Failles Meltdown et Spectre : Microsoft corrige les failles dans sa mise à jour mensuelle

0

Après la révélation des failles Spectre et Meltdown qui affectent les processeurs Intel, ARM et AMD, Microsoft a corrigé 16 failles critiques sur un total de 56 correctifs livrés, incluant un patch pour le lecteur Flash d’Adobe. Ce patch Tuesday est particulier en raison de l’affaire des failles Meltdown et Spectre. Microsoft propose naturellement des correctifs contre ces vulnérabilités.

La vulnérabilité « Meltdown » est atténuée avec un correctif apportant des modifications au code du noyau tandis que « Spectre » nécessite des mises à jour du microprogramme.

Ainsi, la mise à jour de sécurité de janvier de l’entreprise corrige 28 failles pouvant être exploitées pour exécuter du code à distance. Pour l’instant aucune exploitation active de ces vulnérabilités est connue, mais il faut mettre l’accent sur ces patches pour les navigateurs web en raison d’attaques potentielles pouvant utiliser JavaScript. Ainsi le souligne Jimmy Graham, directeur produit chez Qualys.

Par contre, ces correctifs sont incompatibles avec certains logiciels antivirus selon Microsoft et risquent d’entraîner des problèmes de performance. Microsoft explique ainsi que des trois failles corrigées, c’est le correctif correspondant à la variante 2 (CVE 2017-5715) qui a le plus d’impact sur les performances.

Impacts différents pour les différentes configurations

  • Windows 10 + processeurs récents (PC de 2016 avec un processeur Skylake, Kabylake ou supérieur) : Microsoft constate un impact négligeable sur les performances que les utilisateurs ne devraient pas ressentir.
  • Windows 10 + processeurs un peu plus anciens (PC de 2015, processeurs Haswell et inférieurs) : certains tests montrent un impact significatif et les utilisateurs devraient ressentir des ralentissements.
  • Windows 8/7 sur des processeurs antérieurs à 2015 : Impact significatif sur les performances du système
  • Windows Server, sur n’importe quel processeur : cette version est touchée par l’impact sur les performances. Celui-ci est particulièrement sensible lorsque l’administrateur choisit d’activer les protections visant à limiter l’exécution de code inconnu sur la machine.

Plusieurs logiciels concernés par la mise à jour

D’autres vulnérabilités sont également jugées importantesexplique Himanshu Mehta, ingénieur spécialisé dans l’analyse des menaces chez Symantec. Cependant, pour le moment, l’installation des correctifs semble se dérouler correctement.

Parmi les logiciels concernés par la mise à jour : les navigateurs web Internet Explorer et Edge, le système d’exploitation Windows, les outils bureautiques Office, Office Services et Web Apps, la base de données SQL Server, ChakraCore (moteur JavaScript d’Edge), ainsi que les environnements de développement .Net Framework, .Net Core et ASP.NET Core.

About Author

Desirée Rodríguez

Directrice de Globb Security France et Espagne. Journaliste et rédactrice. Avant son incorporation à GlobbTV, elle a développé la plupart de son activité dans le groupe éditorial Madiva. Twitter: @Drodriguezleal.

Leave A Reply