Windows 7 : un correctif pour Meltdown ouvre une faille plus importante

Le par  |  19 commentaire(s)
failles-meltdown-spectre

Dans le cadre de son dernier Patch Tuesday à destination de Windows 7, Microsoft a corrigé une précédente mise à jour de sécurité censée corriger la faille Meltdown et qui aggravait en réalité la situation.

Tous les correctifs de sécurité ne fonctionnent pas comme ils le devraient... Ainsi, lorsque Microsoft a déployé des patchs contre la faille Meltdown en janvier dernier, la firme a en réalité aggravé les choses sous Windows 7 et Windows Server 8 R2 64 bits. À l'origine, le patch devait corriger la faille dans les processeurs Intel qui permettait à des assaillants d'accéder à la zone mémoire du kernel.
Selon le chercheur en sécurité Ulf Frisk, le patch n'aura fait qu'agrandir la faille: "Il permettait à n'importe quel processus de lire le contenu entier de la mémoire avec un débit de l'ordre du gigabit/s tout en permettant la modification de zones arbitraires de mémoire."

La faille créée aurait ainsi permis à des malwares de collecter n'importe quelle donnée sensible stockée temporairement dans la RAM.

Cette nouvelle faille était due à une simple erreur dans le patch, qui a abaissé le privilège d'accès à la table des pages, un module qui fait correspondre les adresses de la mémoire virtuelle avec les adresses physiques. Seul le Kernel est normalement habilité à opérer cette lecture de table, mais depuis le patch, de simples privilèges utilisateur permettaient d'y accéder...

Heureusement, Microsoft a déjà colmaté la brèche au cours du patch déployé ce mardi, l'occasion de rappeler qu'il est crucial de procéder aux mises à jour de son système.

Complément d'information

Vos commentaires Page 1 / 2

Gagnez chaque mois un abonnement Premium avec GNT : Inscrivez-vous !
Trier par : date / pertinence
Le #2007370
Demain il y aura des stats comme quoi il y a 10 % de windows 10 en plus .....
Le #2007371
N'ont pas w7 en stock pour tester avant de patcher avec les pieds.
Le #2007373
Heureusement qu'on est pas troll'di.
Le #2007376
"Heureusement, Microsoft a déjà colmaté la brèche au cours du patch déployé ce mardi, l'occasion de rappeler qu'il est crucial de procéder aux mises à jour de son système."
Le #2007377
Ce mardi ? Wtf ?
Le #2007398
Sacré microsoft, toujours 2 patchs pour fixer une faille... 1 mauvais et 1 bon...
Le #2007410
lebonga a écrit :

Sacré microsoft, toujours 2 patchs pour fixer une faille... 1 mauvais et 1 bon...


Au moins les failles sont corrigé pour la très grande majorité des utilisateurs, tout le monde ne peut pas en dire autant... *tousse* Android *tousse*
Le #2007411
Crevax a écrit :

lebonga a écrit :

Sacré microsoft, toujours 2 patchs pour fixer une faille... 1 mauvais et 1 bon...


Au moins les failles sont corrigé pour la très grande majorité des utilisateurs, tout le monde ne peut pas en dire autant... *tousse* Android *tousse*


pas faux..
Le #2007417
Crevax a écrit :

lebonga a écrit :

Sacré microsoft, toujours 2 patchs pour fixer une faille... 1 mauvais et 1 bon...


Au moins les failles sont corrigé pour la très grande majorité des utilisateurs, tout le monde ne peut pas en dire autant... *tousse* Android *tousse*


Hum facile où alors j'ai mal compris.

Les patch de sécu google sont balancé dès qu'ils sont prêt.

Le problème c'est les constructeurs,toujours eux ces feignants pour intégrer le patch dans leurs lourde rom...


Mais c'est clair que cela vient aussi de google,qui devrait rendre obligatoire ces patchs,au feignasse de constructeur pour qu'ils soient ''approuvé ''.

C'est un peu la merde pour les michu.

Pour la petite ''niche'' d'utilisateurs de rom alternative, pas besoin de faire un dessin.

(Dernier patch de début mars ici sur lineage OS)
Le #2007419
Dublab a écrit :

Crevax a écrit :

lebonga a écrit :

Sacré microsoft, toujours 2 patchs pour fixer une faille... 1 mauvais et 1 bon...


Au moins les failles sont corrigé pour la très grande majorité des utilisateurs, tout le monde ne peut pas en dire autant... *tousse* Android *tousse*


Hum facile où alors j'ai mal compris.

Les patch de sécu google sont balancé dès qu'ils sont prêt.

Le problème c'est les constructeurs,toujours eux ces feignants pour intégrer le patch dans leurs lourde rom...


Mais c'est clair que cela vient aussi de google,qui devrait rendre obligatoire ces patchs,au feignasse de constructeur pour qu'ils soient ''approuvé ''.

C'est un peu la merde pour les michu.

Pour la petite ''niche'' d'utilisateurs de rom alternative, pas besoin de faire un dessin.

(Dernier patch de début mars ici sur lineage OS)


Je n'ai pas cité directement Google parce que je sais que Google fourni des patch régulièrement, mais quand bien même, les Nexus ont tout de même eu une durée de support assez courte, et cette fois la faute en revient directement à Google.
Après oui, quand j'ai eu mon LG K10, j'ai direct voulu le passer sur Lineage OS, mais il n'est pas disponible dessus, du coup, je suis resté sur la ROM stock Android 6.0...
Suivre les commentaires
Poster un commentaire
Anonyme