Après Apple, c'est au tour de Microsoft de mettre en ligne un correctif pour la faille FREAK. Il prend place dans le Patch Tuesday de l'éditeur, qui en profite pour boucher pas moins de cinq autres vulnérabilités jugées critiques. On y retrouve par exemple la faille 0-day du mois dernier d'Internet Explorer ainsi que... Stuxnet.
Hier, Apple publiait de nombreuses mises à jour pour ses différents systèmes d'exploitation : Apple TV, OS X et iOS. Point commun entre toutes les versions, elles s'occupent de combler la faille FREAK qui permet de forcer une connexion sécurisée entre serveur et navigateur avec une clé RSA sur 512 bits seulement, ce qui est loin d'être suffisant.
FREAK appartient au passée, la faille 0-day d'Internet Explorer aussi
C'est désormais au tour de Microsoft de faire de même via son Patch Tuesday. L'éditeur rappelle au passage que « tout système Windows qui utilise Schannel pour se connecter à un serveur TLS distant avec une suite de chiffrement non sécurisée est affecté ». Toutes les versions depuis Windows Server 2003 jusqu'à Windows 8.1 sont concernées par cette mise à jour pour FREAK.
Quoi qu'il en soit, cette faille n'est qu'à un indice de gravité « important » et ce lot de mise à jour en profite également pour boucher d'autres problèmes de sécurité, dont cinq « critiques », soit le plus haut niveau. On y retrouve ainsi une mise à jour cumulative pour Internet Explorer permettant d'éradiquer la brèche de sécurité de type 0-day dévoilée publiquement il y a un près d'un mois. Pour rappel, avec un site spécialement conçu pour et via un détournement de la fonction « Same-origin policy », elle permet d'accéder et de modifier les données d'un site tiers.
Quand on reparle de... Stuxnet
On peut également évoquer le cas particulier de la faille portant la référence CVE-2015-0096 qui est également bouchée par ce lot de mise à jour. Celle-ci est un peu particulière puisque, comme l'indique HP sur l'un de ses blogs, elle est liée à... Stuxnet, un malware qui date de près de cinq ans. Le fabricant indique que Microsoft avait déjà déployé un patch (MS10-046) en 2010. Problème : « le patch a échoué » indique HP. La société ajoute que « pendant plus de quatre ans, tous les systèmes Windows étaient vulnérables à exactement la même attaque que celle utilisée au départ par Stuxnet ».
Pour le reste, il est question de vulnérabilités qui pourraient permettre l'exécution de code à distance, notamment via le moteur de script VBScript ou bien Office. Pour connaitre la liste complète des correctifs appliqués, c'est par ici que ça se passe. Comme toujours, il est recommandé d'appliquer les mises à jour.