Français 
English
Deutsch
Español
Italiano
Português
日本語
한국어
Русский
La mise à jour Patch Tuesday de mai inclut 3 zéro
Par Greg Lambert, contributeur, Computerworld |
Greg Lambert évalue les risques pour les applications et les environnements existants dans le cycle Patch Tuesday de chaque mois.
Dans sa mise à jour de mai, Microsoft a corrigé 51 vulnérabilités dans Windows, Microsoft Office et Visual Studio. Et avec trois failles zero-day à corriger de toute urgence dans Windows (CVE-2023-24932, CVE-2023-29325 et CVE-2023-29336), l'accent doit être mis ce mois-ci sur la mise à jour rapide de Windows et de Microsoft Office. Les deux plates-formes reçoivent notre recommandation "Patch Now".
Le test de ce cycle de correctifs doit inclure la validation du démarrage sécurisé de Windows, des transferts de bureau à distance et VPN, et la vérification que Microsoft Outlook gère correctement les fichiers de document (RTF et DOC). L'équipe d'Application Readiness a conçu cette infographie utile pour décrire les risques associés à chacune des mises à jour de ce cycle.
Chaque mois, Microsoft inclut une liste des problèmes connus liés au système d'exploitation et aux plates-formes inclus dans les dernières mises à jour. Pour le mois de mai, il s'agit notamment de :
Un problème qui affecte toujours toutes les versions de Windows 10 (comme c'est le cas depuis trois mois) est que les profils d'appareils de kiosque ne se connectent toujours pas automatiquement. Microsoft travaille sur un correctif. Et pour ceux qui recherchent une valeur rédemptrice dans les mises à jour de jeu (qui ne l'est pas ces jours-ci ?), Red Dead Redemption 2 est désormais en mesure de démarrer. Bien joué.
Ce mois-ci, il n'y a eu aucune mise à jour de CVE ni aucune révision majeure des correctifs précédents.
Microsoft n'a publié aucune autre atténuation ou solution de contournement pour les correctifs de ce mois-ci.
Chaque mois, l'équipe de Readiness analyse les dernières mises à jour du Patch Tuesday et fournit des conseils de test détaillés et exploitables. Les conseils sont basés sur l'évaluation d'un vaste portefeuille d'applications et sur une analyse détaillée des correctifs Microsoft et de leur impact potentiel sur Windows et les installations d'applications.)
Compte tenu du grand nombre de modifications au niveau du système incluses dans ce cycle, j'ai décomposé les scénarios de test en profils standard et à haut risque.
Microsoft a apporté des modifications importantes ce mois-ci au module TPM, en particulier, Secure Boot et BitLocker. L'équipe de préparation suggère les tests de base suivants pour cette mise à jour :
Nous ne sommes pas sûrs de la validité des supports de récupération une fois que cette mise à jour de May Patch Tuesday aura été appliquée. Votre support de récupération de démarrage peut échouer s'il est créé sur des systèmes antérieurs à cette mise à jour. Une fois que vous aurez effectué cette mise à jour, vous devrez vous assurer que les sauvegardes complètes sont terminées et testées. Ce scénario affecte à la fois les postes de travail Windows 11 (22H2) et Windows Server 2022.
Les modifications suivantes incluses dans la mise à jour de ce mois-ci n'ont pas été signalées comme des modifications à haut risque et n'incluent pas les modifications fonctionnelles.
Tous ces scénarios de test nécessitent des tests importants au niveau de l'application avant le déploiement général. Compte tenu de la nature des modifications incluses dans ces correctifs, l'équipe de préparation vous recommande de :
Les tests automatisés aideront avec ces scénarios (en particulier en utilisant une plate-forme de test qui offre un "delta" ou une comparaison entre les versions). Pour les applications métier qui impliquent que le propriétaire de l'application (qui effectue l'UAT) teste et approuve les résultats des tests, cela reste essentiel.
Cette section inclut les modifications importantes apportées à la maintenance (et à la plupart des mises à jour de sécurité) des plates-formes de bureau et de serveur Windows.
