Flux RSS
Windows
1087 documents trouvés, affichage des résultats 121 à 130.
| < Les 10 documents précédents | Les 10 documents suivants > |
(04/02/2011 15:40:37)
Patch Tuesday : Microsoft va réparer trois bugs zero-day
Les 12 mises à jour de sécurité du prochain « Patch Tuesday » viendront réparer 22 failles, principalement dans le navigateur Internet Explorer (IE), le système d'exploitation Windows et Internet Information Server (IIS), le serveur web de Microsoft. A cette occasion, l'éditeur fournira des « patches » pour trois bugs identifiés par les utilisateurs et reconnus par l'éditeur, l'un d'eux étant exploité depuis plusieurs semaines par des pirates. « Les trois bugs zéro-days vont être corrigées, c'est l'information importante », souligne Andrew Storms, directeur des opérations de sécurité de nCircle Security.
L'une de ces failles a été détectée dans Internet Explorer, une autre concerne l'affichage des vignettes dans Windows et la troisième se loge dans le serveur web IIS. L'éditeur a reconnu la première d'entre elles le 22 décembre, quelques semaines après une alerte de la société française Vupen prévenant que toutes les versions d'IE, incluant l'IE8 de 2009, étaient touchées. Peu de temps après, Microsoft avertissait que des pirates exploitaient la faille. Le deuxième bug a été découvert mi-décembre lors d'une conférence sur la sécurité en Corée du Sud. A la suite de quoi, l'éditeur a de nouveau publié un avertissement le 4 janvier en précisant cette fois qu'il ne sortirait pas de patch en urgence pour résoudre le problème.
Rien pour le bug du gestionnaire de protocole MHTML
De façon inhabituelle, Microsoft a fourni en ce début d'année une liste des bugs connus sur lesquels il devait intervenir, en détaillant cinq failles non corrigées. Le prochain Patch Tuesday n'en corrigera donc que trois. « Ils rectifient le rouge, l'orange et le jaune, commente Andrew Storms en se référant aux codes couleurs utilisés par Jonathan Ness, ingénieur du centre de sécurité de Microsoft (MSRC). « Ce sont de très bonnes nouvelles ». En revanche, d'autres vulnérabilités, également reconnues par l'éditeur, ne sont pas concernées par le patch du 8 février. C'est le cas de la faille découverte la semaine dernière dans le gestionnaire de protocole MHTML. Pas de surprise à ce sujet car les experts s'attendaient tous à ce que Microsoft ne puisse pas la réparer ce mois-ci.
Sur la douzaine de mises à jour attendues, trois sont dites « critiques ». Dans l'échelle de classement, il s'agit du niveau le plus élevé. Les neuf autres sont « importantes ». La plupart des rustines (10 sur 12) s'appliquent à Windows. Parmi elles, l'une concerne la faille en déni de service d'Internet Information Server 7.0 et IIS 7.5 dans Windows 7 et Windows Server 2008 R2. Les deux correctifs restants viennent réparer des vulnérabilités dans Internet Explorer et dans Visio, le logiciel de création de diagrammes. Andrew Storms pense que celui destiné à Visio va corriger un problème de format de fichier.
Une conférence web le 9 février
Le directeur des opérations de sécurité de nCircle Security trouve que le bulletin « advance notification » fourni par Microsoft sur le patch de mardi donne finalement peu d'informations et qu'il est difficile de déterminer dans le détail quels composants spécifiques il vient corriger. Malgré tout, il croit comprendre que l'une de mises à jour (actuellement numérotée Bulletin 4) pourrait concerner un bug dans le kernel de Windows Vista et Windows 7, qui s'appliquerait aussi à Windows Server 2008 et 2008 R2. Selon Microsoft, ce Bulletin 4 n'englobe pas les anciens Windows XP et Windows Server 2003. C'est ce qui fait dire à Andrew Storms qu'il concerne le kernel puisque ce dernier a été revisité par Microsoft dans Vista et les versions suivantes.
Le mois dernier, l'éditeur de Redmond a comblé une faille dans Vista en pointant du doigt le programme Backup Manager du système d'exploitation. Cette mise à jour était la septième qu'il livrait pour réparer des vulnérabilités de type « hameçonnage par chargement de DLL » (Dynamic Link Library load hijacking) ou « insertion de code » (binary planting), découvertes par les experts en août 2010.
