samedi 20 janvier 2018

Spectre et Meltdown : un point sur les mises à jour disponibles pour Windows et les navigateurs internet

Les failles Spectre et Meltdown n'ont probablement pas fini de faire parler d'elles. J'avais eu l'occasion de les présenter dans un précédent billet il y a quelques jours. Je reviens aujourd'hui dessus, avec de nouvelles informations concernant les correctifs qui ont été publiés. Je ne vais pas en faire une liste exhaustive, mais je vais aborder celles dont il est possible de bénéficier pour les systèmes d'exploitation Windows, ainsi que les navigateurs.
Pourquoi un billet aussi tardif alors que certaines mises à jour ont été publiées dès le 3 janvier ? Je ne souhaitais pas me lancer dans la rédaction d'un billet en ne disposant pas de suffisamment d'informations et il faut par ailleurs avouer que pas mal de choses se sont passées dans la précipitation, des patchs ont été mis en ligne, puis retirés du fait d'instabilités. Aujourd'hui, il semble que la situation soit un peu plus calme et qu'il soit possible de proposer un billet avec des informations fiables et, je l'espère, complètes.

Je vais sans plus tarder, ci-dessous, dresser la liste des mises à jour disponibles pour les différentes versions de Windows :



Windows 10 - Version 1709 / Windows Server 2016 (1709) / IoT Standard - Mise à jour qualité
Publiée le 3 janvier - KB4056892

Windows Server 2016 (1709) - Conteneur serveur
Publiée le 5 janvier - KB4056892

Windows 10 - Version 1703 / IOT standard-Mise à jour qualité
Publiée le 3 janvier - KB4056891

Windows 10 - Version 1607 / Windows Server 2016 / IoT Standard - Mise à jour qualité
Publiée le 3 janvier - KB4056890

Windows Server 2016 (1607) - Images de conteneur
Publiée le 4 janvier - KB4056890

Windows 10 - Version 1511 / IoT standard - Mise à jour qualité
Publiée le 3 janvier - KB4056888

Windows 10 - Version RTM - Mise à jour qualité
Publiée le 3 janvier - KB4056893

Windows 10 Mobile (Build SE 15254.192) - ARM
Publiée le 5 janvier - KB4073117

Windows 10 Mobile (Build SE 15063.850)
Publiée le 5 janvier - KB4056891

Windows 10 Mobile (Build SE 14393.2007)
Publiée le 5 janvier - KB4056890

HoloLens Windows 10
Publiée le 5 janvier - KB4056890

Windows 8.1 / Windows Server 2012 R2 - Mise à jour de sécurité uniquement
Publiée le 3 janvier - KB4056898

Windows Embedded 8.1 Industry Entreprise
Publiée le 3 janvier - KB4056898

Windows Embedded 8.1 Industry Pro
Publiée le 3 janvier - KB4056898

Windows Embedded 8.1 Pro
Publiée le 3 janvier - KB4056898

Windows 8.1 / Correctif cumulatif mensuel de Windows Server 2012 R2
Publiée le 8 janvier - KB4056895

Windows Embedded 8.1 Industry Entreprise
Publiée le 8 janvier - KB4056895

Windows Embedded 8.1 Industry Pro
Publiée le 8 janvier - KB4056895

Windows Embedded 8.1 Pro
Publiée le 8 janvier - KB4056895

Windows 7 SP1 / Windows Server 2008 R2 - Mise à jour de sécurité uniquement
Publiée le 3 janvier - KB4056897

Windows Embedded Standard 7
Publiée le 3 janvier - KB4056897

Windows Embedded POSReady 7
Publiée le 3 janvier - KB4056897

Windows Thin PC
Publiée le 3 janvier - KB4056897

Windows 7 SP1 / Correctif cumulatif mensuel de Windows Server 2008 R2
Publiée le 4 janvier - KB4056894

Windows Embedded Standard 7
Publiée le 4 janvier - KB4056894

Windows Embedded POSReady 7
Publiée le 4 janvier - KB4056894

Windows Thin PC
Publiée le 4 janvier - KB4056894

Internet Explorer 11 pour Windows 7 - Mise à jour cumulative pour Windows 7 SP1 et Windows 8.1
Publiée le 3 janvier - KB4056568

Mise à jour de sécurité uniquement, Windows Server 2012
À paraître

Windows Server 2008 SP2
À paraître

Correctif cumulatif mensuel de Windows Server 2012
À paraître

Windows Embedded 8 Standard
À paraître



Incompatibilités avec certains antivirus et certains processeurs

Il est à noter que la présence de certains antivirus occasionnent des conflits lors de l'installation des mises à jour ci-dessus. Heureusement, il est possible de contourner le problème grâce au registre.

Si l'antivirus installé sur le PC est compatible avec la mise à jour alors la base de registre contient la valeur REG_DWORD cadca5fe-87d3-4b96-b7fb-a231484277cc (à zéro) dans HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/QualityCompat. Si cette clé n'est pas présente il est possible de l'ajouter.

Un autre souci plus embêtant est apparu sur des machines dotées de vieux processeurs AMD avec lesquels le patch déployé n'était pas non plus compatible, occasionnant des écrans bleus ou des soucis au redémarrage de l'ordinateur. Microsoft a vite stoppé la diffusion des mises à jour pour ces machines et a publié des informations pour se sortir de l'ornière si l'on est concerné.


Les navigateurs internet

Les protections ne passent pas uniquement par les mises à jour développées par Microsoft. Les éditeurs des navigateurs internet ont également planché, ou sont en plein travail, sur leurs logiciels pour améliorer la protection contre les failles.

C'est ainsi qu'aux alentours du 23 janvier, une nouvelle version de Chrome va voir le jour. En attendant, il est possible d'augmenter la sécurité en ajoutant un niveau de sécurité supplémentaire avec l'isolation des sites.

Pour sa part, Mozilla a déjà rendu publique la version 57.0.4 de Firefox. Il est également possible d'activer l'isolation des sites. Il s'agit d'une fonctionnalité qui était initialement présente dans Tor et qui est désactivée par défaut. Le paramétrage est très simple :
  • ouvrir le navigateur internet et taper about:config dans la barre d'adresses ;
  • passer outre le message d'avertissement s'il apparaît ;
  • taper privacy.firstparty.isolate dans la zone de recherche et double-cliquer sur le résultat qui s'affiche dessous pour passer le réglage de false à true.
Vous retrouverez plus de précisions au sujet de cette fonctionnalité sur le site Développez.com.

Enfin, Internet Explorer 11 et Edge ont également été mis à jour pour améliorer la sécurité face à Spectre.


Les cartes graphiques

Il est également possible de se protéger en mettant à jour les pilotes de sa carte graphique nVidia. La version 390.65 corrige en effet la vulnérabilité Spectre.


Le matériel – les mises à jour de microcode

Il serait illusoire de vouloir faire le tour de tous les ordinateurs qui peuvent nécessiter une mise à jour, tant ils sont nombreux. Vous trouverez ci-dessous une liste des principaux constructeurs, ainsi qu'un lien vers les ressources en rapport avec les failles (ou un lien vers leur page de support) :

Les fabricants d'appareils OEM
Les fabricants de serveurs OEM


Aucun commentaire:

Enregistrer un commentaire