également qui parlaient du téléchargement d'un version pirate de W7

Il semblerait que cette version ait été déjà téléchargée à plusieurs milliers d’exemplaires depuis sa mise à disposition mercredi dernier.

Oui, il y a beaucoup de gens dans le monde qui font tourner des versions pirates de windows sur leur PC.

[Etre_Libre]

Je ne fais que parler de ce que je rencontre, et en terme de logiciels et divers et variés je veux bien, mais pour l'OS je rencontre très peu de piratage pour le moment.

De plus, un pirate qui voudra absolument Windows 10 l'aura quand même (au minimum via l'activation KMS) et si les mises à jour il n'en veut pas il pourra sûrement (à vérifier mais je pense que ça marcherait) couper le service Windows Update, ou si vraiment rien n'est faisable à ce niveau, des règles de pare-feu (moins probable qu'il faille en arriver là).

Pour moi cette histoire de mises à jour forcées ne va rien régler : le pirate va continuer à les couper d'une manière ou une autre, et le particulier lambda (Mme Michu qui achète son PC en grande surface) aura toujours les mises à jour qu'elle avait déjà.

Par contre pour les utilisateurs avancés galère :
- Pas moyen de choisir quand ce sera téléchargé (il ne vaut mieux pas être sur une connexion lente ou même mobile en partage de connexion)
- Pas moyen de masquer une mise à jour qui déconne
- Pas moyen officiel pour éviter les mises à niveau (qui ne sont pas anodines, surtout si je vois les plantages qu'il y a eu entre 8.0 et 8.1 quand on acceptait la mise à niveau)

Pour le dernier point (mises à niveau), l'utilisateur non avancé risque de trinquer par moments...