POODLE : Microsoft publie un correctif pour IE
SSL 3 sera désactivé dans Office 365 et Azure à partir du 1er décembre
Le 2014-10-30 13:50:23, par Hinault Romaric, Responsable .NET
Microsoft vient de publier un utilitaire qui permet en un seul clic de désactiver SSL 3 dans toutes versions supportées du navigateur Internet Explorer.
L’utilitaire « Fix It » est une solution temporaire qui fonctionne également avec IE6, bien que cette version ne soit plus supportée. « Si vous utilisez des anciennes versions d’Internet Explorer à l’instar d’IE 6, nous vous recommandons d’utiliser un navigateur plus récent dès que possible en plus du correctif que nous avons publié aujourd’hui », conseille la firme dans un billet de blog.
Microsoft envisage de publier dans les prochains mois (probablement via le patch tueday) une mise à jour qui permettra de désactiver par défaut SSL 3 dans Internet Explorer. À partir du 1er décembre 2014, Microsoft procédera à la désactivation de SSL 3 sur ses services en ligne, dont Office 365 et les services Cloud d’Azure.
La désactivation de SSL 3 dans Internet Explorer fait suite la faille POODLE (Padding Oracle On Downgraded Legacy Encryption) découverte par des ingénieurs de Google. Cette faille permet l’accès aux données telles que le mot de passe et le cookie de connexion d’une victime sur un canal de communication sécurisée avec SSL, établi entre le serveur et le navigateur client.
SSL 3 est un protocole de sécurisation des échanges sur internet. Il date de près de 18 ans, et la découverte de cette faille a sonné le glas de sa fin. Plusieurs acteurs de l’industrie de l’IT ont commencé à procéder à la suppression du support du protocole dans leurs produits.
Dans ce registre, on peut citer notamment Google, qui avait procédé à des modifications dans son navigateur Chrome pour désactiver la prise en charge de SSL 3. La firme envisage dans les prochains mois de retirer complètement le support du protocole dans l’ensemble de ses produits.
Mozilla avait également annoncé que la prise en charge de SSL 3 sera désactivée par défaut dans Firefox 34, qui sortira le 25 novembre. Pour les anciennes versions du navigateur, la firme a publié un plugin (SSL Version Control) permettant de désactiver automatiquement le support de SSL 3.
Source : Microsoft
L’utilitaire « Fix It » est une solution temporaire qui fonctionne également avec IE6, bien que cette version ne soit plus supportée. « Si vous utilisez des anciennes versions d’Internet Explorer à l’instar d’IE 6, nous vous recommandons d’utiliser un navigateur plus récent dès que possible en plus du correctif que nous avons publié aujourd’hui », conseille la firme dans un billet de blog.
Microsoft envisage de publier dans les prochains mois (probablement via le patch tueday) une mise à jour qui permettra de désactiver par défaut SSL 3 dans Internet Explorer. À partir du 1er décembre 2014, Microsoft procédera à la désactivation de SSL 3 sur ses services en ligne, dont Office 365 et les services Cloud d’Azure.
La désactivation de SSL 3 dans Internet Explorer fait suite la faille POODLE (Padding Oracle On Downgraded Legacy Encryption) découverte par des ingénieurs de Google. Cette faille permet l’accès aux données telles que le mot de passe et le cookie de connexion d’une victime sur un canal de communication sécurisée avec SSL, établi entre le serveur et le navigateur client.
SSL 3 est un protocole de sécurisation des échanges sur internet. Il date de près de 18 ans, et la découverte de cette faille a sonné le glas de sa fin. Plusieurs acteurs de l’industrie de l’IT ont commencé à procéder à la suppression du support du protocole dans leurs produits.
Dans ce registre, on peut citer notamment Google, qui avait procédé à des modifications dans son navigateur Chrome pour désactiver la prise en charge de SSL 3. La firme envisage dans les prochains mois de retirer complètement le support du protocole dans l’ensemble de ses produits.
Mozilla avait également annoncé que la prise en charge de SSL 3 sera désactivée par défaut dans Firefox 34, qui sortira le 25 novembre. Pour les anciennes versions du navigateur, la firme a publié un plugin (SSL Version Control) permettant de désactiver automatiquement le support de SSL 3.
Source : Microsoft