Microsoft tiendra une conférence web pour répondre aux questions relatives à ses bulletins de sécurité, le mercredi 9 février 2011, à 11 heures Pacific Time (20 heures à Paris). (...)
Google offre 20 000 dollars pour craquer son navigateur Chrome
Lors du concours Pwn2Own 2011, les chercheurs vont donc se mesurer et appliquer leur savoir-faire pour s'attaquer aussi à des machines fonctionnant sous Windows 7 ou Mac OS X et pour tenter de cracker Internet Explorer, Firefox, Safari et surtout Chrome. Les premiers chercheurs qui pirateront IE, Firefox et Safari recevront 15 000 dollars et l'ordinateur où le navigateur est exécuté. Les prix sont de 5 000 $ de plus que ceux proposés à l'édition 2010 du Pwn2Own, et trois fois plus que le montant de 2009. « Nous avons augmenté la somme totale distribuée pour établir les gains à 125 000 dollars » a déclaré Aaron Portnoy, responsable d'une équipe de chercheurs en sécurité d'HP TippingPoint. Cette société parraine le concours et vient d'en fixer des règles dans un message sur un blog.
La nouveauté de cette année est la participation de Google. La société est le premier éditeur de navigateur à financer un prix. Aaron Portnoy « félicite l'équipe de sécurité Google pour avoir pris l'initiative de nous approcher à ce sujet ». Les règles de Chrome sont légèrement différentes que pour les autres navigateurs, car il est le seul des quatre à utiliser une « sandbox », un outil de défense pour éviter les attaques exploitant une faille. Avec ce bac à sable, les chercheurs ont besoin non pas d'une mais de deux vulnérabilités: la première pour que leur code d'attaque contourne la sandbox, et une seconde pour exploiter les failles de Chrome. D'autres éditeurs de logiciels ont suivi les traces de Chrome pour essayer de rendre leurs applications plus sécurisées. L'année dernière, par exemple, Adobe a ajouté un bac à sable - provenant en partie du travail de Google - à son programme PDF Reader.
Chrome se met en avant et la sand box aussi
Pour repartir avec les 20 000 dollars promis par Google le premier jour du Pwn2Own, les chercheurs devront trouver et exploiter deux vulnérabilités dans le code du navigateur. Lors du deuxième et troisième jour du concours les chercheurs pourront utiliser un bug non-Chrome, par exemple celui de Windows, pour sortir de la sandbox. Si une attaque arrive lors du deuxième et troisième jour, les apprentis pirates gagneront 20 000 dollars, mais seulement de 10 000 proviendront de l'éditeur de Mountain View; TippingPoint complétera l'autre moitié. La participation de Google au Pwn2Own 2011 peut être considérée comme une marque de confiance dans la sécurité de son navigateur. Si Chrome a été un des navigateurs cibles aux différentes éditions du concours depuis 2 ans, aucun chercheur n'a réussi à le craquer.
IE, Firefox et Safari sont eux déjà tombés lors des deux dernières années, de différentes manières rendant le concours un peu embarrassant pour les éditeurs. En 2009, un chercheur - un informaticien allemand qui n'a donné que son prénom, Nils - a réussi à pirater les trois navigateurs. Grâce à cela, il a empoché 15 000 dollars, soit 5 000 dollars pour chaque hack. Charlie Miller, le seul chercheur à avoir remporté des prix Pwn2Own trois années consécutives, ne souhaitait pas récidiver cette année, mais l'annonce pour Chrome l'a intrigué. « Pwn2Own offre maintenant 20k pour l'attaque sur Chrome », a inscrit Charlie Miller sur Twitter. « Cela sera dur et je suis heureux que Mac OS X ne dispose pas de sandbox pour son navigateur ».
TippingPoint va aussi focaliser le concours Pwn2Own sur les mobiles où les chercheurs tenteront de pirater les smartphones sous iOS, Android, Windows Phone 7 et BlackBerry OS. Les attaques réussies seront rémunérées à hauteur de 15 000 dollars.
Crédit Photo : D.R
Une brique logicielle Intel pour démocratiser le FCoE dans les datacenters
Open FCoE était en test et développement depuis un certain temps, mais cette brique logicielle vient d'être finalisée, après avoir été certifié pour Windows, les distributions Linux Red Hat et Novell, ainsi que les plateformes de stockage d'EMC et de NetApp. Une validation a été également obtenue pour les commutateurs de Cisco et Brocade. Open FCoE est offert comme une mise à jour gratuite des cartes réseaux Intel X520 Server 10 Gigabit Ethernet.
