Connexion

Catégories

Droit Économie Flock Hardware IA Internet Logiciel Sciences Sécurité Société

Nous Suivre

Contact rédaction Contact site Forum
Flux RSS GitHub Discord

À propos

Abonnez-vous

Google révèle les détails d’une faille critique dans Windows, Microsoft n’apprécie pas

Tempus fugit

Google révèle les détails d'une faille critique dans Windows, Microsoft n'apprécie pas

Le 02 novembre 2016 à 15h02

Dans un billet publié lundi, Google a dévoilé en partie les détails d’une faille critique dans Windows. Problème, cette publication s’est fait dix jours seulement après que Microsoft a été averti. L’éditeur de Windows a d’ailleurs critiqué le calendrier.

Google ne masque pas le fait que le temps de réaction laissé à Microsoft est assez court. Le billet indique que le père de Windows a été averti le 21 octobre, en même temps qu’Adobe. La faille du système ne peut être exploitée en effet qu’en utilisant une autre vulnérabilité, cette fois dans Flash. Cette dernière est bouchée et le correctif est disponible dans l’outil de mise à jour intégré dans le lecteur, ou via Chrome, qui a lui aussi reçu une nouvelle version.

La faille dans Windows n’est cependant pas corrigée, le délai de dix jours semblant assez court, surtout au vu de l’absence de détails supplémentaires. Google a d’ailleurs été obligé de rappeler la politique mise en place il y a trois ans, selon laquelle toute faille critique signalée depuis sept jours verrait ses informations publiées. Cependant, Google se justifie : non seulement Microsoft n’a pas publié de bulletin d’information à ce sujet, mais la faille est en fait déjà exploitée.

Une faille qui permet de s'extirper de la sandbox

Elle permet une escalade locale des privilèges au sein du noyau de Windows (toutes les versions sont touchées), avec pour principal intérêt de pouvoir s’échapper de la sandbox du système. Pour rappel, une sandbox – littéralement « bac à sable »- est un espace mémoire isolé au sein duquel un programme ou une page web est lancé. Ses accès sont limités et soigneusement contrôlés, permettant notamment de bloquer toute tentative de s’en prendre à un autre programme ou composant système. Pouvoir s’en échapper représente donc un vrai problème.

Plus précisément, la faille peut être appelée via la fonction NtSetWindowLongPtr() de win32k.sys. Dans le cas de Chrome, les appels système de win32k.sys sont bloqués en utilisant une technique disponible dans Windows 10, « win32 lockdown ». Cela, ajouté à la faille corrigée dans Flash, rend normalement toute exploitation impossible pour les utilisateurs de Chrome. Raison sans doute qui permet à Google d’évoquer la faille en « toute sécurité ».

Microsoft accuse Google de mettre les utilisateurs en danger

Microsoft, de son côté, n’est clairement pas ravi de la situation. L’éditeur a d’abord indiqué à VentureBeat que « la divulgation d’aujourd’hui met les utilisateurs en danger ». Ce qui est effectivement le cas : même si la faille est activement exploitée, les pirates qui ne connaissaient pas la brèche risquent fort de s’y pencher. D’un autre côté, tant que la faille dans Flash est bien colmatée, celle de Windows est en théorie inexploitable.

En outre, le responsable Terry Myerson, de chez Microsoft, a publié hier un billet donnant des informations sur la manière dont la faille Windows est actuellement utilisée. C’est à un groupe russe nommé Strontium (également appelé Fancy Bear) que l’on doit la campagne d’attaques qui l’accompagne. Cette dernière aboutit à l’installation d’une porte dérobée ouvrant alors de nombreuses possibilités.

windows defender atp

On apprend également qu’une enquête a été ouverte conjointement avec Adobe et Google pour cerner de plus près l’exploitation et ses conséquences. Le correctif existe en fait déjà, mais est actuellement en cours de test chez les partenaires pour vérifier son fonctionnement. Voilà pourquoi il ne sera pas disponible avant le 8 novembre, date du prochain Patch Tuesday. Enfin, et c’est un point important, Myerson précise que si les utilisateurs ont activé l’Advanced Threat Protection dans Windows Defender (« Protection dans le cloud »), l’attaque sera détectée et bloquée, mais uniquement sous Windows 10.

