Vous n'avez pas encore de notification

Page d'accueil

Options d'affichage

Abonné

Actualités

Abonné

Des thèmes sont disponibles :

Thème de baseThème de baseThème sombreThème sombreThème yinyang clairThème yinyang clairThème yinyang sombreThème yinyang sombreThème orange mécanique clairThème orange mécanique clairThème orange mécanique sombreThème orange mécanique sombreThème rose clairThème rose clairThème rose sombreThème rose sombre

Vous n'êtes pas encore INpactien ?

Inscrivez-vous !
Patch Tuesday : derniers correctifs pour Windows 7, énorme faille dans Windows 10Crédits : Âtin (licence CC BY 2.0)

Comme chaque deuxième mardi de chaque mois, Microsoft a publié hier soir les correctifs pour les Windows encore supportés. Dans le cas de Windows 7, ce sont les derniers, le système devant être considéré comme à l’abandon pour la grande majorité des utilisateurs.

Pour Windows 7 et 8.1, les correctifs de sécurité s’appliquent aux composants Scripting Engine, Windows Input and Composition, Windows Storage and Filesystems et Windows Server. Sous Windows 8.1, Microsoft règle également un souci lié à la nouvelle règle des cookies SameSite de Chrome 80.

Sous Windows 10 cependant, le programme est plus touffu. En plus des éléments déjà cités, il faut ajouter un renforcement de la sécurité autour de l’enregistrement et la gestion des fichiers, dans la manière dont le système gère les périphériques d’entrée (souris, clavier…), ainsi que des correctifs dans les composants Windows Management et Windows Cryptography.

La faille dans ce dernier est particulièrement importante. Elle a été signalée par la NSA, l’agence se retrouvant pour la première fois créditée par Microsoft. La vulnérabilité (CVE-2020-0601) réside dans la bibliothèque Crypt32.dll, plus particulièrement dans la manière dont elle gère les certificats Elliptic Curve Cryptography (ECC).

Exploitée, la faille pourrait permettre à une machine de s’authentifier sur un réseau dont elle serait normalement rejetée, sans parler des multiples retombées sur Internet Explorer et Edge (ancien et nouveau), ainsi que de très nombreuses applications tierces. 

Des pirates pourraient également exploiter la faille pour rendre un code « sûr » avec une fausse signature, ouvrant de larges portes d’entrée aux malwares. Le problème touche aussi Windows Server 2016 et 2019.

Il est recommandé d’installer les mises à jour au plus vite. Notez que ce correctif a fait l’objet d’une publication anticipée pour les infrastructures critiques (notamment militaires). 

Il semble que la NSA n'ait pas exploité la faille. Anne Neuberger, à la tête du Cybersecurity Directorate, a rappelé que lorsqu'une faille aussi grave est détectée, l'agence se tourne immédiatement vers l'éditeur concerné.

20 commentaires
Avatar de tiret Abonné
Avatar de tirettiret- 15/01/20 à 09:21:13

Le correctif est aussi dispo sur la version 2004. Il semblerait que la build 19041 soit la RTM. À la maison elle marche bien, mais pas au niveau d'un vrai système.

Avatar de kamomille INpactien
Avatar de kamomillekamomille- 15/01/20 à 09:58:55

Questions à deux balles.
Pourquoi les correctifs s'appellent KBxxxxxxx "KB" ?!? et il y a -t-il une logique pour les 7 chiffres xxxxxxx?
 

Avatar de Trit’ Abonné
Avatar de Trit’Trit’- 15/01/20 à 10:00:37

kamomille a écrit :

Questions à deux balles.
Pourquoi les correctifs s'appellent KBxxxxxxx "KB" ?!? et il y a -t-il une logique pour les 7 chiffres xxxxxxx?
 

KB = Knowledge Base. Base de connaissance, donc (comme l’a traduit le site de MS qui donne les détails de ces correctifs).
Le nombre est simplement le numéro du correctif dans la liste de ceux qui ont été conçus et publiés par Microsoft.

Édité par Trit’ le 15/01/2020 à 10:02
Avatar de kamomille INpactien
Avatar de kamomillekamomille- 15/01/20 à 10:06:27

Merci Trit'
  :)

Avatar de Firefly' Abonné
Avatar de Firefly'Firefly'- 15/01/20 à 10:14:01

cela explique le soudain 1 mois de plus pour w10 mobile ( qui devait s’arrêter mi décembre ) mais qui as bien droit à sa maj ce mois ci.

chapeau à Microsoft pour avoir supporté 7 aussi longtemps, c'est comme si apple patchait ios4 et google android 1.6 ...

Avatar de brice.wernet Abonné
Avatar de brice.wernetbrice.wernet- 15/01/20 à 10:56:21

Firefly' a écrit :

chapeau à Microsoft pour avoir supporté 7 aussi longtemps, c'est comme si apple patchait ios4 et google android 1.6 ... 

Nan, on ne dit pas ça si on est «geek».

En tout cas, la faille crypto semble franchement sérieuse, peut-être dure à exploiter, mais elle vaut le coût: pouvoir faire passer un code comme légitime et vérifié, c’est énorme…

Avatar de ProxAdmin INpactien
Avatar de ProxAdminProxAdmin- 15/01/20 à 11:03:45

Cette faille concerne aussi Windows Server 2016, avez-vous le lien vers le KB qui va bien.

Avatar de ProxAdmin INpactien
Avatar de ProxAdminProxAdmin- 15/01/20 à 11:09:40

C'est bon, je n'avais pas vu le lien vers le CVE

Avatar de anonyme_f3cfc6423586ba6bed42154d795b2b3f INpactien

Merci la NSA !
 Que serait-on sans eux...

Avatar de Gilbert_Gosseyn Abonné
Avatar de Gilbert_GosseynGilbert_Gosseyn- 15/01/20 à 12:16:37

Simple question : ce fichier crypt32.dll gère-t-il aussi Bitlocker ? Si oui, ...

Il n'est plus possible de commenter cette actualité.
Page 1 / 2