Microsoft, comme à son habitude, a publié hier soir les nouvelles mises à jour de sécurité pour ses produits. Sur un total de sept bulletins, on en trouve cette fois trois critiques, dont un concernant Internet Explorer et incluant une option pour désactiver complètement la compatibilité avec SSLv3, au profit de TLS.
Comme chaque deuxième mardi de chaque mois, Microsoft a donc publié ses bulletins de sécurité. Trois sont critiques et concernent notamment des vulnérabilités dans VBScript, Word et les Office Web Apps, qui pourraient permettre à un pirate d’exécuter un code arbitraire à distance. Notez d’ailleurs que la suite bureautique est particulièrement concernée ce mois-ci et, qu’en fonction du nombre de logiciels installés, vous aurez peut-être plus de 900 Mo de mises à jour.
Le bulletin le plus important est cependant celui pour Internet Explorer. Il s’agit comme toujours d’une mise à jour cumulative comprenant un certain nombre de correctifs. Le bulletin MS14-080 renseigne sur les failles ainsi corrigées, notamment dix vulnérabilités de corruption de mémoire, dont Microsoft précise qu’elles n’ont été ni révélées publiquement ni exploitées. D’autres failles permettent soit le contournement du filtre XSS, soit celui de l’ASLR (qui change aléatoirement l’emplacement mémoire des composants clés). Là encore, ni révélation publique ni exploitation.
Mais cette mise à jour cumulative pour Internet Explorer contient un changement dont Microsoft s’explique sur un billet de blog dédié. À cause de la faille POODLE sur le SSL, de nombreuses entreprises ont pris des dispositions. Dans Chrome, Firefox et Opera par exemple, le « fallback » SSLv3 est désactivé, ce qui signifie que si le navigateur ne trouve pas de connexion TLS (successeur de SSL) sur le serveur, il ne bascule pas sur SSLv3, très vulnérable.
La mise à jour pour Internet Explorer fait ainsi un premier pas en ce sens pour la version 11, pour Windows 7 et 8.1 donc. Elle ne désactive pas par défaut le fallback mais propose l’option. Si elle est cochée, Internet Explorer exigera donc TLS pour les connexions sécurisées. Par contre, le 10 février, une autre mise à jour activera par défaut cette option. Microsoft souhaite ainsi laisser deux mois aux administrateurs de sites pour bien vérifier que TLS est bien activé, si possible en version 1.2. Dommage cependant, quitte à proposer l'option, que l'éditeur ne prévienne pas les utilisateurs de manière plus proactive, par exemple en affichant un message d'avertissement sur un site qui ne serait pas du tout compatible TLS.
Il s’agit néanmoins d’une décision importante puisque Internet Explorer représente toujours le navigateur le plus utilisé au monde et que Windows 7 est présent sur plus de la moitié du parc mondial. Encore faut-il qu’Internet Explorer 11 ait bien été installé. Ce qui souligne d’ailleurs que seule la dernière révision du navigateur est concernée par cette mesure.
Cependant, comme nous allons le voir dans une autre actualité, le simple fait de basculer vers TLS 1.2 n’assure pas forcément une pleine sécurité : la faille POODLE peut aussi toucher le protocole plus récent dans certains cas.
Commentaires (13)
#1
ah le bulletin du mardi
" />
" /> genre OneNote, OneDrive et Lync chez moi)
(ptit HS :a vec Office 2013 c’est normal qu’il me propose des màj de composants pas installés ?
#2
J’ai fait la MàJ hier soir sur Win 8.1 et ça aurait pu mal tourner, j’ai lancé manuellement la MàJ, elle faisait environ 210 Mo, ça aurait dû prendre 2-3mn et ça s’est bloqué vers la fin, j’ai laissé comme ça 1h ou 2.
Plus tard j’ai redémarré mon PC en sans échec pour déragmenter la nuit, et j’avais oublié cette histoire de MàJ.
Y’a eu qq bugs de redémarrages, mais finalement ça s’est bien terminé et j’ai pu refaire la MàJ ce matin :ouf:
#3
Oui, même si OneNote n’est pas installé, en fait il l’est en partie.
#4
y’a pas moyen d’installer proprement que certains bouts alors
" />
" />
déjà qu’il fout son MSOCache en cachette
#5
Depuis ma première version de Office (97), j’ai toujours remarqué qu’il y avait des morceaux de quasiment tous les logiciels du pack.
Sans compter les “composants partagés / communs”. J’en ai conclu que MS développe (jusqu’à présent) son pack de façon “entière”, pour enlever des parties ensuite.
L’effet secondaire de ça, c’est que ton install ressemble à un truc à moitié fini puisque tu as des traces de logiciels, restées là car elles doivent partager des choses avec les logiciels installés.
#6
#7
Mais je pense que certaines choses ne sont pas “intégrées proprement” via l’utilisation d’un composant partagé, mais carrément l’intégration du code du logiciel X dans ton logiciel Y.
Au final, au lieu que ton logiciel Y fasse appel à des composants partagés (comme un dll), ben il possède des morceaux du logiciel X. D’où les MAJ… nombreuses.
Si tu installe toute la suite Office, cela ne gêne pas puisque que tu vas utiliser le logiciel X ou Y en entier. Mais quand tu as des pack façon “étudiant”, tu as des morceaux de OneNote dans Word (et tu n’as pas onenote). Donc des MAJ OneNote juste pour quelques fonctions qui pouvaient être déplacée dans un composant partagé.
#8
Si on pouvait faire le ménage dans ce qui livré par défaut avec windows, on pourrait s’éviter bien des soucis et des màjs inutiles.
" />
#9
1041 Mo de MàJ pour mon W8.1x64+Office 2014. De la folie furieuse.
#10
Si on pouvait au moins le desinstaller leur Browser de merde on pourrait enfin ne plus le patcher a tout va
" />
#11
Bah on peut, XP c’est fini depuis longtemps…
#12
Joli pseudo!
" />
On n’avait pas besoin de preuve..
#13