Faille critique affectant CryptoAPI

cryptoAPIA la mi-janvier, la NSA a alerté l’éditeur Microsoft après avoir découvert une faille critique dans crypt32.dll sous son système d’exploitation Windows. Cette dll gère les fonctions de messagerie de certificat et de cryptographie pour l’API CryptoAPI. Cette API est très utilisée par les développeurs voulant implémenter des fonctions de chiffrement.

Exploitée, cette faille permettrait d’usurper la signature numérique d’un logiciel. En gros un attaquant pourrait faire passer un logiciel  illicite, signé au moyen d’un certificat falsifié pour un logiciel vérifié! Celui-ci paraitrait donc conforme et authentique aux yeux de Windows :-(. Cela s’appelle du spoofing de signature numérique.

Systèmes concernés:  Ce composant de crypto ayant été introduit depuis Windows NT 4.0, potentiellement tous les systèmes ultérieurs sont affectés.

Si vous êtes connecté à Internet, il est donc urgent d’appliquer les mises à jour et notamment le KB4532938 « mise à jour cumulative pour .net Framework 3.5 et 4.8 ».

Si vous n’êtes pas connecté au Web, vous pouvez la récupérer sur le catalogue Windows Update puis la télécharger et l’appliquer sur la machine à protéger 😉

Bonnes mises à jour!

Vous aimerez aussi...

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.