Promis copieux, le Patch Tuesday de novembre l'est assurément même si finalement le nombre de mises à jour a été revu à la baisse. Entre le préavis et la diffusion, deux mises à jour sont passées à la trappe et ont été reportées à une date ultérieure.
Parmi les mises à jour, quatre sont cataloguées critiques par Microsoft pour des vulnérabilités d'exécution de code à distance. MS14-065 corrige 17 vulnérabilités dans Internet Explorer (rapportées confidentiellement à Microsoft) dont la plus sérieuse permet donc une exécution de code à distance via la consultation d'une page Web spécialement conçue.
Pour toutes les versions de Windows, MS14-067 corrige une vulnérabilité signalée de manière confidentielle et présente dans Microsoft XML Core Services (MSXML). Elle est exploitable via Internet Explorer. Un attaquant doit convaincre un utilisateur de consulter un site Web à cet effet.
MS14-064 était une mise à jour attendue. Pour Windows, elle constitue en effet la mise à jour finale pour empêcher l'exploitation de code à distance si un utilisateur ouvre un fichier Office contenant un objet OLE (Object Linking and Embedding) infecté. Des attaques ciblées ont tenté de tirer parti de cette faille via PowerPoint. Cette attaque SandWorm avait fait l'objet d'un correctif en octobre mais qui n'était pas suffisamment robuste. En prime, MS14-064 corrige également une vulnérabilité quand Internet Explorer n'accède pas correctement aux objets en mémoire.
Encore pour TLS et SSL…
La dernière mise à jour critique est MS14-066. C'est la surprise du chef. Elle corrige une vulnérabilité rapportée confidentiellement qui affecte Microsoft Secure Channel (Schannel). Il s'agit d'une API utilisée par Windows contenant un ensemble de protocoles de sécurité pour l'authentification, les communications avec chiffrement. Schannel est principalement utilisé pour les applications nécessitant des communications HTTP sécurisées.
La vulnérabilité permet une exécution de code à distance si un attaquant envoie des paquets spécialement conçus à un serveur Windows. Toutefois, elle est aussi considérée critique pour les versions clientes de Windows. La bonne nouvelle est que Microsoft n'a pas eu vent d'une quelconque attaque active.
Ars Technica n'hésite pas à parler d'un " bug potentiellement catastrophique pour toutes les versions de Windows " et rappelle que cette année, toutes les piles TLS majeures ont été affectées par une vulnérabilité critique : " Apple SecureTransport, GNULTS, OpenSSL, NSS et maintenant Microsoft Schannel. "
L'inquiétude est surtout légitimée par le fait que suite à l'annonce de Microsoft, des attaquants vont pouvoir se pencher sur l'exploitation de ladite vulnérabilité. Même sans divulgation publique, le traumatisme Heartbleed est encore dans les têtes.
Ars Technica passe par contre sous silence l'initiative de Microsoft qui, par le biais de Microsoft Update, apporte les technologies de chiffrement actuellement disponibles dans Windows 8.1 (et Windows Server 2012 R2) aux anciennes versions de Windows (Windows 7, Windows 8, Windows Server 2008 R2 et Windows Server 2012). En l'occurrence, l'implémentation de Perfect Forward Secrecy (PFS) qui chiffre chaque communication avec une clé unique. Dans l'éventualité où une clé est compromise, elle ne peut pas être utilisée pour déchiffrer rétroactivement des sessions HTTPS ou de futures communications.
" Cette nouvelle technologie va permettre à nos utilisateurs de tirer parti de la meilleure cryptographie déjà disponible dans nos systèmes d'exploitation modernes et serveurs lors d'une connexion à un service de cloud ou un système d'exploitation prenant en charge PFS "
, écrit Microsoft.
Pour fermer le gros chapitre de la sécurité, ajoutons que Flash Player et AIR d'Adobe ont droit à une mise à jour critique pour combler 18 vulnérabilités. À l'accoutumée, on peut vérifier sa version de Flash Player en se rendant sur cette page. Pour IE10 et IE11 sur Windows 8 / 8.1 et pour Google Chrome, la correction est intégrée avec la mise à jour du navigateur.
