Microsoft : une inquiétante vulnérabilité dans Windows

Le par  |  11 commentaire(s)
Pansement

Quatorze mises à jour de sécurité pour combler trente-trois vulnérabilités. C'est le gros Patch Tuesday de novembre avec une vulnérabilité critique dans un paquet de chiffrement Windows utilisé pour des connexions sécurisées.

Promis copieux, le Patch Tuesday de novembre l'est assurément même si finalement le nombre de mises à jour a été revu à la baisse. Entre le préavis et la diffusion, deux mises à jour sont passées à la trappe et ont été reportées à une date ultérieure.

Microsoft-logoC'est donc quatorze mises à jour de sécurité afin de combler un total de trente-trois vulnérabilités. Des sommets plus importants ont été atteints par la passé. Les produits concernés sont Windows (la preview de Windows 10 comprise), Internet Explorer, Office, .NET Framework, Internet Information Services, Remote Desktop Protocol, Active Directory Federation Services, Input Method Editor (pour le japonais) et Kernel Mode Driver.

Parmi les mises à jour, quatre sont cataloguées critiques par Microsoft pour des vulnérabilités d'exécution de code à distance. MS14-065 corrige 17 vulnérabilités dans Internet Explorer (rapportées confidentiellement à Microsoft) dont la plus sérieuse permet donc une exécution de code à distance via la consultation d'une page Web spécialement conçue.

Pour toutes les versions de Windows, MS14-067 corrige une vulnérabilité signalée de manière confidentielle et présente dans Microsoft XML Core Services (MSXML). Elle est exploitable via Internet Explorer. Un attaquant doit convaincre un utilisateur de consulter un site Web à cet effet.

MS14-064 était une mise à jour attendue. Pour Windows, elle constitue en effet la mise à jour finale pour empêcher l'exploitation de code à distance si un utilisateur ouvre un fichier Office contenant un objet OLE (Object Linking and Embedding) infecté. Des attaques ciblées ont tenté de tirer parti de cette faille via PowerPoint. Cette attaque SandWorm avait fait l'objet d'un correctif en octobre mais qui n'était pas suffisamment robuste. En prime, MS14-064 corrige également une vulnérabilité quand Internet Explorer n'accède pas correctement aux objets en mémoire.


Encore pour TLS et SSL…
La dernière mise à jour critique est MS14-066. C'est la surprise du chef. Elle corrige une vulnérabilité rapportée confidentiellement qui affecte Microsoft Secure Channel (Schannel). Il s'agit d'une API utilisée par Windows contenant un ensemble de protocoles de sécurité pour l'authentification, les communications avec chiffrement. Schannel est principalement utilisé pour les applications nécessitant des communications HTTP sécurisées.

La vulnérabilité permet une exécution de code à distance si un attaquant envoie des paquets spécialement conçus à un serveur Windows. Toutefois, elle est aussi considérée critique pour les versions clientes de Windows. La bonne nouvelle est que Microsoft n'a pas eu vent d'une quelconque attaque active.

Ars Technica n'hésite pas à parler d'un " bug potentiellement catastrophique pour toutes les versions de Windows " et rappelle que cette année, toutes les piles TLS majeures ont été affectées par une vulnérabilité critique : " Apple SecureTransport, GNULTS, OpenSSL, NSS et maintenant Microsoft Schannel. "

L'inquiétude est surtout légitimée par le fait que suite à l'annonce de Microsoft, des attaquants vont pouvoir se pencher sur l'exploitation de ladite vulnérabilité. Même sans divulgation publique, le traumatisme Heartbleed est encore dans les têtes.

Ars Technica passe par contre sous silence l'initiative de Microsoft qui, par le biais de Microsoft Update, apporte les technologies de chiffrement actuellement disponibles dans Windows 8.1 (et Windows Server 2012 R2) aux anciennes versions de Windows (Windows 7, Windows 8, Windows Server 2008 R2 et Windows Server 2012). En l'occurrence, l'implémentation de Perfect Forward Secrecy (PFS) qui chiffre chaque communication avec une clé unique. Dans l'éventualité où une clé est compromise, elle ne peut pas être utilisée pour déchiffrer rétroactivement des sessions HTTPS ou de futures communications.

" Cette nouvelle technologie va permettre à nos utilisateurs de tirer parti de la meilleure cryptographie déjà disponible dans nos systèmes d'exploitation modernes et serveurs lors d'une connexion à un service de cloud ou un système d'exploitation prenant en charge PFS "

, écrit Microsoft.

