Microsoft, comme à son habitude, a publié hier soir les nouvelles mises à jour de sécurité pour ses produits. Sur un total de sept bulletins, on en trouve cette fois trois critiques, dont un concernant Internet Explorer et incluant une option pour désactiver complètement la compatibilité avec SSLv3, au profit de TLS.
Comme chaque deuxième mardi de chaque mois, Microsoft a donc publié ses bulletins de sécurité. Trois sont critiques et concernent notamment des vulnérabilités dans VBScript, Word et les Office Web Apps, qui pourraient permettre à un pirate d’exécuter un code arbitraire à distance. Notez d’ailleurs que la suite bureautique est particulièrement concernée ce mois-ci et, qu’en fonction du nombre de logiciels installés, vous aurez peut-être plus de 900 Mo de mises à jour.
Le bulletin le plus important est cependant celui pour Internet Explorer. Il s’agit comme toujours d’une mise à jour cumulative comprenant un certain nombre de correctifs. Le bulletin MS14-080 renseigne sur les failles ainsi corrigées, notamment dix vulnérabilités de corruption de mémoire, dont Microsoft précise qu’elles n’ont été ni révélées publiquement ni exploitées. D’autres failles permettent soit le contournement du filtre XSS, soit celui de l’ASLR (qui change aléatoirement l’emplacement mémoire des composants clés). Là encore, ni révélation publique ni exploitation.
Mais cette mise à jour cumulative pour Internet Explorer contient un changement dont Microsoft s’explique sur un billet de blog dédié. À cause de la faille POODLE sur le SSL, de nombreuses entreprises ont pris des dispositions. Dans Chrome, Firefox et Opera par exemple, le « fallback » SSLv3 est désactivé, ce qui signifie que si le navigateur ne trouve pas de connexion TLS (successeur de SSL) sur le serveur, il ne bascule pas sur SSLv3, très vulnérable.
La mise à jour pour Internet Explorer fait ainsi un premier pas en ce sens pour la version 11, pour Windows 7 et 8.1 donc. Elle ne désactive pas par défaut le fallback mais propose l’option. Si elle est cochée, Internet Explorer exigera donc TLS pour les connexions sécurisées. Par contre, le 10 février, une autre mise à jour activera par défaut cette option. Microsoft souhaite ainsi laisser deux mois aux administrateurs de sites pour bien vérifier que TLS est bien activé, si possible en version 1.2. Dommage cependant, quitte à proposer l'option, que l'éditeur ne prévienne pas les utilisateurs de manière plus proactive, par exemple en affichant un message d'avertissement sur un site qui ne serait pas du tout compatible TLS.
Il s’agit néanmoins d’une décision importante puisque Internet Explorer représente toujours le navigateur le plus utilisé au monde et que Windows 7 est présent sur plus de la moitié du parc mondial. Encore faut-il qu’Internet Explorer 11 ait bien été installé. Ce qui souligne d’ailleurs que seule la dernière révision du navigateur est concernée par cette mesure.
Cependant, comme nous allons le voir dans une autre actualité, le simple fait de basculer vers TLS 1.2 n’assure pas forcément une pleine sécurité : la faille POODLE peut aussi toucher le protocole plus récent dans certains cas.