Divulgation discrète ou de motivation

La publication du billet de Google relance cependant le débat sur les divulgations des détails sur les failles de sécurité. Ceux pointés par Google ne sont pas suffisants pour représenter une vraie marche à suivre, mais sont tout de même un indice clair sur la direction à suivre.

Microsoft a rappelé préférer les divulgations responsables d’informations, surtout quand ils ont trait à des failles jugées critiques puisque exploitables à distance. Par « responsables », l’éditeur entend tout simplement que ces informations resteront masquées tant que le correctif idoine n’aura pas été publié.

Commentaires (70)

Vous devez être abonné pour pouvoir commenter.

Abonnez-vous
votre avatar

Toujours le même problème

La justification de Google peut s’entendre (“non seulement Microsoft n’a pas publié de bulletin d’information à ce sujet, mais la faille est en fait déjà exploitée”), même si c’est sûrement pas pour protéger les utilisateurs que Google a été bavard si rapidement



Je comprends pas pourquoi il est nécessaire d’avoir Flash. Si Windows a une faille, il suffit d’avoir un accès local non? (et ici c’est Flash qui permettrait l’exploitation distante)

votre avatar

Je sais que c’est pas Vendredi mais… une sandbox dont on arrive à sortir c’est pas un peu paradoxal ?

Cet outil est conçu justement pour contenir les fuites…

votre avatar

Et que s’appellorio : faille de sécurité



<img data-src=" />



Une sandbox permet à un process de s’exécuter sans avoir le droit d’influencer le système hors de la sandbox. Mais si il y a une faille dans la sandbox on peut en sortir. Ca n’est pas un truc magique qui n’a jamais de faille de sécurité <img data-src=" />



Ca arrive, et c’est le cas ici, d’où la gravité de la faille.

votre avatar







Obidoub a écrit :



Je sais que c’est pas Vendredi mais… une sandbox dont on arrive à sortir c’est pas un peu paradoxal ?

Cet outil est conçu justement pour contenir les fuites…







Oui parce que les autres outils sont justement conçu pour avoir des failles eux, c’est bien connu…





<img data-src=" />



Un logiciel sans failles si c’était si simple à faire, ça fait longtemps qu’on le saurais.


votre avatar

C’est une faille utilisable par un navigateur internet + Flash.

L’une des façon dont elle a déjà été exploitée est par l’envoi de mail contenant des liens vers un site l’utilisant. La politique de Google est cohérente : connaitre une faille sans la corriger n’améliore pas la protection des utilisateurs.

Une semaine c’est court, mais quand c’est une faille critique et déjà utilisée, c’est un délai que Microsoft devrait être en mesure de respecter.

votre avatar







after_burner a écrit :



Un logiciel sans failles si c’était si simple à faire, ça fait longtemps qu’on le saurais.







Quoi ? Tu ne fais pas tourner chrome dans un chroot linux fonctionnant dans un jail bsd dans container docker sous windows 2016 core, lui même en VM vmware workstation sous Windows 10 ?



<img data-src=" />


votre avatar

Le tout en Ubuntu snap, ça va de soi !&nbsp;<img data-src=" />

votre avatar

Perso, autant je comprend que si le dev ne fait pas d’effort de corriger la faille, la publier le met le dos au mur et le force à publier le correctif.



Quand le dev est proactif, qu’il a un correctif et le teste, c’est un peu “violent” de sortir la faille …


votre avatar

Ils auraient pu attendre que la patch Tuesday soit passé pour divulguer cette faille. En effet, si à ce moment-là Microsoft n’avait rien corrigé ils méritaient d’être mis au pied du mur. Mais là, franchement, c’est plus que limite comme attitude.

votre avatar

C’est aussi un moyen pour Google de promotionner Chrome.

“Regarder il y a une faille mais Chrome n’est pas impacter… Viender utiliser Chrome!”