FCoE est une technologie avancée d'Ethernet qui est conçu pour apporter la fiabilité de la connexion Fibre Channel aux infrastructures réseaux majoritairement équipés en Ethernet. Le FC reste la connexion de nombreuses plates-formes de stockage d'entreprise, même si d'autres technologies existent, tels que les NAS (stockage connecté au réseau Ethernet) et l'iSCSI (Internet SCSI). En proposant Ethernet comme moyen d'interopérer les ressources informatiques et celles du stockage, les responsables IT disposeront de plus de flexibilité pour modifier leurs datacenters, que les équipementiers souhaitent unifier.
Un de ces prescripteurs est Cisco, qui propose des produits FCoE depuis juin 2008. Open FCoE sera disponible à tous les clients 10-Gigabit Ethernet, a annoncé Soni Jiandani, vice-président du marketing de l'unité d'affaire Access Server Virtualization de Cisco. « Les clients ne devront plus s'interroger sur quelle type de connexion je dois choisir pour mes serveurs de stockage, NAS, iSCSI ou Fibre Channel. D'où l'idée de créer un seul câble capable d'adapter n'importe quel type de solutions de stockage sur son infrastructure informatique,» précise la dirigeante. Ce type de flexibilité est essentiel pour tirer le meilleur parti de la virtualisation de l'informatique et du stockage, ajoute-t-elle.
Une intégration stratégique pour l'avenir
EMC a qualifié le logiciel Open FCoE pour une utilisation avec son VMAX Symmetrix et ses baies hybrides VNX. Fondés sur une matrice 10 Gigabit Ethernet partagée,la virtualisation des serveurs et les réseaux de stockage convergents sont les ingrédients essentiels d'une infrastructure rentable », a déclaré Paul Brown, vice-président et directeur général des activités Networking Storage d'EMC.
L'adoption de FCoE devrait plus que doubler chaque année, selon l'analyste Seamus Crehan du groupe éponyme. Il y avait environ 300 000 ports FCoE sur commutateurs et 500 000 ports via des cartes livrés à travers le monde en 2010, précise le consultant. C'est encore une part infime des 29 millions de ports Ethernet déployés soit via des adaptateurs ou sur les cartes mères. Les entreprises ont fait preuve de prudence dans l'application de FCoE, car il s'agit d'une nouvelle technologie qui est conçu pour les parties les plus critiques de l'infrastructure informatique, explique l'analyste. Il exige aussi une évolution couteuse des serveurs déjà équipés de lien Gigabit Ethernet vers le 10 Gigabit.
Maintenant qu'Open FCoE est disponible, l'entreprise peut prendre la décision d'investir dans du 10 Gigabit Ethernet, cela sera plus facile pour elle de mettre en oeuvre le FCoE à l'avenir, conclut Seamus Crehan. (...)
Google règne sur la recherche et progresse sur la navigation web en France
Selon ce baromètre, réalisé sur un périmètre de 20 736 sites web audités en 2010, Google s'est octroyé 90,8% des requêtes effectuées en ligne l'an dernier. Le premier moteur de recherche au monde est même parvenu à capter des parts au détriment de ses concurrents (il comptait 89,9% de parts en 2009), notamment Bing, le moteur de Microsoft.
Google a également profité de l'ouverture de la concurrence sur le marché des navigateurs web. Son logiciel Chrome est passé de 2,1% d'utilisateurs en 2009 à 7,8% en 2010. Dans le même temps, Internet Explorer a dégringolé. Principale victime de la politique d'ouverture imposée par la Commission européenne à Microsoft, « IE » a perdu 10 points de marché en France en 2010.
Avec 52,8% de parts de visites web, Internet Explorer reste cependant le navigateur le plus utilisé par les internautes français, devant Firefox de Mozilla (30,9%, contre 29,4% en 2009), Google Chrome, et Safari. Le navigateur d'Apple a tiré profit du succès de l'iPhone et des Mac pour s'établir à 8,3% de parts de visites. La firme de Redmond reste encore largement dominant dans le classement des systèmes d'exploitation, avec près de 90% de parts de marché.
