Patch Tuesday : il n’y a pas que les failles de la NSA qui comptent

Spread the love
  • Yum

Patch Tuesday : il n'y a pas que les failles de la NSA qui comptent

Début d’année chargé pour Microsoft, qui publie un premier Patch Tuesday salué par une conférence de presse de la NSA. Les correctifs de Microsoft étaient attendus ce mois-ci suite à l’annonce d’une faille importante affectant CryptoAPI, le mécanisme de cryptographie utilisé par de nombreux processus au sein de Windows.

Cette faille CVE-2020-0601 a été découverte par la NSA et affectait la façon dont CryptoAPI (Crypt32.dll) validait les certificats ayant recours à la cryptographie sur courbe elliptique. Selon Microsoft, « un attaquant pourrait exploiter cette vulnérabilité en utilisant un certificat de signature usurpé pour signer un exécutable malveillant, ce qui permet de faire croire que le fichier provient d’une source fiable et légitime. L’utilisateur n’aurait aucun moyen de savoir que le fichier est malveillant, car la signature numérique semble provenir d’un fournisseur de confiance ». Microsoft précise que ce bug pourrait également être exploité pour mettre en place une attaque de type “man in the middle” et contourner le chiffrement offert par une connexion prétendument sécurisée. Windows 10, Windows Server 2016 et Windows Server 2019 sont affectés.

publicité

La NSA a également publié un avertissement revenant sur cette faille spécifique et le Cert-FR « insiste sur l’urgence d’appliquer la mise à jour mensuelle dans les plus brefs délais ».

Outre cette faille de sécurité très en vue, le bulletin mensuel de correctifs corrige 48 autres failles de sécurité au sein de produits Microsoft. Deux autres bugs méritent l’attention des administrateurs : CVE-2020-0609 et CVE-2020-0610, deux failles de sécurité affectant Windows Remote Desktop Gateway, qui peuvent permettre l’exécution de code à distance. Outre ces failles, le bulletin mensuel de Microsoft corrige des failles de sécurité dans Internet Explorer, ASP.NET, the .NET Framework, Microsoft Dynamics, OneDrive forAndroid, Microsoft Office, et Microsoft Office Services.

Le récapitulatif de l’ensemble des failles corrigées par ce patch est disponible sur la page officielle de Microsoft ou dans ce résumé mis en place par ZDNet.com.

Leave a Reply