Patch Tuesday : derniers correctifs pour Windows 7, énorme faille dans Windows 10
Le 15 janvier 2020 à 09h21
3 min
Logiciel
Logiciel
Comme chaque deuxième mardi de chaque mois, Microsoft a publié hier soir les correctifs pour les Windows encore supportés. Dans le cas de Windows 7, ce sont les derniers, le système devant être considéré comme à l’abandon pour la grande majorité des utilisateurs.
Pour Windows 7 et 8.1, les correctifs de sécurité s’appliquent aux composants Scripting Engine, Windows Input and Composition, Windows Storage and Filesystems et Windows Server. Sous Windows 8.1, Microsoft règle également un souci lié à la nouvelle règle des cookies SameSite de Chrome 80.
Sous Windows 10 cependant, le programme est plus touffu. En plus des éléments déjà cités, il faut ajouter un renforcement de la sécurité autour de l’enregistrement et la gestion des fichiers, dans la manière dont le système gère les périphériques d’entrée (souris, clavier…), ainsi que des correctifs dans les composants Windows Management et Windows Cryptography.
La faille dans ce dernier est particulièrement importante. Elle a été signalée par la NSA, l’agence se retrouvant pour la première fois créditée par Microsoft. La vulnérabilité (CVE-2020-0601) réside dans la bibliothèque Crypt32.dll, plus particulièrement dans la manière dont elle gère les certificats Elliptic Curve Cryptography (ECC).
Exploitée, la faille pourrait permettre à une machine de s’authentifier sur un réseau dont elle serait normalement rejetée, sans parler des multiples retombées sur Internet Explorer et Edge (ancien et nouveau), ainsi que de très nombreuses applications tierces.
Des pirates pourraient également exploiter la faille pour rendre un code « sûr » avec une fausse signature, ouvrant de larges portes d’entrée aux malwares. Le problème touche aussi Windows Server 2016 et 2019.
Il est recommandé d’installer les mises à jour au plus vite. Notez que ce correctif a fait l’objet d’une publication anticipée pour les infrastructures critiques (notamment militaires).
Il semble que la NSA n'ait pas exploité la faille. Anne Neuberger, à la tête du Cybersecurity Directorate, a rappelé que lorsqu'une faille aussi grave est détectée, l'agence se tourne immédiatement vers l'éditeur concerné.
Le 15 janvier 2020 à 09h21
Commentaires (20)
Vous devez être abonné pour pouvoir commenter.
Déjà abonné ? Se connecter
Abonnez-vousLe 15/01/2020 à 10h56
Le 15/01/2020 à 11h03
Cette faille concerne aussi Windows Server 2016, avez-vous le lien vers le KB qui va bien.
Le 15/01/2020 à 11h09
C’est bon, je n’avais pas vu le lien vers le CVE
Le 15/01/2020 à 12h04
Merci la NSA !
Que serait-on sans eux…
Le 15/01/2020 à 12h16
Simple question : ce fichier crypt32.dll gère-t-il aussi Bitlocker ? Si oui, …
Le 15/01/2020 à 12h20
La NSA qui bouche des failles Windows? Ils ont du repérer qu’elle est utilisée massivement par les espions des autres pays, la bouche, et garde ouvertes pour elle, celles qui ne sont pas encore aussi rependues?
" />
Le 15/01/2020 à 13h28
Le 15/01/2020 à 14h36
La vrai question est de savoir comment la NSA l’a découverte.
En en étant victime ou en cherchant une faille pour agrandir son arsenal d’attaque ?
Le 15/01/2020 à 15h48
Le 15/01/2020 à 16h13
En même temps c’est leur boulot
" />
Le 15/01/2020 à 16h28
” C’est comme si Linus patchait encore le kernel 2.6 ? ^^’ “
Le 15/01/2020 à 16h49
Le 15/01/2020 à 17h54
Ma vrai question à moi, c’est depuis combien de temps la NSA connait cette faille ?
Et vu le type de faille, c’est à douter qu’ils ne l’aient pas au moins un peu utilisée eux-même avant d’informer microsoft.
Comme on a dit: permettre d’installer un malware comme un soft vérifié, pour de l’attaque de PC, c’est du caviar.
Le 15/01/2020 à 18h06
Ou alors c’est un beau cheval de troie pour créer une nouvelle faille qui n’existait pas. Venant de la NSA et compte-tenu de l’amour de l’exécutif américain pour le respect de la vie privée et des règles de concurence loyale, ce ne serait pas étonnant.
Le 15/01/2020 à 20h50
Une perle sur reddit xD:
@MikhailCompo :
>“Hi, is that Microsoft?
>>“Yup”
>“Hi, this is the NSA. Just urrrr, giving you a quick call to say hi”
>>“Hi. Err, Whut?”
>“Yeah you know, just catching up”
>>“OK”
>“Oh, and by the way this exploit we’ve been using to attack governments around the world for a while, we decided it’s too hot to handle so we’re gonna tell you all about it. We sent it over your secure upload, which actually is totally not secure. Glad you well. Love you, byeeeee!”
>>“Say what…..”
[dial tone]
Le 15/01/2020 à 09h21
Le correctif est aussi dispo sur la version 2004. Il semblerait que la build 19041 soit la RTM. À la maison elle marche bien, mais pas au niveau d’un vrai système.
Le 15/01/2020 à 09h58
Questions à deux balles.
Pourquoi les correctifs s’appellent KBxxxxxxx “KB” ?!? et il y a -t-il une logique pour les 7 chiffres xxxxxxx?
Le 15/01/2020 à 10h00
Le 15/01/2020 à 10h06
Merci Trit’
:)
Le 15/01/2020 à 10h14
cela explique le soudain 1 mois de plus pour w10 mobile ( qui devait s’arrêter mi décembre ) mais qui as bien droit à sa maj ce mois ci.
chapeau à Microsoft pour avoir supporté 7 aussi longtemps, c’est comme si apple patchait ios4 et google android 1.6 …