7 jours c’est court, Adobe a réussi à colmater (ils sont les fautifs) mais un petit délais supplémentaire n’aurait pas été de trop je pense.

votre avatar

On peut comprendre la déception de Microsoft, Google donnant de sérieuses pistes aux pirates pour identifier en détail et développer un outil pour exploiter la faille. C’est d’autant plus étonnant que Google ne suggère aucune solution, sinon… d’utiliser Chrome sous Windows 10.



Google paraît ici d’autant plus cavalier qu’il renvoie sur la documentation de son système de protection Win32 Renderer lockdown. Or, cette même documentation affirme qu’il faut jusqu’à six semaines aux équipes de Google pour corriger un bug dans ses propres noyaux Linux, dont Chrome OS&nbsp;:





  • “On Linux, kernel bugs such as these are mitigated in two ways. &nbsp;Firstly, they are fixed by the Linux kernel maintainers at a relatively rapid pace, so most systems can be updated. &nbsp;In particular, Chrome OS, a Linux based system under Google control, can be patched within the six week target patch timelines as the kernel is controlled by Google.”



    Et il ne s’agit pas d’une ancienne documentation obsolète : elle a été mise-à-jour le 28 octobre 2016, soit une semaine après que Google ait découvert la faille relative à Flash&nbsp;et à Windows, et trois jours avant son annonce publique.



    Si à son tour, Microsoft donnait sept jours à Android pour annoncer ou corriger les failles, Google risquerait de ne pas apprécier… (En parlant d’Android, si Google pouvait inviter Samsung à mettre à jour mon téléphone, ce serait bienvenu.)

votre avatar

Microsoft aurait dû avertir ses utilisateurs et suggérer une mesure palliative.



Google a bien fait de signaler le problème vu que la faille est déjà exploitée est est donc déjà utilisée pour attaquer les utilisateurs.



Ce que fait Microsoft ne compte même plus pour de la sécurité par l’obscurité, mais simplement de la négligence.

votre avatar

Google veut peut être qu’on parle d’ANDROID ? la PASSOIRE non upgradable ?

votre avatar

C’est Microsoft, donc ils doivent réagir à la vitesse de la lumière.

Non. Clairement non.

Google met de l’huile sur le feu.

votre avatar

Comme j’ai dis deux commentaires plus haut :&nbsp;un correctif existe coté Flash et la faille est déjà exploitée. Il n’y a aucune raison d’attendre pour la rendre public, sauf pour soigner l’image de Microsoft.



Et je pense pas que flash réagisse spécialement à la vitesse de la lumière, pourtant ils ont bien réussi à faire un patch, d’où la raison de cette annonce publique.

votre avatar

Venant d’une boîte qui est incapable d’obtenir de ses partenaires d’appliquer ses propres patchs de sécurité, je trouve que Google est un beau ramassis d’en.ulés….



Dernière mise à jour de sécu sur mon moto X : 1er décembre 2015……



Bravo gogol…..

votre avatar







Juju251 a écrit :



Et sinon corriger les failles sur les smartphones android en circulation ? (je sais d’avance qu’on va me dire que Google n’y peut rien … )









Vu leur position de monopole, ils pourraient très bien exiger des partenaires : soit vous diffusez les patch de sécu, soit vous n’aurez pas la prochaine version….



Vous croyez que HTC, Motorola, Sony et cie vont prendre le risque de ne pas obtenir Bloatware X.0 ?


votre avatar







t0FF a écrit :



Comme j’ai dis deux commentaires plus haut : un correctif existe coté Flash et la faille est déjà exploitée. Il n’y a aucune raison d’attendre pour la rendre public, sauf pour soigner l’image de Microsoft.



Et je pense pas que flash réagisse spécialement à la vitesse de la lumière, pourtant ils ont bien réussi à faire un patch, d’où la raison de cette annonce publique.







Il se peut que la faille coté windows soit plus compliqué à corriger. D’autant que MS bosse sur le correctif, c’est pas une course et rendre la faille public, vu qu’elle est est exploitée ne vas surement pas améliorer la situation.



L’un dans l’autre, Google cherche quand même la merde ici.



