[ad_1]

Microsoft a publié aujourd’hui des mises à jour pour combler 50 failles de sécurité dans différentes saveurs de les fenêtres et les logiciels associés. Le lot de correctifs comprend un correctif pour une faille dans Windows 10 et les équivalents serveur de ce système d’exploitation qui ont provoqué un avertissement public sans précédent de la part du Agence de sécurité nationale des États-Unis. Ce mois-ci marque également la fin du soutien général pour Windows 7un système d’exploitation encore largement utilisé qui ne sera plus fourni avec les mises à jour de sécurité.

Comme indiqué pour la première fois lundi par BreachTrace, Microsoft a corrigé un bogue grave (CVE-2020-0601) dans Windows 10 et Serveur Windows 2016/19 rapporté par la NSA qui permet à un attaquant d’usurper la signature numérique liée à un logiciel spécifique. Une telle faiblesse pourrait être exploitée par des attaquants pour faire apparaître un logiciel malveillant comme un programme bénin produit et signé par une société de logiciels légitime.

Un conseil (PDF) publié aujourd’hui par la NSA indique que la faille peut avoir des implications de sécurité beaucoup plus étendues, notant que « l’exploitation de la vulnérabilité permet aux attaquants de déjouer les connexions réseau de confiance et de fournir du code exécutable tout en apparaissant comme des entités légitimement fiables ».

« La NSA estime que la vulnérabilité est grave et que les cyber-acteurs sophistiqués comprendront très rapidement la faille sous-jacente et, si elle est exploitée, rendraient les plates-formes mentionnées précédemment aussi fondamentalement vulnérables », poursuit l’avis. « Les conséquences de ne pas corriger la vulnérabilité sont graves et généralisées. »

Matthieu Vertprofesseur associé au département d’informatique de Université John Hopkinsa déclaré que la faille implique une faiblesse d’implémentation apparente dans un composant des versions récentes de Windows chargé de valider la légitimité des demandes d’authentification pour une panoplie de fonctions de sécurité dans le système d’exploitation.

Green a déclaré que les attaquants peuvent utiliser cette faiblesse pour usurper l’identité de tout, des sites Web de confiance à la source des mises à jour logicielles pour Windows et d’autres programmes.

« Imaginez si je voulais crocheter la serrure de votre porte d’entrée », a analogue Green. « Il pourrait être difficile pour moi de trouver une clé qui ouvrira votre porte, mais que se passerait-il si je pouvais altérer ou présenter à la fois la clé et la serrure ? »

Kenneth Blancresponsable de la sécurité chez l’éditeur de logiciels MongoDBassimile la vulnérabilité à un appel téléphonique qui est acheminé vers une personne que vous n’aviez pas l’intention de joindre.

« Vous décrochez le téléphone, composez un numéro et supposez que vous parlez à votre banque ou Microsoft ou qui que ce soit, mais la partie du logiciel qui confirme à qui vous parlez est défectueuse », a déclaré White. « C’est plutôt mauvais, surtout lorsque votre système dit de télécharger ce logiciel ou ce correctif automatiquement et que cela se fait en arrière-plan. »

Green et White ont tous deux déclaré qu’il faudra probablement des heures ou des jours avant que les chercheurs en sécurité et / ou les méchants ne trouvent des moyens d’exploiter ce bogue, compte tenu des enjeux impliqués. En effet, déjà ce soir, BreachTrace a vu des indications que les gens taquinent de telles méthodes, qui seront probablement bientôt publiées publiquement en ligne.

Selon le fournisseur de sécurité Qualysseuls huit des 50 défauts corrigés dans le tour d’horizon des correctifs d’aujourd’hui de Microsoft ont obtenu la cote «critique» la plus grave de l’entreprise, une désignation réservée aux bogues qui peuvent être exploités à distance par des logiciels malveillants ou des malfaiteurs pour prendre le contrôle complet de l’ordinateur cible sans l’aide de utilisateurs.

Encore une fois, certaines de ces failles critiques incluent des faiblesses de sécurité dans la façon dont Windows implémente les connexions Bureau à distance, une fonctionnalité qui permet d’accéder, de visualiser et de contrôler les systèmes comme si l’utilisateur était assis directement devant l’ordinateur distant. D’autres correctifs critiques incluent des mises à jour pour les navigateurs Web et les moteurs de script Web intégrés à Windows, ainsi que des correctifs pour ASP.NET et le .NET Framework.

Le correctif de sécurité pour le bogue CVE-2020-0601 et d’autres détaillés dans cet article seront proposés aux utilisateurs de Windows dans le cadre d’un ensemble de correctifs publiés aujourd’hui par Microsoft. Pour voir si des mises à jour sont disponibles pour votre ordinateur Windows, allez dans le menu Démarrer et tapez « Windows Update », puis laissez le système rechercher les correctifs disponibles.

Gardez à l’esprit que s’il est indispensable de rester à jour sur les correctifs Windows, il est important de vous assurer que vous ne mettez à jour qu’après avoir sauvegardé vos données et fichiers importants. Une sauvegarde fiable signifie que vous ne perdez pas la tête lorsqu’un correctif de bogue impair cause des problèmes de démarrage du système. Alors faites-vous une faveur et sauvegardez vos fichiers avant d’installer des correctifs. Windows 10 a même quelques outils intégrés pour vous aider à le faire, soit par fichier/dossier, soit en créant une copie complète et amorçable de votre disque dur en une seule fois.

Aujourd’hui marque également le dernier mois au cours duquel Microsoft fournira des mises à jour de sécurité pour les utilisateurs domestiques/personnels de Windows 7. Je me compte parmi environ 30% des utilisateurs de Windows qui aiment et (ab)utilisent encore ce système d’exploitation sous une forme ou une autre, et je suis triste que ce jour soit arrivé. Mais si vous comptez sur ce système d’exploitation pour une utilisation quotidienne, il est probablement temps de penser à passer à quelque chose de plus récent.

Cela pourrait être un ordinateur avec Windows 10. Ou peut-être avez-vous toujours voulu cet ordinateur MacOS brillant. Si le coût est le principal facteur de motivation et que l’utilisateur que vous avez en tête ne fait pas grand-chose avec le système à part naviguer sur le Web, peut-être un Chromebook ou une machine plus ancienne avec une version récente de Linux Est la réponse. Quel que soit le système que vous choisissez, il est important d’en choisir un qui réponde aux besoins du propriétaire et qui fournisse des mises à jour de sécurité en continu.

Comme toujours, si vous rencontrez des problèmes ou des problèmes lors de l’installation de l’un de ces correctifs ce mois-ci, veuillez envisager de laisser un commentaire à ce sujet ci-dessous ; il y a de fortes chances que d’autres lecteurs aient vécu la même chose et peuvent donner ici quelques conseils utiles.

.

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *