Microsoft a récemment mis en garde les utilisateurs de PC à propos de certains problèmes avec la mise à jour de sécurité SChannel. Il a été annoncé que la vulnérabilité de SChannel contient de nouveaux chiffres TLS qui sont à l'origine des problèmes. La société a offert une solution de contournement, mais les utilisateurs ne sont pas recommandés pour éviter la mise à jour ou désinstaller si les problèmes se produisent.
La mise à jour de sécurité SChannel fixe au moins un des vulnérabilités critiques SCHANNEL – SSL / TLS mise en œuvre de chiffrement par Microsoft. Cela a été considéré comme très critique et les utilisateurs ont été invités à appliquer la mise à jour dès que possible.
Certains utilisateurs qui ont demandé la mise à jour, cependant, fait face à des problèmes graves. Certaines questions se sont produites dans les configurations où TLS 1.2 est activée par défaut et les négociations ont échoué. Les experts disent que Microsoft lorsque le TLS 1.2 connexions baisse, plusieurs choses peuvent se produire - les processus cesser de répondre et les services deviennent de répondre pendant une certaine période. Dans le cas de ces événements, un ID d'événement système 36887 pourraient apparaître dans le journal des événements système indiquant une erreur fatale "Un alerte fatale a été reçu à partir de l'extrémité distante. Le code d'alerte fatale protocole TLS est défini 40.’
La Mise à jour MS14-066 apporte quelques nouvelles fonctionnalités ainsi et ce sont quatre chiffres pour TLS. Il semble que ces quatre chiffres sont la cause du problème, ainsi afin de travailler autour d'elle, les utilisateurs ont besoin de les supprimer. Les noms des quatre chiffres sont:
- TLS_DHE_RSA_WITH_AES_256_GCM_SHA384
- TLS_DHE_RSA_WITH_AES_128_GCM_SHA256
- TLS_RSA_WITH_AES_256_GCM_SHA384
- TLS_RSA_WITH_AES_128_GCM_SHA256
Encore, la mise à jour de sécurité SChannel reste incertaine. Microsoft a fait plusieurs références à cette mise à jour, d'autres experts confirment que la mise à jour corrige plusieurs vulnérabilités d'un ou qui ont été rapportés par les utilisateurs ou grâce à des tests internes trouvés. En plus de cela, le bulletin de sécurité ne sont pas très détaillées sur les spécificités de la vulnérabilité.
