Accueil Cybersécurité Patch Tuesday d’octobre : inquiétude concernant la vulnérabilité « Zero Day »...

Patch Tuesday d’octobre : inquiétude concernant la vulnérabilité « Zero Day » d’IE

Selon Chris Goettl, Director, Product Management, Security, chez Ivanti, on pourrait presque parler d’un Patch Tuesday « tranquille », si ce n’était l’inquiétude concernant la vulnérabilité Zero Day d’IE et la série de problèmes qu’elle a provoqués, signalés cette dernière semaine. Son analyse.

Microsoft publie des mises à jour pour Microsoft Windows, les navigateurs Internet Explorer et Edge, Microsoft Office et Office 365, SQL Server et certains outils de développement. De plus, la plupart des systèmes d’exploitation Windows reçoivent une nouvelle mise à jour de pile de maintenance (SSU). Microsoft résout un total de 59 vulnérabilités sans aucune exploitation ni divulgation publique signalée. 

Testez les SSU et préparer leur déploiement

Microsoft publie des mises à jour de pile de maintenance (SSU) (ADV990001) pour tous ses systèmes, sauf Windows 7, Server 2008 et Server 2008 R2. Les SSU sont distinctes des mises à jour cumulatives ou de sécurité uniquement standard publiées par Microsoft. À un certain stade, les services de mise à jour de Windows vont devenir un prérequis pour les futures mises à jour des systèmes concernés. Microsoft publie généralement la SSU au moins deux mois avant l’application complète des changements. Le délai le plus court observé entre la publication de la mise à jour SSU et le fait qu’elle soit obligatoire pour les mises à jour futures est de deux mois. Comme Microsoft vient de publier en septembre tout un jeu de SSU pour tous les OS Windows, d’importants changements nous attendent très bientôt. Nous vous recommandons de prendre le temps de tester ces SSU et de préparer leur déploiement. Mais soyez prudent, car toutes, sauf deux, viennent à nouveau d’être mises à jour. Nous avons vu des situations où plusieurs SSU pouvaient cohabiter pour la suite, mais le jeu d’octobre peut aussi totalement remplacer les SSU de septembre au moment où Microsoft en fera un prérequis.

Correctif Zéro Day d’IE : les problèmes d’impression

Pour le test des mises à jour de ce mois, n’oubliez pas la vulnérabilité « Zero Day » d’IE, dont le correctif a initialement été publié le 23 septembre. La mise à jour pour cette vulnérabilité « Zero Day » d’IE (CVE-2019-1367) a été publiée pour Windows 10 via les mises à jour cumulatives pour 1903 (en remontant jusqu’à 1703), Server 2019 et Server 2016. Cependant, il faut télécharger manuellement une mise à jour IE pour les systèmes antérieurs à Windows 10. Des mises à jour cumulatives non-sécurité facultatives ont été publiées le 24 septembre pour Windows 10, ainsi que des aperçus des mises à jour mensuelles pour les systèmes antérieurs à Win10. Même si Microsoft ne l’a pas spécifié, le correctif pour le « Zero Day » IE était inclus dans ces mises à jour non-sécurité. Le 3 octobre, de nouvelles mises à jour cumulatives pour IE et mises à jour de déploiement mensuel ont été publiées pour résoudre les problèmes d’impression très souvent signalés comme ayant été provoqués par le correctif. Après cette vague de mises à jour, des problèmes d’impression ont encore été signalés, mais cette mise à jour supplémentaire a été ajoutée à la CVE IE lors du Patch Tuesday du 8 octobre. Nous vous recommandons de soigneusement la tester si vous avez subi les problèmes d’impression signalés ces dernières semaines.

La base de connaissances Microsoft indique : « Les mises à jour de sécurité d’octobre, publiées par Microsoft le 8 octobre 2019, corrigent un certain nombre de problèmes d’impression subis par nos clients après l’installation des mises à jour de sécurité, des mises à jour cumulatives d’IE ou des déploiements mensuels publiés le 23 septembre ou le 3 octobre pour toutes les installations applicables d’Internet Explorer 9, 10 ou 11 sous Microsoft Windows. Les clients qui ont déjà installé les mises à jour publiées le 23 septembre ou le 3 octobre doivent installer les mises à jour de sécurité d’octobre pour résoudre les éventuels problèmes d’impression constatés. Consultez le tableau des mises à jour de sécurité pour télécharger et installer les mises à jour de sécurité d’octobre. »

 

Eliminez Flash de votre environnement

Aucune mise à jour Adobe Flash Player n’a été publiée. Cela fait trois Patch Tuesday en 2019 où Flash n’a publié aucune mise à jour pour résoudre des vulnérabilités de sécurité. Si vous n’avez pas encore éliminé Flash de votre environnement, ce serait sage de le faire. Son utilisation s’arrête peu à peu et, par conséquent, il reçoit peu d’attention.