Vous êtes sur le site public du Cert-IST

Alerte orange CERT-IST/AL-2020.008 : Attaques visant F5 BIG-IP

Mécanisme de mise à jour automatique "Windows Update"

Date :23 Juin 2005

Publication: Article

Récemment, des discussions ont eu lieu concernant l’utilisation du mécanisme de mises à jour des produits/correctifs de Microsoft : "Windows Update". Certains utilisateurs ont signalé, sur la liste NTBugtraq, que le processus "Windows Update" pouvait aboutir à la conclusion qu’un système n’avait pas besoin de mises à jour (en terme correctifs de sécurité), et cela bien que tous les tests n’aient pas été correctement réalisés. Microsoft n’a pas confirmé ce problème.

En fait, "Windows Update" est plutôt destiné aux utilisateurs individuels ("home users"), car il n'est activable que localement sur les postes de travail. Pour les entreprises ayant un parc conséquent de systèmes Windows, Microsoft propose un service de mise à jour automatique : "Software Update Services" ("SUS"). "SUS" repose sur un mécanisme de type client/serveur, offrant aux administrateurs la possibilité de mettre à jour automatiquement leurs systèmes Windows (et notamment d’appliquer automatiquement les derniers correctifs de sécurité). Ce produit n’est en revanche disponible que pour Windows 2000, Windows XP et Windows Server 2003.

En parallèle, Microsoft propose un troisième outil permettant d’évaluer la sécurité d’un système : il s’agit de "MBSA" qui vous a été présenté dans le bulletin de sécurité n°47 du Cert-IST. "MBSA" utilise une autre technologie pour scanner le système et est disponible pour les systèmes Windows NT, 2000 et XP, IIS 4.0 et 5.0, SQL Server 7.0 et 2000, Internet Explorer 5.0 et suivants, Office 2000 et 2002.

En résumé, Microsoft semble recommander aux administrateurs de systèmes Windows d’utiliser "Software Update Services". Pour les systèmes ne supportant pas ce service, l’utilisation de "Windows Update" (ou de l’outil "MBSA") reste la seule solution.

Références :