Après Apple, c'est au tour de Microsoft de mettre en ligne un correctif pour la faille FREAK. Il prend place dans le Patch Tuesday de l'éditeur, qui en profite pour boucher pas moins de cinq autres vulnérabilités jugées critiques. On y retrouve par exemple la faille 0-day du mois dernier d'Internet Explorer ainsi que... Stuxnet.
Hier, Apple publiait de nombreuses mises à jour pour ses différents systèmes d'exploitation : Apple TV, OS X et iOS. Point commun entre toutes les versions, elles s'occupent de combler la faille FREAK qui permet de forcer une connexion sécurisée entre serveur et navigateur avec une clé RSA sur 512 bits seulement, ce qui est loin d'être suffisant.
FREAK appartient au passée, la faille 0-day d'Internet Explorer aussi
C'est désormais au tour de Microsoft de faire de même via son Patch Tuesday. L'éditeur rappelle au passage que « tout système Windows qui utilise Schannel pour se connecter à un serveur TLS distant avec une suite de chiffrement non sécurisée est affecté ». Toutes les versions depuis Windows Server 2003 jusqu'à Windows 8.1 sont concernées par cette mise à jour pour FREAK.
Quoi qu'il en soit, cette faille n'est qu'à un indice de gravité « important » et ce lot de mise à jour en profite également pour boucher d'autres problèmes de sécurité, dont cinq « critiques », soit le plus haut niveau. On y retrouve ainsi une mise à jour cumulative pour Internet Explorer permettant d'éradiquer la brèche de sécurité de type 0-day dévoilée publiquement il y a un près d'un mois. Pour rappel, avec un site spécialement conçu pour et via un détournement de la fonction « Same-origin policy », elle permet d'accéder et de modifier les données d'un site tiers.
Quand on reparle de... Stuxnet
On peut également évoquer le cas particulier de la faille portant la référence CVE-2015-0096 qui est également bouchée par ce lot de mise à jour. Celle-ci est un peu particulière puisque, comme l'indique HP sur l'un de ses blogs, elle est liée à... Stuxnet, un malware qui date de près de cinq ans. Le fabricant indique que Microsoft avait déjà déployé un patch (MS10-046) en 2010. Problème : « le patch a échoué » indique HP. La société ajoute que « pendant plus de quatre ans, tous les systèmes Windows étaient vulnérables à exactement la même attaque que celle utilisée au départ par Stuxnet ».
Pour le reste, il est question de vulnérabilités qui pourraient permettre l'exécution de code à distance, notamment via le moteur de script VBScript ou bien Office. Pour connaitre la liste complète des correctifs appliqués, c'est par ici que ça se passe. Comme toujours, il est recommandé d'appliquer les mises à jour.
Commentaires (46)
#1
stuxnet : produit crée par leur propre pays !!!!
… peut être leur même équipe !!!!
GENIAL, allons encore plus loin , plus fort …. plus profonds !
Le comble de l’hallucinogène !!
#2
MS m’a bien soulé avec ses màjs: 130 Mo (14 patchs) obligatoires puis ensuite encore 2 salves de majs sans redémarrage (mais avec redémarrage quand même histoire d’être sûr).
#3
j’ai eu une tonne de màj liées à office 2013
" />
mais sinon pas de pb à signaler
#4
Heureusement qu’on à la possibilité de virer ces mo/go de “sauvegarde windows update ” qu’ils l’appellent dans le nettoyage de disque.
#5
#6
Il y a des outils pour détecter si on est touchés par Stuxnet ?
#7
Et le fait que Stuxnet soit “corrigé” une seconde fois au moment où doivent se conclure les accords USA-Iran sur le nucléaire est une pure coïncidence…
#8
Quand on connait la provenance supposé de StuxNet, on peut comprendre pourquoi Microsoft n’était pas du tout pressé. Enfin je suis sûr qu’un Stuxnet 2 doit exister quelque part.
#9
Ha! dommage, vous n’avez pas repris la citation de ZDNET :
" />
" />
“La technologie est en constante évolution, et il en va de même des tactiques et techniques des cybercriminels” répond Microsoft à The Register pour justifier la diffusion d’un nouveau correctif pour Stuxnet.
Ou comment traiter indirectement son propre gouvernement de criminels.
Quand les USA vont-ils enfin se rendre compte qu’ils sont leur propre ennemi?
#10
.. et toujours autant de faille présentes !!!!
(allez juste faire un tour sur le torMaket !!!)
#11
Jamais. pas de ça chez nous
#12
Demandes aux Iraniens …
#13
oui backdoor.Regin … quoi que surement déjà dépassé …
#14
J’aurais bien une direction, une “technique”, à vous suggérer mais bon … 80% des gens ne sont pas prêtes pour l’entendre ….
#15
#16
#17
Ré-ouvrir le web, basculer en ipv6 et gérer le problème de fonds , le vrai et unique problème
http://pixellibre.net/2015/01/etat-est-il-son-propre-ennemi/
“Une politique de plus en plus sécuritaire, « pour votre sécurité ».” ?