<img data-src=" />


votre avatar







NI a écrit :



Google veut peut être qu’on parle d’ANDROID ? la PASSOIRE non upgradable ?





Les smartphones de Google sont maintenus. Pas aussi longtemps que Apple avec IOS mais ils le sont tout de même.



Et puis bon, à chaque news android on parle du problème des maj et support par les constructeurs alors bon… on en parle déjà tout le temps.


votre avatar

Google ne peut rien faire pour les maj d’Android…



Pendant ce temps là, y’a des gens sur Windows 10 Mobile Insider qui reçoivent des updates toutes les 23 semaines…



Ah et d’apres le billet de MS : Edge était protégé depuis l’anniversary update..

votre avatar

Cyanogen Mod, what else ? <img data-src=" />

votre avatar

Pas mal venant d’une firme qui a développé une faille de sécurité de notre vie privée à l’échelle planétaire.

votre avatar

Combat de marchands de passoires.

votre avatar

Allez troll du jour :



J’ai découvert récemment un correctif de la faille de sécurité.&nbsp;

Allez dans panneau de configuration&gt;programmes&gt;désinstaller un programme, puis supprimez adobe flash



<img data-src=" />

votre avatar

“Google. Don’t be evil !”



Mais ca, c’était avant.

votre avatar







atomusk a écrit :



Sachant que 99% du temps, il suffit de balancer de l’argent sur une faille pour qu’un correctif parfait apparaisse, ou qu’il suffit de mettre 100 fois plus de dev pour corriger une faille 100 fois plus vite, j’ai du mal à voir où tu veux en venir <img data-src=" />





ben que ms est une petite boite qui n’a pas de dev à mettre sur les failles. Parce que ça ne va pas être facile de trouver 100 dev dispo chez ms sachant qu’ils ont promis que ma xbox scorpio allait défoncer la ps4 pro, va falloir mettre tous&nbsp; les développeurs de la boite su le coups s’ils veulent tenir leur promesse.


votre avatar







after_burner a écrit :



Il se peut que la faille coté windows soit plus compliqué à corriger. D’autant que MS bosse sur le correctif, c’est pas une course et rendre la faille public, vu qu’elle est est exploitée ne vas surement pas améliorer la situation.



L’un dans l’autre, Google cherche quand même la merde ici.



<img data-src=" />









127.0.0.1 a écrit :



“Google. Don’t be evil !”



Mais ca, c’était avant.





Je veux bien comprendre que la faille soit plus compliquée à corriger d’un coté que de l’autre, mais ce n’est pas le problème. Pour que la faille ne soit plus exploitable, il suffit que l’un des deux cotés soit patché, et Google a bien attendu que ce soit le cas.&nbsp;





Donc Google prévient les gens de la faille au moment ou ils peuvent s’en protéger. Enfin “doivent” s’en protéger, puisque la faille est déjà utilisé. Vous auriez voulu que Google ne parle pas de la faille ni du patch de Flash, en laissant les hackers utiliser cette faille ? Que Microsoft soit plus long a patcher que Flash, on s’en fout un peu au final, non ? Il n’y a que deux chose qui compte : Est-ce que la faille est déjà connue des hackers, et est-ce qu’on peut s’en protéger aujourd’hui. Pour les deux questions, c’est oui, donc il n’y a aucune raison de ne pas dévoiler la faille.&nbsp;



Microsoft se ridiculise en venant râler, ce qui compte, c’est que ses utilisateurs se protège de cette faille.



Bon au passage, Google qui en profite pour conseiller Chrome, c’est aussi assez ridicule.&nbsp;


votre avatar

Google ne fait pas d’annonce si la faille est corrigée ou que l’entreprise&nbsp;fait une annonce.

Si Microsoft voulait moins de détails dans l’annonce, il avait qu’à la faire lui-même.

&nbsp;

votre avatar

Qu’il faille jusqu’à 6 semaines pour patcher le kernel ne signifie pas que si Google trouve une faille exploitée activement, ils mettront “forcément” 6 semaines pour le corriger …

votre avatar







atomusk a écrit :



Perso, autant je comprend que si le dev ne fait pas d’effort de corriger la faille, la publier le met le dos au mur et le force à publier le correctif.



