Les failles Spectre et Meltdown n'ont probablement pas fini de faire parler d'elles. J'avais eu l'occasion de les présenter dans un précédent billet il y a quelques jours. Je reviens aujourd'hui dessus, avec de nouvelles informations concernant les correctifs qui ont été publiés. Je ne vais pas en faire une liste exhaustive, mais je vais aborder celles dont il est possible de bénéficier pour les systèmes d'exploitation Windows, ainsi que les navigateurs.
Pourquoi un billet aussi tardif alors que certaines mises à jour ont été publiées dès le 3 janvier ? Je ne souhaitais pas me lancer dans la rédaction d'un billet en ne disposant pas de suffisamment d'informations et il faut par ailleurs avouer que pas mal de choses se sont passées dans la précipitation, des patchs ont été mis en ligne, puis retirés du fait d'instabilités. Aujourd'hui, il semble que la situation soit un peu plus calme et qu'il soit possible de proposer un billet avec des informations fiables et, je l'espère, complètes.
Je vais sans plus tarder, ci-dessous, dresser la liste des mises à jour disponibles pour les différentes versions de Windows :
Windows 10 - Version 1709 / Windows Server 2016 (1709) / IoT Standard - Mise à jour qualité
Publiée le 3 janvier - KB4056892
Windows Server 2016 (1709) - Conteneur serveur
Publiée le 5 janvier - KB4056892
Windows 10 - Version 1703 / IOT standard-Mise à jour qualité
Publiée le 3 janvier - KB4056891
Windows 10 - Version 1607 / Windows Server 2016 / IoT Standard - Mise à jour qualité
Publiée le 3 janvier - KB4056890
Windows Server 2016 (1607) - Images de conteneur
Publiée le 4 janvier - KB4056890
Windows 10 - Version 1511 / IoT standard - Mise à jour qualité
Publiée le 3 janvier - KB4056888
Windows 10 - Version RTM - Mise à jour qualité
Publiée le 3 janvier - KB4056893
Windows 10 Mobile (Build SE 15254.192) - ARM
Publiée le 5 janvier - KB4073117
Windows 10 Mobile (Build SE 15063.850)
Publiée le 5 janvier - KB4056891
Windows 10 Mobile (Build SE 14393.2007)
Publiée le 5 janvier - KB4056890
HoloLens Windows 10
Publiée le 5 janvier - KB4056890
Windows 8.1 / Windows Server 2012 R2 - Mise à jour de sécurité uniquement
Publiée le 3 janvier - KB4056898
Windows Embedded 8.1 Industry Entreprise
Publiée le 3 janvier - KB4056898
Windows Embedded 8.1 Industry Pro
Publiée le 3 janvier - KB4056898
Windows Embedded 8.1 Pro
Publiée le 3 janvier - KB4056898
Windows 8.1 / Correctif cumulatif mensuel de Windows Server 2012 R2
Publiée le 8 janvier - KB4056895
Windows Embedded 8.1 Industry Entreprise
Publiée le 8 janvier - KB4056895
Windows Embedded 8.1 Industry Pro
Publiée le 8 janvier - KB4056895
Windows Embedded 8.1 Pro
Publiée le 8 janvier - KB4056895
Windows 7 SP1 / Windows Server 2008 R2 - Mise à jour de sécurité uniquement
Publiée le 3 janvier - KB4056897
Windows Embedded Standard 7
Publiée le 3 janvier - KB4056897
Windows Embedded POSReady 7
Publiée le 3 janvier - KB4056897
Windows Thin PC
Publiée le 3 janvier - KB4056897
Windows 7 SP1 / Correctif cumulatif mensuel de Windows Server 2008 R2
Publiée le 4 janvier - KB4056894
Windows Embedded Standard 7
Publiée le 4 janvier - KB4056894
Windows Embedded POSReady 7
Publiée le 4 janvier - KB4056894
Windows Thin PC
Publiée le 4 janvier - KB4056894
Internet Explorer 11 pour Windows 7 - Mise à jour cumulative pour Windows 7 SP1 et Windows 8.1
Publiée le 3 janvier - KB4056568
Mise à jour de sécurité uniquement, Windows Server 2012
À paraître
Windows Server 2008 SP2
À paraître
Correctif cumulatif mensuel de Windows Server 2012
À paraître
Windows Embedded 8 Standard
À paraître
À paraître
Windows Server 2008 SP2
À paraître
Correctif cumulatif mensuel de Windows Server 2012
À paraître
Windows Embedded 8 Standard
À paraître
Incompatibilités avec certains antivirus et certains processeurs
Il est à noter que la présence de certains antivirus occasionnent des conflits lors de l'installation des mises à jour ci-dessus. Heureusement, il est possible de contourner le problème grâce au registre.