Désolé je ne souscris plus à ce point de vue, comme Sting dans la magnifique chanson “Russian”
Je ne pense pas qu’on protégera nos enfants en continuant à cracher à la gueule des plus pauvres de la planète , à vendre des armes pour qu’ils s’entretuent et que les plus perfides continus de s’enrichir à l’inifini : le système qu’ils ont mis en place depuis des siècles ne peut que les enrichir et appauvrir les plus humbles, les plus tolérants.
“il est imprudent d’abaisser …. ta garde !!!!”
Eh bien si justement Manuel on va l’abaisser. pour partager avec tout le monde.
Une des pistes :http://www.le-message.org/?lang=fr
#18
De plus , ce jeu des failles , des patchs sans fin : à quoi cela va nous mener ?
où ?
franchement je vois pas.
#19
#20
#21
Pfff, je suis déçu, ledufa… et ma réaction première, en sous-titre, serait la même que celle des NXIens dans l’article à Free : tout ce bruit pour ça ?
#22
#23
Tu as oublié le compte à rebours de 15 minutes par défaut avant que Windows ne redémarre tout seul… Pour peu que tu t’absentes pendant ce temps, et donc sans le savoir bim le pc reboot. Pour peu aussi que pendant que la fenêtre s’affiche, t’appuie au même moment sur entrer (peu probable je le reconnaît) et hop t’as gagné un redémarrage !
" />.
#24
#25
#26
#27
Le mieux pour les uns n’est pas forcément le mieux pour d’autres… Le choix fait par Microsoft privilégie la rapidité d’application des correctifs. Une autre décision aurait amené encore plus de critiques… Et dans un environnement pro, désolé mais ça sa se configure. Maintenant si c’est Mme michu l’admin système…
#28
#29
le choix par défaut est pour la version grand public. Pour la pro je pense qu’il est présumé qu’il y a quelqu’un aux commandes. Mais définir par défaut une installation sans avertissement de correctif je trouve ça une idée dangereuse… vraiment je pense que le comportement actuel est le moins mauvais…
Mais bon. Bref aussi :-)
#30
Bonjour,
J’ai un Windows Phone 8.1 (8.10.14219.341 avec Preview for Developers) et je n’ai pas de mise à jour disponible. Mon Mobile Internet Explorer 11 est toujours vulnérable à FREAK. Quelqu’un sait-il si il y a un correctif disponible ou un navigateur alternatif ?
Merci
#31
Faudrait voir à changer de PC aussi, parce que quand ça dépasse une minute chez moi, c’est que j’ai 200 mises à jour à faire ! Même sur ma Surface 2 RT, ça ne prend pas plus de 10min !
Sinon, sous Windows 8.x, ça a changé. L’avertissement est discret (un texte orange sur l’écran de connexion) et est indiqué 3 jours à l’avance. Si après 3 jours le redémarrage n’a pas eu lieu, il est forcé.
#32
#33
C’est le problème chez beaucoup de gens qui ne se préoccupent pas plus que ça de leur machine…
#34
#35
Je pense que ça été volontairement le cas avec Vista et 7 pour que les gens comprennent que c’est important. Comme je l’ai dit plus haut, maintenant, ça n’est plus le cas sous 8.x et 10. Ca prévient juste que le PC redémarrera automatiquement dans 3 jours, et qu’il est donc conseillé de redémarré soi-même d’ici là.
" /> Par contre, tu peux l’ignorer totalement, ça restera pas mis à jour !
Tu sais, je reboot plus souvent Ubuntu Server pour cause de mise à jour que Windows ! Evidemment, en mode serveur, il ne me crie pas dessus pour le faire (juste un message à la connexion), et d’ailleurs, il oublie de le demander une fois sur 2 (merci checkrestart !). Pour moi, je ne trouve pas ça mieux ailleurs.
Sous Ubuntu, tu as beau avoir dit que tu voulais télécharger les mises à jour durant l’installation, il en trouve 250 après, et il met un temps fou à installer même sur ma machine (bon, évidemment, il y a tous les logiciels) et bout du compte, il te demande rebooter
#36
#37
#38
boston robitics…ça n’a pas fait tilté grand monde
#39
#40
#41
L’analogie est correcte car les comportements demandés (l’entretien de la voiture/de l’ordi) sont les mêmes.
Tu n’as pas besoin d’éteindre le moteur pour vérifier le niveau d’huile. Mais il doit être éteint pour en rajouter, comme pour l’essence ou changer les pneus.
Tu n’as pas besoin non plus d’éteindre le PC pour vérifier que tu as des mises à jours mais tu dois le redémarrer pour la prise ne compte de celles-ci. Pour ce qui est par contre des pop up de mise à jour sous win XP/Vista/7 c’est une question de configuration. Et ça Mme Michu on ne lui a pas appris à le faire, alors qu’on lui a appris à régler ses rétros.
#42
#43
#44
Update caca
" />
http://krebsonsecurity.com/2015/03/ms-update-3033929-causing-reboot-loop/
#45