Comme chaque deuxième mardi de chaque mois, Microsoft a publié hier soir les correctifs pour les Windows encore supportés. Dans le cas de Windows 7, ce sont les derniers, le système devant être considéré comme à l’abandon pour la grande majorité des utilisateurs.
Pour Windows 7 et 8.1, les correctifs de sécurité s’appliquent aux composants Scripting Engine, Windows Input and Composition, Windows Storage and Filesystems et Windows Server. Sous Windows 8.1, Microsoft règle également un souci lié à la nouvelle règle des cookies SameSite de Chrome 80.
Sous Windows 10 cependant, le programme est plus touffu. En plus des éléments déjà cités, il faut ajouter un renforcement de la sécurité autour de l’enregistrement et la gestion des fichiers, dans la manière dont le système gère les périphériques d’entrée (souris, clavier…), ainsi que des correctifs dans les composants Windows Management et Windows Cryptography.
La faille dans ce dernier est particulièrement importante. Elle a été signalée par la NSA, l’agence se retrouvant pour la première fois créditée par Microsoft. La vulnérabilité (CVE-2020-0601) réside dans la bibliothèque Crypt32.dll, plus particulièrement dans la manière dont elle gère les certificats Elliptic Curve Cryptography (ECC).
Exploitée, la faille pourrait permettre à une machine de s’authentifier sur un réseau dont elle serait normalement rejetée, sans parler des multiples retombées sur Internet Explorer et Edge (ancien et nouveau), ainsi que de très nombreuses applications tierces.
Des pirates pourraient également exploiter la faille pour rendre un code « sûr » avec une fausse signature, ouvrant de larges portes d’entrée aux malwares. Le problème touche aussi Windows Server 2016 et 2019.
Il est recommandé d’installer les mises à jour au plus vite. Notez que ce correctif a fait l’objet d’une publication anticipée pour les infrastructures critiques (notamment militaires).
Il semble que la NSA n'ait pas exploité la faille. Anne Neuberger, à la tête du Cybersecurity Directorate, a rappelé que lorsqu'une faille aussi grave est détectée, l'agence se tourne immédiatement vers l'éditeur concerné.
Commentaires (20)
#1
Le correctif est aussi dispo sur la version 2004. Il semblerait que la build 19041 soit la RTM. À la maison elle marche bien, mais pas au niveau d’un vrai système.
#2
Questions à deux balles.
Pourquoi les correctifs s’appellent KBxxxxxxx “KB” ?!? et il y a -t-il une logique pour les 7 chiffres xxxxxxx?
#3
#4
Merci Trit’
:)
#5
cela explique le soudain 1 mois de plus pour w10 mobile ( qui devait s’arrêter mi décembre ) mais qui as bien droit à sa maj ce mois ci.
chapeau à Microsoft pour avoir supporté 7 aussi longtemps, c’est comme si apple patchait ios4 et google android 1.6 …
#6
#7
Cette faille concerne aussi Windows Server 2016, avez-vous le lien vers le KB qui va bien.
#8
C’est bon, je n’avais pas vu le lien vers le CVE
#9
Merci la NSA !
Que serait-on sans eux…
#10
Simple question : ce fichier crypt32.dll gère-t-il aussi Bitlocker ? Si oui, …
#11
La NSA qui bouche des failles Windows? Ils ont du repérer qu’elle est utilisée massivement par les espions des autres pays, la bouche, et garde ouvertes pour elle, celles qui ne sont pas encore aussi rependues?
" />
#12
#13
La vrai question est de savoir comment la NSA l’a découverte.
En en étant victime ou en cherchant une faille pour agrandir son arsenal d’attaque ?
#14
#15
En même temps c’est leur boulot
" />
#16
” C’est comme si Linus patchait encore le kernel 2.6 ? ^^’ “
#17
#18
Ma vrai question à moi, c’est depuis combien de temps la NSA connait cette faille ?
Et vu le type de faille, c’est à douter qu’ils ne l’aient pas au moins un peu utilisée eux-même avant d’informer microsoft.
Comme on a dit: permettre d’installer un malware comme un soft vérifié, pour de l’attaque de PC, c’est du caviar.
#19
Ou alors c’est un beau cheval de troie pour créer une nouvelle faille qui n’existait pas. Venant de la NSA et compte-tenu de l’amour de l’exécutif américain pour le respect de la vie privée et des règles de concurence loyale, ce ne serait pas étonnant.
#20
Une perle sur reddit xD:
@MikhailCompo :
>“Hi, is that Microsoft?
>>“Yup”
>“Hi, this is the NSA. Just urrrr, giving you a quick call to say hi”
>>“Hi. Err, Whut?”
>“Yeah you know, just catching up”
>>“OK”
>“Oh, and by the way this exploit we’ve been using to attack governments around the world for a while, we decided it’s too hot to handle so we’re gonna tell you all about it. We sent it over your secure upload, which actually is totally not secure. Glad you well. Love you, byeeeee!”
>>“Say what…..”
[dial tone]