Microsoft Patch Tuesday : c’est la rentrée, préparez-vous au changement
Administrateurs, appliquez le Patch Tuesday de septembre et découvrez le nouveau système de bulletins de sécurité de Microsoft sous forme de mises à jour cumulatives.
Changement de régime à prévoir pour le Patch Tuesday de Microsoft. Après la tournée de septembre, la firme de Redmond modifie son approche de diffusion de bulletins de sécurité. A partir du mois prochain (octobre 2016), Microsoft compte aligner ces OS sur le régime de Windows 10. On oublie les spécificités des OS que l’éditeur a écoulés au fil des générations. Et on se concentre sur des mises à jour cumulatives.
Silicon.fr précise la nouvelle approche pour les entreprises qui disposeront de deux options chaque mois : opter pour la mise à jour cumulative globale (un package unique intégrant les améliorations fonctionnelles et les patches de sécurité) ou se contenter des mises à jour de sécurité (là aussi rassemblées au sein d’un package).
Pour les administrateurs de systèmes d’information et les gestionnaires de parcs informatiques, cela veut dire qu’ils n’auront plus accès à une liste de réactualisations de sécurité à appliquer au cas par cas.
Il est aisé de deviner les raisons de ce revirement chez Microsoft annoncé dès la mi-août sur le blog de TechNet. L’éditeur ne veut plus gérer l’enfer de la fragmentation de ses environnements OS (Windows 7, 8.1 et Windows Server versions 2008 et 2012) et adopte une approche plus globale.
Même si des experts de la sécurité redoutent des effets pernicieux : faute d’informations fournies par Microsoft sur les mises à jour cumulatives, les entreprises risquent d’éviter de prendre des risques d’incompatibilité avec leurs applications critiques et donc de repousser l’application de la la mise à jour cumulative.
Patch Tuesday de septembre : 14 bulletins, la moitié critique
Au fait, que nous réserve la livraison mensuelle de correctifs de sécurité de Microsoft sur septembre ? Le Patch Tuesday de la rentrée est dense : 47 failles à combler à travers 14 bulletins de sécurité (dont 7 classés critiques, le niveau de risque le plus élevé qui se traduit par une mise à niveau impérative des logiciels concernés).
10 de ces bulletins peuvent conduire à l’exécution de code à distance, autrement dit à une prise de contrôle du système par un assaillant. De nombreux logiciels Microsoft sont concernés : les navigateurs Internet Explorer et Edge, Windows (dans ses multiples versions), Office, Exchange, Silverlight, l’outil de script VBScript, mais aussi le lecteur Flash sur Windows (précisons qu’Adobe a publié en parallèle des correctifs pour les failles mentionnées).
Petites mentions distinctives aux failles des navigateurs Internet Explorer et Edge (bulletins MS16-104 et MS16-105). Elles favorisant la prise de contrôle d’un système en cas d’obtention illégitime des droits administrateur. Découverte par un expert en sécurité surnommé Kafeine et par un chercheur de l’éditeur de solutions anti-virus Trend Micro, la vulnérabilité IE (CVE-2016-3351) est déjà exploitée par au moins deux groupes de pirates. Edge, l’autre navigateur de Microsoft associé à Windows 10, est aussi touché par une vulnérabilité similaire.
(Crédit photo : archive Itespresso.fr)