Microsoft découvre une vulnérabilité critique dans Windows

Microsoft a découvert une vulnérabilité critique de sécurité, MS14-066, CVE-2014-6321, qui affecterait toutes les versions modernes de Windows.

Sur les clients, les ordinateurs équipés de Windows Vista, Windows 7, Windows 8 et 8.1, y compris les versions RT, sont affectés.

Sur les serveurs, les versions Windows Server 2003, 2008, 2008 R2, 2012 et 2012 R2 sont affectées.

 

La faille réside dans le code de sécurité Microsoft Secure Channel (SChannel), qui est notamment utilisé pour les implémentations des protocoles de sécurité Secure Sockets Layer  SSL et Transport Layer Security TLS.

Un paquet ethernet construit spécifiquement par un attaquant lui permettrait d’exécuter des logiciels malveillants sur le système cible.

 

Malheureusement, aucun facteur de mitigation n’est connu.

Heureusement, Microsoft vient de publier des correctifs de sécurité, disponibles par Windows Update et d’autres sources, et qu’il est recommandé d’installer au plus vite.

D’après la firme, aucune exploitation de la vulnérabilité n’a été recensée à ce jour.

La vulnérabilité ne figurant pas dans la liste des remerciements, on peut penser qu’elle a été découverte en interne.