Quand le dev est proactif, qu’il a un correctif et le teste, c’est un peu “violent” de sortir la faille …





ouais enfin là c’est une grosse boite qui s’attaque à une startup, c’est pas fair play


votre avatar

Sachant que 99% du temps, il suffit de balancer de l’argent sur une faille pour qu’un correctif parfait apparaisse, ou qu’il suffit de mettre 100 fois plus de dev pour corriger une faille 100 fois plus vite, j’ai du mal à voir où tu veux en venir <img data-src=" />


votre avatar

Bah ils corrigeront sur la version courante, et ce seront les fabricants qui seront responsables de laisser 60% des appareils sans mise à jour parce que trop vieux <img data-src=" />

votre avatar

C’est le principe même de la sandboxe que d’isoler les événements donc oui…



<img data-src=" />

votre avatar

Est-ce que ce n’est pas un peu problématique en soit de n’avoir des maj de sécurité seulement les mardis ? S’agirait d’être capable de déployer ces patchs de façon continue…

votre avatar

Et sinon corriger les failles sur les smartphones android en circulation ? (je sais d’avance qu’on va me dire que Google n’y peut rien … )

votre avatar

Le problème dans l’histoire, c’est que Google en divulgant la vulnérabilité n’aide pas les utilisateurs à s’en protéger hormis dire : Utiliser Chrome, il est sécure.

votre avatar

Donc ils ne permettent pas de s’en protéger, sauf quand ils donnent une méthode pour s’en protéger ? <img data-src=" />

votre avatar

Flash est une faille de sécurité en lui même, et pourquoi on ne peut pas désinstaller cette merde de Edge dans Windows10? <img data-src=" />

votre avatar

Le problème est qu’on ne développe pas un correctif pour tous les Windows encore en service comme on développe un correctif pour un petit machin comme Chrome.

&nbsp;Donc les règles de Google… moins d’une semaine tout ca…. n’ont aucun sens …..

votre avatar

Oui, mais bon. Que serait Google sans Microsoft ?

Un petit blocage accidentel de Chrome sous Windows pour 30 jours ramènerait Google dans une bonne perspective.

votre avatar

Ce qui est, en fait, exactement ce que je dis <img data-src=" />

votre avatar







Aloyse57 a écrit :



Oui, mais bon. Que serait Google sans Microsoft ?

Un petit blocage accidentel de Chrome sous Windows pour 30 jours ramènerait Google dans une bonne perspective.





Si Microsoft faisait ça, le cours du pop-corn explose et il risque d’y avoir du grabuge niveau instances du commerce&nbsp;<img data-src=" />


votre avatar

La faille a déjà été corrigé coté Flash, donc si, divulguer la faille permet d’informer les utilisateurs de la nécessité de mettre à jour flash.

votre avatar







atomusk a écrit :



Sachant que 99% du temps, il suffit de balancer de l’argent sur une faille pour qu’un correctif parfait apparaisse, ou qu’il suffit de mettre 100 fois plus de dev pour corriger une faille 100 fois plus vite, j’ai du mal à voir où tu veux en venir <img data-src=" />







Quand un modérateur trolle, il faut le signaler à qui ? <img data-src=" />


votre avatar

Des modo ont déjà été modérés, il faut juste le signaler … mais pas évident que ça moi qui modère le commentaire <img data-src=" />

votre avatar

Dire qu’Android est désastreux en terme de sécurité c’est comme dire que Linux n’est pas sécure parce que Free n’a pas déployé des patch sur la freebox.



Google fournis l’OS, il est adapté, modifié, customisé par les OEM et intégré dans leur téléphone.

les OEM sérieux ça existe, Blackberry est un parfait exemple, sinon passe sur les pixel.

Maintenant tout le monde se fout parfaitement du fait que les patch de sécurité ne sont pas appliqués sur les téléphones (les clients, comme les média), et c’est chiant, il faudra sans doute l’équivalent de Blaster sur Windows XP pour que ça change.



