Ce nouveau patch s’attarde sur les problèmes de sécurité. Ivanti nous en dit plus en exclusivité. Le sujet brûlant est la vulnérabilité KRACK qui tire son nom de Key Reinstallation Attack.
Cette faille dans le protocole de sécurité Wi-Fi WPA permet à un tiers d’accéder aux informations envoyées. Cela peut inclure les mots de passe, les numéros de carte de crédit et toutes les données envoyées via la connexion Wi-Fi. Contrairement à la plupart des vulnérabilités qui sont spécifiques aux périphériques, il s’agit d’une vulnérabilité dans le protocole lui-même et donc tous les terminaux utilisant le Wi-Fi sont potentiellement touchés. Concrètement, tous ceux qui font des achats en public et utilisent leur smartphone pour effectuer des transactions sont concernés. La bonne nouvelle, c’est que la plupart des fournisseurs offrent des mises à
jour pour résoudre rapidement le problème, mais cafés/restaurants et certaines boutiques ne mettent pas à jour leurs équipements.
Quelques conseils pour garder ses terminaux sûrs pour que la période des fêtes :
-Mettre les terminaux à jour. Ordinateurs portables, téléphones, tablettes et appareils Wi-Fi domestiques sont concernés. Tous les terminaux utilisant le Wi-Fi sont vulnérables jusqu’ à ce que les vulnérabilités soient réglées. Certains anciens périphériques peuvent ne pas recevoir de mises à jour.
-Ne pas se connecter au Wi-Fi public pour traiter des informations sensibles.
-En cas de connexion à un réseau Wi-Fi public, s’en tenir aux sites cryptés (URL commencera par HTTPS) car cela protégera les transactions sensibles des regards indiscrets.
-Si possible, utiliser un VPN car ce canal sécurisé protégera également les données d’une exposition potentielle – une excellente idée lorsque l’on se connecte au Wifi d’un hôtel, par exemple.
D’autres considérations de sécurité notables ce mois-ci incluent la fin de la prise en charge d’Adobe Reader XI et d’Adobe Acrobat XI depuis le 15 octobre. Bien que le produit continue de fonctionner, Adobe recommande fortement de passer à Adobe Reader DC et Adobe Acrobat DC. La fin du support signifie en effet il n’y a plus de mises à jour de sécurité.
Il faut toujours avoir un plan pour supprimer ou mettre à jour les produits qui ont atteint ce stade. Lorsque de nouvelles vulnérabilités sont découvertes et signalées, ces solutions héritées deviennent instantanément vulnérables et le seul moyen de les protéger est de les migrer, car aucun correctif ne sera apporté.
Nous nous attendions à ce que le Patch Tuesday d’octobre soit relativement calme avec un nombre moyen de patchs, mais les vannes se sont ouvertes rapidement. Microsoft a publié plusieurs correctifs qui ont causé des BSODs pour les premiers à les avoir adoptés ; ils ont été prompts à remédier à la situation. Pour la première fois depuis plus d’39;un an, Microsoft n’a pas publié de mise à jour pour Flash dans le cadre de la mise à jour. Mais le lundi suivant, Adobe a fourni un correctif pour corriger une vulnérabilité zero-day. Nous verrons ce qu’il en est pour le Patch Tuesday de novembre.
Prévisions Patch Tuesday de novembre
-En plus des mises à jour habituelles de Microsoft OS ce mois-ci, il peut y avoir une nouvelle version. NET. La mise à jour de ce mois-ci inclura une version Flash pour couvrir les dernières vulnérabilités.
-Adobe va publier les mises à jour Flash, Acrobat et Reader.
-Mozilla devrait sortir une version mise à jour de Firefox.
