Des chercheurs français de l’Inria et de Microsoft Research ont récemment découvert la vulnérabilité FREAK, qui affecte l’implémentation du protocole de sécurité TLS, et ouvre la porte à des attaques de l’homme du milieu.
FREAK affecte les systèmes Apple et Android depuis 10 ans.
Apple
Apple vient de mettre à disposition un correctif de sécurité FREAK pour iOS, dans iOS 8.2, qui contient aussi une application et de la publicité pour l’Apple Watch.
La mise à jour Security Update 2015-002 corrige FREAK pour Mac OS X, ainsi que d’autres vulnérabilités dans le noyau et d’autres couches du système, et iCloud.
La vulnérabilité est aussi corrigée pour AppleTV dans la dernière mise à jour, AppleTV 7.1
Microsoft
Microsoft lors des mises à jour hebdomadaires du ‘patch tuesday’, vient de distribuer un correctif pour FREAK, MS-15-031, ainsi que quatre autres mises à jour critiques.
On pensait à l’origine que FREAK se cantonnait à quelques clients SSL comme OpenSSL, mais Microsoft avait informé le 5 mars que Schannel, l’implémentation Windows de TLS/SSL, était aussi affectée par la vulnérabilité.
MS15-018 corrige une vulnérabilité XSS (cross site scripting).
MS15-019 corrige des problèmes de scripts dans des vieilles versions de Windows.
MS15-020 résout les derniers problèmes liés à Stuxnet (CVE-2010-2568). Le correctif originel datait d’août 2010. Le nouveau correctif corrige deux vulnérabilités d’exécution de code à distance, l’un portant sur la façon dont Windows charge les fichiers DLL, et l’autre en rapport avec les Windows Text Services. Ces vulnérabilités ont à l’origine été utilisées pour attaquer le programme nucléaire iranien, probablement par les États-Unis et Israël.
MS15-022 adresse une vulnérabilité d’Office qui permettait d’exécuter un code arbitraire à distance à l’aide d’un document malicieux.
Cisco
De très nombreux produits Cisco utilisent OpenSSL et sont vulnérables à FREAK. La liste complète, ainsi que les éventuels correctifs ou solutions temporaires, est disponible ici.
Google a affirmé à Reuters avoir envoyé des correctifs pour le système d’exploitation Android et appareils Chrome à ses partenaires. On ne sait quand ces derniers distribueront les correctifs aux utilisateurs, qui malheureusement mettent moins souvent à jour leurs appareils que ceux d’autres plateformes concurrentes.