En attendant les Pixel sont le parfait exemple d’un bon téléphone qui aura les mises à jour dans les temps.

votre avatar







t0FF a écrit :



Donc Google prévient les gens de la faille au moment ou ils peuvent s’en protéger. Enfin “doivent” s’en protéger, puisque la faille est déjà utilisé. Vous auriez voulu que Google ne parle pas de la faille ni du patch de Flash, en laissant les hackers utiliser cette faille ? Que Microsoft soit plus long a patcher que Flash, on s’en fout un peu au final, non ? Il n’y a que deux chose qui compte : Est-ce que la faille est déjà connue des hackers, et est-ce qu’on peut s’en protéger aujourd’hui. Pour les deux questions, c’est oui, donc il n’y a aucune raison de ne pas dévoiler la faille.







—————————————————————————————————————————————————–

Bonjour, nous sommes Google.



Nous avons découvert une faille de sécurité dans Flash et une autre dans Windows. Un hacker utilisant conjointement ces deux failles pourrait prendre contrôle de votre PC.




  • Adobe a publié un patch qui corrige la faille de Flash.

  • Microsoft va publier prochainement un patch qui corrigera la faille dans Windows.



    Nous vous souhaitons une bonne journée.

    —————————————————————————————————————————————————–



    Voila. C’était si dur que cela de signaler une faille aux utilisateurs, sans trop en dévoiler aux hackers ?


votre avatar







arno53 a écrit :



Google ne peut rien faire pour les maj d’Android…





Tu es aveugle !

Google fait exactement ce qu’il pourrait faire sur Android :

dire publiquement que les téléphones Android sont des passoires.


votre avatar

Ouai bon c’est vrai que dit comme ça, c’était peu être pour faire un peu chier Microsoft aussi.

Je pense que c’est aussi pour mettre un coup de pression sur le fait de corriger les failles rapidement après qu’elles soient découvertes. Genre faire un exemple bien visible mais sans que ce soit trop grave puisque de l’autre coté c’est fixé, et qu’en même temps la faille est déjà connu par les Russes.

Mine de rien, si Google se pointe demain et te dis t’as une faille critique là, t’as une semaine pour corriger après on publie, tu vas les prendre au sérieux du coup.&nbsp;

votre avatar

J;ai jamais vue microsoft sortir rapidement un fix pour une faille importante, même une 0day, microsoft &nbsp;prend sont temps et c’est dangereux mais ça n’égale pas Dell qui ne sort pus de mise a jours pour leur produit même si un nouvelle OS de windows &nbsp;sort un ans après l’arrêt des ventes d’un produit&nbsp;



&nbsp;

Aussi quelqu’un peut montré a microsoft comment effectué des mise a jours vraiment silencieuse sans avoir a redémarré sont ordinateur chaque fois , mon pc de salon sous linux reçoit lui c’est mise a jours et j’ai pas besoin de le reboot a chaque mise a jours , même ceux du noyau et ils reste stable et sécuritaire

votre avatar

Ils auraient aussi pu le faire en chanson, style Ménélik, avec du gros son :

“Je te le dis y a faille bébé, sinon je l’annoncerais faillefaille !” -&gt;[]

votre avatar

Alors tu n’as jamais travaillé en entreprise en relation directe avec Microsoft.&nbsp;J’ai déjà participé aux specs de deux fix (un pour TS Gateway et l’autre pour UAG) suite à la découverte de comportement problématique.&nbsp;



Ouverture d’un ticket

Prise en charge

Etude

Fix (qui a été intégré dans le CU du mois suivant et communiqué aux partners)



Le tout en 6 jours.

Me semble pas que ce soit beaucoup vu les tailles des produits en question.

votre avatar

Tu peux le désactiver, ça revient au même. Perso, Flash n’est plus activé nulle part chez moi, et je ne rencontre jamais de problème.

votre avatar

Va plutôt te plaindre à ton constructeur&nbsp;

votre avatar







lordofkill a écrit :



mon pc de salon sous linux reçoit lui c’est mise a jours et j’ai pas besoin de le reboot a chaque mise a jours , même ceux du noyau et ils reste stable et sécuritaire





Cela m’étonne fortement pour le noyau.