Pour fermer le gros chapitre de la sécurité, ajoutons que Flash Player et AIR d'Adobe ont droit à une mise à jour critique pour combler 18 vulnérabilités. À l'accoutumée, on peut vérifier sa version de Flash Player en se rendant sur cette page. Pour IE10 et IE11 sur Windows 8 / 8.1 et pour Google Chrome, la correction est intégrée avec la mise à jour du navigateur.

Complément d'information

Vos commentaires Page 1 / 2

Gagnez chaque mois un abonnement Premium avec GNT : Inscrivez-vous !
Trier par : date / pertinence
Le #1816975
Rien de tel que des données en "offline" pour mettre toutes les chances de son côté concernant la confidentialité. Et pour ceux qui doivent utiliser le cloud et le "online" en général, je crois que le plus simple est d'y mettre des données non sensibles ou alors de les crypter (il y a une volée d'outils pour cela).

De plus : " la correction est intégrée avec la mise à jour du navigateur." Il n'y a donc pas de quoi en faire un fromage
Le #1816976
Ulysse2K a écrit :

Rien de tel que des données en "offline" pour mettre toutes les chances de son côté concernant la confidentialité. Et pour ceux qui doivent utiliser le cloud et le "online" en général, je crois que le plus simple est d'y mettre des données non sensibles ou alors de les crypter (il y a une volée d'outils pour cela).

De plus : " la correction est intégrée avec la mise à jour du navigateur." Il n'y a donc pas de quoi en faire un fromage


Attention au fromage, certains ont plein de trous

D'ailleurs même le pansement de la photo qui illustre la notion de patch pour l’article est plein de trous.
Le #1816978
Bons conseils.

J'utilise un cloud mais mes données sont chiffrées.
Le #1816980
Mais comment se fait ce... Windows 10 ne serait pas le plus sur des Windows. Mais que lis je, Ah la souffrance du doute, Ah la turpitude de la calomnie, mais pourquoi... pourquoi... pourquoi.... Moi qui avait tant espéré, déçu je suis, comme la vie est cruelle.
Le #1816986
Microsoft fidèle à lui-même .... adepte des vulnérabilités !
Qui s'en étonnera encore ? c'est devenu tellement banal ...Pfff ...
Le #1816999
J'avais vu un montage photo qui illustrait Windows par une passoire dont certains trous étaient bouchés avec du sparadrap, j'avais trouvé l'image très parlante...

Encore une preuve que la sécurité n'est jamais totale sur le net...
Le #1817004
penseurodin a écrit :

Mais comment se fait ce... Windows 10 ne serait pas le plus sur des Windows. Mais que lis je, Ah la souffrance du doute, Ah la turpitude de la calomnie, mais pourquoi... pourquoi... pourquoi.... Moi qui avait tant espéré, déçu je suis, comme la vie est cruelle.


Deux jours ... Il n'a pas pu tenir deux jours et attendre vendredi pour atomiser Microsoft Et s'il avait patienté, j'aurais pu fournir le bombardier pour le largage de ses trolls
Le #1817008
Ulysse2K a écrit :

penseurodin a écrit :

Mais comment se fait ce... Windows 10 ne serait pas le plus sur des Windows. Mais que lis je, Ah la souffrance du doute, Ah la turpitude de la calomnie, mais pourquoi... pourquoi... pourquoi.... Moi qui avait tant espéré, déçu je suis, comme la vie est cruelle.


Deux jours ... Il n'a pas pu tenir deux jours et attendre vendredi pour atomiser Microsoft Et s'il avait patienté, j'aurais pu fournir le bombardier pour le largage de ses trolls


Tu partages la douleur d'une paire et tu voudrais attendre 2 jours pour pleurer ? Mais comment peut tu être aussi dur avec toi même ?
Le #1817054
bon faut pas s'énerver comme ça winX est en prewiew normal qu'il ai quelques trous.


patientez un peu et là vous pourrez voir le fond.
Anonyme
Le #1817108
C'est le quotidien avec Windows et quelques soient les versions, donc ce n'est une surprise pour personne, surtout s'il y a à nouveau un hotfixe qui bug et qu'il faudra un hotfixe de hotfixe de hotfixe...
Suivre les commentaires
Poster un commentaire
Anonyme
:) ;) :D ^^ 8) :| :lol: :p :-/ :o :w00t: :roll: :( :cry: :facepalm:
:andy: :annoyed: :bandit: :alien: :ninja: :agent: :doh: :@ :sick: :kiss: :love: :sleep: :whistle: =]