Si l'antivirus installé sur le PC est compatible avec la mise à jour alors la base de registre contient la valeur REG_DWORD cadca5fe-87d3-4b96-b7fb-a231484277cc (à zéro) dans HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/QualityCompat. Si cette clé n'est pas présente il est possible de l'ajouter.
Un autre souci plus embêtant est apparu sur des machines dotées de vieux processeurs AMD avec lesquels le patch déployé n'était pas non plus compatible, occasionnant des écrans bleus ou des soucis au redémarrage de l'ordinateur. Microsoft a vite stoppé la diffusion des mises à jour pour ces machines et a publié des informations pour se sortir de l'ornière si l'on est concerné.
Les navigateurs internet
Les protections ne passent pas uniquement par les mises à jour développées par Microsoft. Les éditeurs des navigateurs internet ont également planché, ou sont en plein travail, sur leurs logiciels pour améliorer la protection contre les failles.
C'est ainsi qu'aux alentours du 23 janvier, une nouvelle version de Chrome va voir le jour. En attendant, il est possible d'augmenter la sécurité en ajoutant un niveau de sécurité supplémentaire avec l'isolation des sites.
Pour sa part, Mozilla a déjà rendu publique la version 57.0.4 de Firefox. Il est également possible d'activer l'isolation des sites. Il s'agit d'une fonctionnalité qui était initialement présente dans Tor et qui est désactivée par défaut. Le paramétrage est très simple :
- ouvrir le navigateur internet et taper about:config dans la barre d'adresses ;
- passer outre le message d'avertissement s'il apparaît ;
- taper privacy.firstparty.isolate dans la zone de recherche et double-cliquer sur le résultat qui s'affiche dessous pour passer le réglage de false à true.
Vous retrouverez plus de précisions au sujet de cette fonctionnalité sur le site Développez.com.
Enfin, Internet Explorer 11 et Edge ont également été mis à jour pour améliorer la sécurité face à Spectre.
Les cartes graphiques
Il est également possible de se protéger en mettant à jour les pilotes de sa carte graphique nVidia. La version 390.65 corrige en effet la vulnérabilité Spectre.
Le matériel – les mises à jour de microcode
Il serait illusoire de vouloir faire le tour de tous les ordinateurs qui peuvent nécessiter une mise à jour, tant ils sont nombreux. Vous trouverez ci-dessous une liste des principaux constructeurs, ainsi qu'un lien vers les ressources en rapport avec les failles (ou un lien vers leur page de support) :
Les fabricants d'appareils OEM
- Acer – https://www.acer.com/ac/en/US/content/support
- Asus – https://www.asus.com/News/YQ3Cr4OYKdZTwnQK
- Dell – https://www.dell.com/support/meltdown-spectre
- Fujitsu – https://www.fujitsu.com/global/support/products/software/security/products-f/jvn-93823979e.html
- HP – https://support.hp.com/document/c05869091
- Lenovo – https://support.lenovo.com/us/en/solutions/len-18282
- LG – https://www.lg.com/us/support
- Panasonic – https://pc-dl.panasonic.co.jp/itn/vuln/g18-001.html
- Samsung – https://www.samsung.com/us/support/
- Surface – Conseils Surface pour se protéger contre les vulnérabilités de canal latéral d'exécution spéculative
- Toshiba – https://support.toshiba.com/
- Vaio – https://vaio.com/support/
- Dell https://www.dell.com/support/meltdown-spectre
- Fujitsu http://www.fujitsu.com/global/support/products/software/security/products-f/jvn-93823979e.html
- HPE http://h22208.www2.hpe.com/eginfolib/securityalerts/SCAM/Side_Channel_Analysis_Method.html
- Huawei http://www.huawei.com/au/psirt/security-notices/huawei-sn-20180104-01-intel-en
- Lenovo https://support.lenovo.com/us/en/solutions/len-18282
Aucun commentaire:
Enregistrer un commentaire