Il y a certes la possibilité de patcher à chaud les noyaux depuis peu, mais cela m’étonnerait que ce soit le cas dans ton salon. Les distributions qui permettent cela font payer ce service. Dans tous les autres cas, il faut rebooter la machine pour que la mise à jour soit prise en compte.

J’ai bien peur que tu ne maîtrises pas suffisamment ton système et que tu le crois à tort sécurisé.


votre avatar

Google fait exactement pour Androïd ce qu’il a fait ici : il publie la faille même si les constructeurs n’ont pas répercuté sa correction sur leurs smartphones.

La différence est que ces constructeurs ne pleurnichent pas comme le fait Microsoft. En fait, ils s’en foutent, je pense.

votre avatar







after_burner a écrit :



Il se peut que la faille coté windows soit plus compliqué à corriger.







Ben oui Microsoft doit d’abord contacter la NSA pour demander l’autorisation de boucher la faille, alors que côté Flash la NSA a ses bureaux directement chez Adobe, donc suffit de demander l’autorisation à la machine à café, c’est plus rapide <img data-src=" />


votre avatar







Edtech a écrit :



Tu peux le désactiver







Je l’ai désinstallé quand Twitch est passé à l’HTML5 <img data-src=" />



Mais Flash est toujours présent (mais désactivable) dans Edge que Microsoft m’empêche de désinstaller <img data-src=" />


votre avatar

Pas mieux. Sony est également assez sérieux de ce point de vue la.



Une chose toutefois que peut rendre al vie très compliquée pour les intégrateurs : les fournisseurs de chip ARM qui peuvent décider du jour au lendemain de ne plus fournir de drivers pour leurs chips pour les nouvelles versions d’Andrpïd. Qualcomm en tête pour Nougat et les Snapdragon 801 (pas merci Qualcomm sur ce couip-la).



Contrairement au monde x86, il n’y a aucun vrai standard (même de fait), donc impossible de faire un OS générique, faut tout recompiler …

votre avatar







lordofkill a écrit :



Aussi quelqu’un peut montré a microsoft comment effectué des mise a jours vraiment silencieuse sans avoir a redémarré sont ordinateur chaque fois , mon pc de salon sous linux reçoit lui c’est mise a jours et j’ai pas besoin de le reboot a chaque mise a jours , même ceux du noyau et ils reste stable et sécuritaire





Si tu as besoin de redémarrer c’est juste que tu n’es pas notifier.



Il y a pas mal de mise à jour qu’il nécessite de redémarrer notamment celle qui touche la libc, le système d’init ou le noyau Linux.


votre avatar







millman42 a écrit :



Si tu as besoin de redémarrer c’est juste que tu n’es pas notifier.



Il y a pas mal de mise à jour qu’il nécessite de redémarrer notamment celle qui touche la libc, le système d’init ou le noyau Linux.





non,il n’y a pas beaucoup de mises à jour où un redémarrage est nécessaire sous le nux, c’est uniquement pour le noyau (le cas le plus fréquent) et certaines libs

TRES nettement moins souvent que windows, là c’est à chaque fois que cela doit être fait (je parle de l’os pas de programmes tiers)



j’ai du dual boot windows 10 et ubuntu (et sous linux depuis mandrake 5.1)

&nbsp;


votre avatar

Il faut quand même différencier 2 “updates” : les patch de sécurité et les mises à jour “de version”.



un OEM ne devrait pas avoir besoin du constructeur de SOC pour appliquer une mise à jour de sécurité.

votre avatar

Tu es serieux ? <img data-src=" />



tu connais beaucoup d’OS qui ne sont “jamais” tombé à un concours pown2own (et qui étaient en jeu … on parle pas de multidesk OK <img data-src=" />) ?

En plus tu en parles sur une news avec une faille de sécurité dans Windows qui est exploitée actuellement <img data-src=" />



Et encore une fois, je le dit clairement, la manière dont les constructeurs gérent la sécurité d’android va leur péter à la gueule, et je serai le 1er à soutenir une action collective contre les OEM pour la négligence dont ils font preuve.


votre avatar







atomusk a écrit :



un OEM ne devrait pas avoir besoin du constructeur de SOC pour appliquer une mise à jour de sécurité.





