L’un des correctifs déployés lors du Patch Tuesday de novembre corrige une faille critique signalée par IBM six mois plus tôt, une vulnérabilité qui serait présente dans le code depuis 19 ans.
Microsoft a profité du Patch Tuesday de novembre pour corriger une faille critique signalée par Robert Freeman, un chercheur en sécurité d’IBM, il y a six mois.
Liée à la dépendance entre Windows et Internet Explorer, cette vulnérabilité, exploitable à distance, autorise des attaques de type Man in the middle. Selon Robert Freeman, cette faille serait présente dans Windows depuis Windows 95, c’est-à-dire depuis au moins 19 ans.
Cette faille a été découverte au sein de la bibliothèque de Secure Channel, le module regroupant divers protocoles de sécurité permettant d’assurer l’authentification de l’utilisateur et de chiffrer les transferts, un module principalement utilisé par les applications web pour des communications via HTTP.
L’expert en sécurité d’IBM précise également que l’exploitation de cette vulnérabilité est complexe à mettre en œuvre.