Plusieurs versions de .NET Framework arrivent en fin de vie en avril

Microsoft

Microsoft a rappelé à ses clients que plusieurs versions de .NET Framework signées à l’aide de l’algorithme Secure Hash Algorithm 1 (SHA-1) non sécurisé atteindront leur fin de vie ce mois-ci.

le .NET Framework est un cadre de développement de logiciels libres conçu pour aider les développeurs à créer des applications, des sites Web et des services .NET, et les utilisateurs les exécutent sur de nombreux systèmes d’exploitation (y compris Windows) à l’aide de différentes implémentations de .NET.

« Le 26 avril 2022, le .NET Framework 4.5.2, 4.6 et 4.6.1 atteindra la fin du support, et après cette date, Microsoft ne fournira plus de mises à jour, y compris les correctifs de sécurité et le support technique pour ces versions, » Microsoft mentionné dans une mise à jour du centre de messagerie Windows.

« Il n’y a aucun changement dans les délais de prise en charge pour toute autre version de .NET Framework. Si vous utilisez .NET Framework 4.5.2, 4.6 ou 4.6.1, vous devrez effectuer une mise à niveau vers une version ultérieure pour rester pris en charge. »

Comme déjà révélé dans le cadre de l’annonce initiale, il existe cependant une exception : la version .NET Framework 4.6 livrée avec Windows 10 Enterprise LTSC 2015 sera toujours prise en charge jusqu’en octobre 2025, lorsque le système d’exploitation atteindra sa fin de vie.

Microsoft conseille aux développeurs .NET de migrer leurs applications vers au moins .NET Framework 4.6.2 ou version ultérieure avant le 26 avril 2022, pour continuer à recevoir le support technique et les mises à jour de sécurité.

.NET Framework 4.6.2 (livré il y a près de cinq ans) et .NET Framework 4.8 (livré il y a huit ans) sont à la fois des remplacements sur place compatibles et des runtimes stables déjà « largement déployés sur des centaines de millions d’ordinateurs via Windows Update (WU) . »

Retiré en raison du Switch de signature SHA-2

Un rapport publié en 2015 sur la façon dont les collisions de vulnérabilité de SHA-1 attaquent pourrait permettre aux pirates de falsifier des certificats numériques pour usurper l’identité d’entreprises ou de sites Web, d’ajouter une légitimité aux messages de phishing ou de lancer des attaques de type « man-in-the-middle » pour espionner le trafic réseau chiffré.

Microsoft retire ces versions de .NET Framework après être passé à la signature numérique SHA-2 en utilisant l’ancien algorithme de hachage cryptographique SHA-1, qui n’est plus sécurisé.

Depuis le 9 mai 2021, tous les principaux services et processus Microsoft (y compris la signature de code, le hachage de fichiers et les certificats TLS) utilisent l’algorithme SHA-2 exclusivement.

Microsoft a également retiré tout le contenu SHA-1 signé Windows du Centre de téléchargement Microsoft il y a près de deux ans, en août 2020, après être passé à l’algorithme SHA-2 pour signer les mises à jour Windows un an auparavant.

Bien que SHA-2 soit utilisé pour signer des fichiers binaires, il est important de noter que les exécutables Windows signés avec des certificats d’entreprise ou auto-signés SHA-1 installés manuellement pourront toujours s’exécuter.