Il peut en avoir besoin dans certains cas, le driver pilotant certaines IP n’étant par toujours libre.



On a eu un cas cité dans un article de NXI, mais je ne me souviens pas des détails. Cela concernait une faille déjà ancienne concernant la sécurité.


votre avatar

alors oui, si c’est un bug dans le driver, il faut que le constructeur fournisse le driver patch en effet (et il y en a eut pas mal sur les SOC qualcomm récemment … faut dire aussi qu’ils sont un peu partout <img data-src=" />).



Mais vu qu’on en entend parler par le biais des “patch mensuel” de Google, ça siginifie que le correctif est dispo et appliquable par l’OEM.

votre avatar

Tu viens redire plus ou moins ce que j’ai dis.

votre avatar

On est d’accord sur le fait qu’en profiter pour promouvoir Chrome, ça fait clairement&nbsp;tâche.

Pour le reste, bien fait pour Microsoft si ils passent pour des branlos, c’est exactement ce qu’ils sont dans ce cas.

Autant si aucun correctif n’était disponible, j’aurais pu en vouloir à&nbsp;Google, autant là comme il est déjà possible de patcher Flash, je trouve qu’ils&nbsp;ont eu entièrement raison.&nbsp;



On parle quand même du faille utilisée par au moins&nbsp;un groupe Russe lié aux services de renseignement, les piratages réalisés grâce a cette faille&nbsp;ont clairement influencés les élections présidentiels, rien que ça !&nbsp; Alors la réponse de Microsoft “non mais on s’en occupera lors du prochain patch mensuel, d’ici là bonne chance”&nbsp;n’est vraiment pas terrible. &nbsp;

votre avatar

Encore un qui croit qu’augmenter le nombre de développeurs fait aller plus vite…

Non, ça n’est pas le cas, ça devient même l’inverse si on en ajoute trop !



De plus, le patch est disponible chez Microsoft, mais autant Adobe peut balancer une mise à jour de Flash sans faire des tonnes de tests, ça n’est pas bien grave s’il y a un problème, autant Microsoft ne peut et ne doit surtout pas balancer une mise à jour (qui plus est noyau sans doute) sans faire des tonnes de tests, ce qui prend du temps !

votre avatar







t0FF a écrit :



On est d’accord sur le fait qu’en profiter pour promouvoir Chrome, ça fait clairement tâche.

Pour le reste, bien fait pour Microsoft si ils passent pour des branlos, c’est exactement ce qu’ils sont dans ce cas.

Autant si aucun correctif n’était disponible, j’aurais pu en vouloir à Google, autant là comme il est déjà possible de patcher Flash, je trouve qu’ils ont eu entièrement raison. 



On parle quand même du faille utilisée par au moins un groupe Russe lié aux services de renseignement, les piratages réalisés grâce a cette faille ont clairement influencés les élections présidentiels, rien que ça !  Alors la réponse de Microsoft “non mais on s’en occupera lors du prochain patch mensuel, d’ici là bonne chance” n’est vraiment pas terrible.





C’est pas “on s’en occupera lors du prochain patch mensuel”, mais “les tests de non-rég sont en cours”. Un patch qui a des effets secondaires désastreux (et c’est déjà arrivé) c’est tout aussi dommageable. Là, il se trouve que ça arrivera dans le prochain patch tuesday qui arrive en même temps, mais MS sort régulièrement des patches “hors cycle” si nécessaire.

Je préfère qu’on prenne 1 semaine pour faire une non-régression sérieuse plutôt que de faire une correction en 24h en laissant les utilisateurs essuyer les plâtres.


votre avatar

Aaah Google … don’t be devil, be stupid … serait il devenu a ce point mauvais joueur ?

Google révèle les détails d’une faille critique dans Windows, Microsoft n’apprécie pas

  • Une faille qui permet de s'extirper de la sandbox

  • Microsoft accuse Google de mettre les utilisateurs en danger

  • Divulgation discrète ou de motivation

Fermer