Connexion
Abonnez-vous

Microsoft : les bulletins de sécurité font la part belle à Internet Explorer

Et ce ne sera pas forcément suffisant

Microsoft : les bulletins de sécurité font la part belle à Internet Explorer

Le 10 décembre 2014 à 10h00

Microsoft, comme à son habitude, a publié hier soir les nouvelles mises à jour de sécurité pour ses produits. Sur un total de sept bulletins, on en trouve cette fois trois critiques, dont un concernant Internet Explorer et incluant une option pour désactiver complètement la compatibilité avec SSLv3, au profit de TLS.

Comme chaque deuxième mardi de chaque mois, Microsoft a donc publié ses bulletins de sécurité. Trois sont critiques et concernent notamment des vulnérabilités dans VBScript, Word et les Office Web Apps, qui pourraient permettre à un pirate d’exécuter un code arbitraire à distance. Notez d’ailleurs que la suite bureautique est particulièrement concernée ce mois-ci et, qu’en fonction du nombre de logiciels installés, vous aurez peut-être plus de 900 Mo de mises à jour.

 

Le bulletin le plus important est cependant celui pour Internet Explorer. Il s’agit comme toujours d’une mise à jour cumulative comprenant un certain nombre de correctifs. Le bulletin MS14-080 renseigne sur les failles ainsi corrigées, notamment dix vulnérabilités de corruption de mémoire, dont Microsoft précise qu’elles n’ont été ni révélées publiquement ni exploitées. D’autres failles permettent soit le contournement du filtre XSS, soit celui de l’ASLR (qui change aléatoirement l’emplacement mémoire des composants clés). Là encore, ni révélation publique ni exploitation.

 

bulletins sécurité décembre 2014

 

Mais cette mise à jour cumulative pour Internet Explorer contient un changement dont Microsoft s’explique sur un billet de blog dédié. À cause de la faille POODLE sur le SSL, de nombreuses entreprises ont pris des dispositions. Dans Chrome, Firefox et Opera par exemple, le « fallback » SSLv3 est désactivé, ce qui signifie que si le navigateur ne trouve pas de connexion TLS (successeur de SSL) sur le serveur, il ne bascule pas sur SSLv3, très vulnérable.

 

La mise à jour pour Internet Explorer fait ainsi un premier pas en ce sens pour la version 11, pour Windows 7 et 8.1 donc. Elle ne désactive pas par défaut le fallback mais propose l’option. Si elle est cochée, Internet Explorer exigera donc TLS pour les connexions sécurisées. Par contre, le 10 février, une autre mise à jour activera par défaut cette option. Microsoft souhaite ainsi laisser deux mois aux administrateurs de sites pour bien vérifier que TLS est bien activé, si possible en version 1.2. Dommage cependant, quitte à proposer l'option, que l'éditeur ne prévienne pas les utilisateurs de manière plus proactive, par exemple en affichant un message d'avertissement sur un site qui ne serait pas du tout compatible TLS.

 

Il s’agit néanmoins d’une décision importante puisque Internet Explorer représente toujours le navigateur le plus utilisé au monde et que Windows 7 est présent sur plus de la moitié du parc mondial. Encore faut-il qu’Internet Explorer 11 ait bien été installé. Ce qui souligne d’ailleurs que seule la dernière révision du navigateur est concernée par cette mesure.

 

Cependant, comme nous allons le voir dans une autre actualité, le simple fait de basculer vers TLS 1.2 n’assure pas forcément une pleine sécurité : la faille POODLE peut aussi toucher le protocole plus récent dans certains cas.

Commentaires (13)

Vous devez être abonné pour pouvoir commenter.

Abonnez-vous
votre avatar

ah le bulletin du mardi <img data-src=" />



(ptit HS :a vec Office 2013 c’est normal qu’il me propose des màj de composants pas installés ? <img data-src=" /> genre OneNote, OneDrive et Lync chez moi)

votre avatar

J’ai fait la MàJ hier soir sur Win 8.1 et ça aurait pu mal tourner, j’ai lancé manuellement la MàJ, elle faisait environ 210 Mo, ça aurait dû prendre 2-3mn et ça s’est bloqué vers la fin, j’ai laissé comme ça 1h ou 2.&nbsp;

Plus tard j’ai redémarré mon PC en sans échec pour déragmenter la nuit, et j’avais oublié cette histoire de MàJ.