Chaque mois, nous décomposons le cycle de mise à jour en familles de produits (telles que définies par Microsoft) avec les regroupements de base suivants :
Microsoft a publié 11 mises à jour discrètes de son portefeuille de navigateurs, qui ont toutes été jugées importantes. Pour ceux qui utilisent encore l'ancienne base de code (IE), l'application de bureau Internet Explorer 11 retirée du support a été définitivement désactivée dans le cadre de la mise à jour de sécurité Windows de février (version "B"). Ajoutez ces mises à jour à votre calendrier de publication de correctifs standard.
Ce mois-ci, Microsoft a publié cinq mises à jour critiques et 22 correctifs jugés importants pour la plate-forme Windows ; ils couvrent les composants clés suivants :
À première vue, la version de mai de Windows semblait assez légère, avec un nombre de mises à jour critiques inférieur à la normale. Cependant, Microsoft a identifié et corrigé une vulnérabilité dans le processus de démarrage sécurisé de Windows si complexe qu'une version intermédiaire est requise. Identifiée comme CVE-2023-24932, Microsoft avertit que cette vulnérabilité permet à un "attaquant d'exécuter du code auto-signé au niveau de l'interface UEFI (Unified Extensible Firmware Interface) alors que le démarrage sécurisé est activé".
Oui - vous avez bien entendu - votre processus de démarrage sécurisé a été compromis (présenté par Black Lotus). Comme mentionné dans la section des conseils de test ci-dessus, le support de démarrage doit être soigneusement analysé ; sinon, les serveurs "briqués" sont une réelle possibilité. Avant de continuer, lisez ces directives mises à jour pour CVE-2023-24932, avec quelques lectures supplémentaires sur la campagne Black Lotus disponibles ici.
Ajoutez cette mise à jour à votre calendrier de publication "Patch Now".
Microsoft a publié une mise à jour critique pour SharePoint Server ce mois-ci. En plus de cela, six autres mises à jour jugées importantes concernant Word, Excel et Teams sont arrivées. L'accent doit être mis sur Microsoft Outlook (CVE-2023-29324) avec un correctif mis à jour (pour une atténuation précédente) pour résoudre une grave vulnérabilité d'élévation de privilèges (EOP). Microsoft a publié un document d'atténuation de mise à jour (d) pour expliquer ce grave problème de sécurité.
Bien que la vulnérabilité liée à Windows OLE (CVE-2023-29325) doive être incluse dans la section Windows de ce mois-ci, le vrai problème avec cette bibliothèque système de base concerne la façon dont Microsoft Outlook gère les requêtes "ouvertes" RTF et Word Doc. Nous n'avons eu aucun rapport sur ces autres vulnérabilités liées à Microsoft Office exploitées dans la nature, ni aucune divulgation publique pour Excel. Compte tenu de l'urgence de ces correctifs Microsoft Outlook et Microsoft Office (OLE), ajoutez ces mises à jour Office à votre calendrier de publication "Patch Now".
Bonne nouvelle : aucun serveur Exchange ne met à jour ce cycle.
Microsoft n'a publié que deux mises à jour ce mois-ci (CVE-2023-29338 et CVE-2023-29343), toutes deux jugées importantes. Affectant uniquement Visual Studio et Sysmon (merci, Mark), il existe un profil de test très faible pour l'une ou l'autre mise à jour. Ajoutez ces mises à jour à votre calendrier de publication standard pour les développeurs.
Adobe Reader (toujours là, mais pas ce mois-ci)
Jours heureux! Aucune mise à jour d'Adobe Reader de Microsoft pour le mois de mai.
Greg Lambert est un évangéliste pour Application Readiness, les spécialistes de l'évaluation en ligne et de la conversion des applications. Greg est co-fondateur de ChangeBASE, et maintenant PDG d'Application Readiness, et possède une expérience considérable de la technologie de conditionnement d'applications et de son déploiement.
Copyright © 2023 IDG Communications, Inc.
Problèmes connus Révisions majeures Atténuations et solutions de contournement Conseils de test Risque élevé Risque standard Mise à jour du cycle de vie Windows Navigateurs Windows Microsoft Office Microsoft Exchange Server Plateformes de développement Microsoft Adobe Reader (toujours disponible, mais pas ce mois-ci)