IBM propose une offre VDI à destination des PME
L'offre Virtual Desktop For Smart Business devrait contribuer à alléger les coûts élevés normalement associés aux déploiements de solutions de virtualisation de poste de travail, a déclaré Dan Cerutti, directeur général de l'unité d'IBM Smart Business Solutions. Dans de nombreux cas, les petites entreprises n'ont pas les compétences de faire face à la complexité de la VDI. Ce plan va permettre aux intégrateurs de proposer une solution facile d'installation, explique-t-il. « Nous avons considérablement simplifié la commande et l'achat de ce type de solutions. Tout est inclus dans le service Virtual Desktop » précise Dan Cerutti.
Le package VDI permettra aux collaborateurs d'accéder à leur environnement bureau sur une grande variété de dispositifs, y compris iPad et clients légers. Ils pourront au choix disposer à la fois des OS Windows (XP, Seven) et Linux (Ubuntu,Red Hat, Novell). L'accès au bureau pourra se faire aussi sans connectivité, par l'utilisation d'une clé USB.
Big Blue ne proposera pas directement cette offre aux clients. Des revendeurs et des intégrateurs spécialisés auprès des petites et moyennes entreprises seront en charge de la commercialisation. Jusqu'à présent, IBM a recruté environ 100 partenaires à travers le monde pour vendre ces produits, explique Dan Cerruti. Les partenaires pourraient installer le matériel et les logiciels sur site du client, ou de le gérer en interne comme un service hébergé. IBM pourrait offrir prochainement le package lui-même comme un service hébergé, indique le responsable.
Hyperviseur serveur et bare metal
La souscription ne nécessite pas de nombre minimum d'utilisateur, mais la durée du contrat est d'un an. Les ordinateurs de bureau sont gérés de manière centralisée, sur les serveurs IBM System X sous SUSE Linux. La virtualisation des postes se fait par le logiciel Verde (Virtual Enterprise Remote Desktop Environment), proposé par Virtual Bridges. Ce système repose sur l'hyperviseur KVM pour le serveur et d'un hyperviseur de type 1 installé sur le client (probablement Xen Client). Le package comprend également Smart Business Foundation, une collection d'outils de gestion de paramétrage et de maintenance.
La configuration standard pour l'utilisateur final consiste à établir quelques « Gold Master » ou instances du système d'exploitation, comprenant plusieurs applications nécessaires pour un ensemble de salariés. Chaque employé aura par ailleurs accès à ses données à caractère personnel, ainsi que ses préférences personnelles comme les signets de leur navigateur. IBM estime que 200 postes de travail peuvent être gérés depuis un de ses serveurs. Le prix de ce service débute à partir de 150 dollars par utilisateur et par an.
Virtual Desktop For Smart Business est la première déclinaison de ce qu'IBM souhaite développer comme offre pré-configurée. D'autres packages seront bientôt proposés pour couvrir la gestion de documents, l'analyse, la collaboration et les applications de CRM, conclut Dan Cerutti.
iPad, Oracle, Google : Wozniak revient sur l'année 2010
La reconnaissance vocale doit avancer pour être capable d'« interpréter une grande variété de commandes », a déclaré Steve Wozniak, lors d'un événement dans la Silicon Valley. Le gourou a également salué l'iPad Apple et considère les tablettes sous Android comme les principaux concurrents. Il émet des doutes sur les capacités de Microsoft a à devenir un acteur important sur ce marché. En ce qui concerne Windows, il porte « trop de sentiments négatifs » sur l'OS de Microsoft basé sur ses propres expériences.
Il s'est ensuite prononcé sur les acquisitions d'Oracle et sur Google. « Les opérations de croissance externe d'Oracle s'apparentent à la volonté de rivaliser avec HP » souligne l'ancien employé de HP. Il avoue sa préférence pour Google, qui a un modèle économique conçu comme celui de la télévision, dans lequel il offre des services gratuits et les monétisent avec de la publicité.
Le SSD et fier d'Apple
Pour les entreprises, Steve Wozniack souligne la tendance récente de passer à la technologie Flash NAND pour les disques durs. Déjà, un dixième du trafic Internet provient de puces NAND Flash au lieu de disques durs classiques, déclare le directeur scientifique de Fusion-io, spécialiste de cartes de mémoire cache en Flash.
Celui qui le premier a quitté Apple en 1981, pour ensuite y retourner au milieu des années 80, s'est déclaré fier des récents lancements de son ancienne société. Il a cité les succès du téléphone portable iPhone, le lecteur de musique iPod, la tablette iPad, et les magasins de détail en ligne d'Apple, mais les exégètes auront remarqué l'absence de l'Apple TV dans son concert de louanges. (...)
| < Les 10 documents précédents | Les 10 documents suivants > |