Y’a eu qq bugs de redémarrages, mais finalement ça s’est bien terminé et j’ai pu refaire la MàJ ce matin :ouf:

votre avatar

<img data-src=" /> C’est l’intégration de ces logiciels dans ton installation de base qui sont patchés.



Oui, même si OneNote n’est pas installé, en fait il l’est en partie.

votre avatar

y’a pas moyen d’installer proprement que certains bouts alors <img data-src=" />



déjà qu’il fout son MSOCache en cachette <img data-src=" />

votre avatar

Depuis ma première version de Office (97), j’ai toujours remarqué qu’il y avait des morceaux de quasiment tous les logiciels du pack.



Sans compter les “composants partagés / communs”. J’en ai conclu que MS développe (jusqu’à présent) son pack de façon “entière”, pour enlever des parties ensuite.



L’effet secondaire de ça, c’est que ton install ressemble à un truc à moitié fini puisque tu as des traces de logiciels, restées là car elles doivent partager des choses avec les logiciels installés.

votre avatar







linkin623 a écrit :



Depuis ma première version de Office (97), j’ai toujours remarqué qu’il y avait des morceaux de quasiment tous les logiciels du pack.



Sans compter les “composants partagés / communs”. J’en ai conclu que MS développe (jusqu’à présent) son pack de façon “entière”, pour enlever des parties ensuite.



L’effet secondaire de ça, c’est que ton install ressemble à un truc à moitié fini puisque tu as des traces de logiciels, restées là car elles doivent partager des choses avec les logiciels installés.







C’est surtout que c’est un principe fondamental quand tu dev des usines à gaz, et même quand tu developpes tout court : si le code en question peut reservir dans un autre logiciel de la suite, tu colles ca dans un module partagé (pour Windows, la dll par exemple).



D’ailleurs, cela sert aussi à maintenir la cohérance dans les applications : même fonctionnement, et pourquoi pas même design.



Le truc c’est que nous avec Office on ne voit pas vraiment la différence, étant donné la taille de la bête et le nombre de trucs partagés que la suite se trimballe <img data-src=" />


votre avatar

<img data-src=" /> Justement, le code partagé est souvent dans les “composants partagés”.



Mais je pense que certaines choses ne sont pas “intégrées proprement” via l’utilisation d’un composant partagé, mais carrément l’intégration du code du logiciel X dans ton logiciel Y.



Au final, au lieu que ton logiciel Y fasse appel à des composants partagés (comme un dll), ben il possède des morceaux du logiciel X. D’où les MAJ… nombreuses.



Si tu installe toute la suite Office, cela ne gêne pas puisque que tu vas utiliser le logiciel X ou Y en entier. Mais quand tu as des pack façon “étudiant”, tu as des morceaux de OneNote dans Word (et tu n’as pas onenote). Donc des MAJ OneNote juste pour quelques fonctions qui pouvaient être déplacée dans un composant partagé.

votre avatar

Si on pouvait faire le ménage dans ce qui livré par défaut avec windows, on pourrait s’éviter bien des soucis et des màjs inutiles. <img data-src=" />

votre avatar

1041 Mo de MàJ pour mon W8.1x64+Office 2014. De la folie furieuse.

votre avatar

Si on pouvait au moins le desinstaller leur Browser de merde on pourrait enfin ne plus le patcher a tout va <img data-src=" />

votre avatar

Bah on peut, XP c’est fini depuis longtemps…

votre avatar

Joli pseudo!



On n’avait pas besoin de preuve..&nbsp;<img data-src=" />

&nbsp;

votre avatar







Emralegna a écrit :



Bah on peut, XP c’est fini depuis longtemps…









Add a écrit :



Joli pseudo!



On n’avait pas besoin de preuve..&nbsp;<img data-src=" />

&nbsp;





Désactivé pas désinstallé <img data-src=" /> y’a une petite nuance qu’a du vous échapper&nbsp; <img data-src=" />



Perso “désinstallé” par panneau de config comme préconisé par Micro$oft himself, newsbin est toujours capable de pop une fenêtre IE pour afficher ses interactions Web, m’enfin que chez moi uniquement <img data-src=" /> sur Win 7 Intégrale régular (c.a.d un vrai de vrai)&nbsp; pas activé par magie&nbsp; malhonnêteté <img data-src=" />

&nbsp;


Microsoft : les bulletins de sécurité font la part belle à Internet Explorer

Fermer