Shadow

Plusieurs versions de .NET Framework perdront le support de Microsoft l’année prochaine

Aujourd’hui, Microsoft a annoncé la prise en charge de plusieurs versions de .NET Framework avec un algorithme de hachage sécurisé hérité et non sécurisé SHA-`1 l’année prochaine.

Le framework .NET est un framework de développement de logiciel gratuit à l’aide duquel les développeurs créent des applications, des sites Web et des services. Les utilisateurs les exécutent sur leur système d’exploitation à l’aide de différentes implémentations .NET.

Selon l’annonce officielle, « .NET Framework 4.5.2, 4.6 et 4.6.1 atteindra la fin du support le 26 avril 2022.

Jamshed Damkewala, directeur principal de l’ingénierie .NET, a déclaré: « Après cette date, nous ne fournirons plus de mises à jour, y compris les correctifs de sécurité ou le support technique pour ces versions. »

L’exception à cela est la version .NET Framework 4.6. Le support sera prolongé jusqu’en octobre 2025, lorsque le système d’exploitation atteindra sa fin de vie.

Il est conseillé aux développeurs .NET de migrer leurs applications vers au moins .NET Framework 4.6.2 ou version ultérieure avant le 26 avril 2022 afin de pouvoir continuer à recevoir les mises à jour de sécurité et le support technique.

Les développeurs qui ont déjà déployé .NET Framework 4.6.2 ou des versions ultérieures doivent simplement mettre à jour le runtime sur lequel les applications exécutent la version 4.6.2. .NET Framework 4.6.2 et .NET Framework 4.8 sont tous deux des environnements d’exécution stables et compatibles avec les remplacements sur place.

 Damkewala a ajouté: «Si votre application a été conçue pour cibler .NET Framework 4 – 4.6.1, elle devrait continuer à s’exécuter sur .NET Framework 4.6.2 et versions ultérieures sans aucune modification dans la plupart des cas.

« Cela dit, nous vous recommandons vivement de valider que les fonctionnalités de votre application ne sont pas affectées lors de l’exécution sur la nouvelle version d’exécution avant de déployer la version d’exécution mise à jour dans votre environnement de production. »

La raison probable pour laquelle Microsoft abandonne ces versions est qu’elles sont signées numériquement avec des certificats qui utilisent l’algorithme de hachage cryptographique SHA-1 hérité et non sécurisé.

Un rapport publié par des experts en sécurité en 2010 sur la vulnérabilité de SHA-1 aux attaques par collision a déclaré qu’ils permettaient à des acteurs malveillants de forger des certificats numériques pour usurper l’identité d’entreprises ou de sites Web.

Ils peuvent être utilisés dans des entreprises de spoofing, ajoutant de la légitimité aux messages de phishing, ou dans des attaques faites au milieu pour espionner la session réseau cryptée.

À partir du 9 mai, les services et processus Microsoft utiliseront exclusivement l’algorithme SHA-2.

Microsoft a déjà retiré le contenu SHA-1 signé par Windows du centre de téléchargement Microsoft en août 2020.

La chose à noter est que Microsoft ne prend en charge que le contenu signé SHA-2 pour le contenu officiel. Cependant, les exécutables Windows signés à l’aide de certificats d’entreprise ou d’auto-signés SHA-1 installés manuellement peuvent toujours s’exécuter dans le système d’exploitation.