ie11

Au menu de décembre 2014 : mises à jour de sécurité & désactivation de SSL 3.0 fallback

  • Désactivation de SSL 3.0 Fallback

Microsoft avait déjà publié un avis de sécurité : 3009008  informant qu’il allait désactiver SSL 3.0 par défaut dans Internet Explorer et dans l’ensemble de tous ses services en ligne dans les prochains mois.
En attendent la désactivation complète, Microsoft passe par une étape intermédiaire pour fournir l’option de désactiver SSL 3.0 Fallback dans Internet Explorer 11 pour les sites en Mode protégé, (valeur par défaut pour les sites Internet et sites sensibles). Ce changement est actuellement en mode désactivé par défaut, et ils ont l’intention de l’activer par défaut dans Internet Explorer 11 à compter du 10 février 2015.

  • SSL 3.0 Fallback ?

La vulnérabilité SSL 3.0 de POODLE se traduit par une faiblesse non seulement dans le protocole SSL 3.0, mais aussi dans la manière qu’on les navigateurs de négocier une connexion HTTPS avec des serveurs web. En interférant avec la connexion entre le client et le serveur, un man-in-the-middle peut forcer un downgrade de TLS 1.0 ou des protocoles plus récents, plus sûrs, vers le protocole SSL 3.0.
Généralement lorsqu’un navigateur se connecte à un site Web HTTPS, il essaie d’abord de le faire en utilisant le protocole de cryptage plus élevé disponible. Si cette connexion échoue, le navigateur va retentez la connexion avec un protocole de chiffrement plus faible, finalement il finira par utiliser SSL 3.0.

Il est impossible de distinguer une attaque man-in-the-middle d’une erreur de négociation.

  • CU de décembre et blocage de SSL 3.0 Fallback ?

La mise à jour cumulative de décembre 2014 pour Internet Explorer 11 (kb3008923), permet aux utilisateurs le blocage de SSL 3.0 Fallback. Les entreprises sont en mesure de configurer ce comportement via la stratégie de groupe ou le registre.

Plus de détail concernant cette configuration : http://support.microsoft.com/kb/3013210

  • Mises à jour de sécurité
    • Bulletin de sécurité Microsoft MS14-080 – cette mise à jour de sécurité critique résout quatorze des vulnérabilités signalées confidentiellement dans Internet Explorer. Pour plus d’informations, consultez le bulletin
    • Mise à jour de sécurité pour Flash Player (3008925) – cette mise à jour de sécurité pour Adobe Flash Player dans Internet Explorer 10 et 11 sur Windows 8, Windows 8.1 et Windows Server 2012 et R2 de Windows Server 2012 est également disponible. Les détails des vulnérabilités décrites dans le bulletin de sécurité Adobe APSB14-27 . Cette mise à jour corrige des vulnérabilités dans Adobe Flash Player en mettant à jour les binaires, contenus dans Internet Explorer 10 et 11.