Pour gérer vos consentements :

Microsoft Patch Tuesday : c’est la rentrée, préparez-vous au changement

Changement de régime à prévoir pour le Patch Tuesday de Microsoft. Après la tournée de septembre, la firme de Redmond modifie son approche de diffusion de bulletins de sécurité. A partir du mois prochain (octobre 2016), Microsoft compte aligner ces OS sur le régime de Windows 10. On oublie les spécificités des OS que l’éditeur a écoulés au fil des générations. Et on se concentre sur des mises à jour cumulatives.

Silicon.fr précise la nouvelle approche pour les entreprises qui disposeront de deux options chaque mois : opter pour la mise à jour cumulative globale (un package unique intégrant les améliorations fonctionnelles et les patches de sécurité) ou se contenter des mises à jour de sécurité (là aussi rassemblées au sein d’un package).

Pour les administrateurs de systèmes d’information et les gestionnaires de parcs informatiques, cela veut dire qu’ils n’auront plus accès à une liste de réactualisations de sécurité à appliquer au cas par cas.

Il est aisé de deviner les raisons de ce revirement chez Microsoft annoncé dès la mi-août sur le blog de TechNet. L’éditeur ne veut plus gérer l’enfer de la fragmentation de ses environnements OS (Windows 7, 8.1 et Windows Server versions 2008 et 2012) et adopte une approche plus globale.

Même si des experts de la sécurité redoutent des effets pernicieux  : faute d’informations fournies par Microsoft sur les mises à jour cumulatives, les entreprises risquent d’éviter de prendre des risques d’incompatibilité avec leurs applications critiques et donc de repousser l’application de la la mise à jour cumulative.

Patch Tuesday de septembre : 14 bulletins, la moitié critique

Au fait, que nous réserve la livraison mensuelle de correctifs de sécurité de Microsoft sur septembre ? Le Patch Tuesday de la rentrée est dense : 47 failles à combler à travers 14 bulletins de sécurité (dont 7 classés critiques, le niveau de risque le plus élevé qui se traduit par une mise à niveau impérative des logiciels concernés).

10 de ces bulletins peuvent conduire à l’exécution de code à distance, autrement dit à une prise de contrôle du système par un assaillant. De nombreux logiciels Microsoft sont concernés : les navigateurs Internet Explorer et Edge, Windows (dans ses multiples versions), Office, Exchange, Silverlight, l’outil de script VBScript, mais aussi le lecteur Flash sur Windows (précisons qu’Adobe a publié en parallèle des correctifs pour les failles mentionnées).

Petites mentions distinctives aux failles des navigateurs Internet Explorer et Edge (bulletins MS16-104 et MS16-105). Elles favorisant la prise de contrôle d’un système en cas d’obtention illégitime des droits administrateur. Découverte par un expert en sécurité surnommé Kafeine et par un chercheur de l’éditeur de solutions anti-virus Trend Micro, la vulnérabilité IE (CVE-2016-3351) est déjà exploitée par au moins deux groupes de pirates. Edge, l’autre navigateur de Microsoft associé à Windows 10, est aussi touché par une vulnérabilité similaire.

(Crédit photo : archive Itespresso.fr)

Recent Posts

PC Copilot+ : une porte d’entrée vers l’ IA locale ?

Equipés de NPU, les PC Copilot+ peuvent déployer des LLM en local. Un argument suffisant…

2 semaines ago

PCIe 5.0 : La révolution des cartes-mères est-elle en marche ?

Que vous soyez un novice dans le domaine informatique, ou avec un profil plus expérimenté,…

3 semaines ago

Cybersécurité : attention aux QR codes dans les PDF

Les attaques de phishing utilisant des QR codes frauduleux intégrés dans des documents PDF joints…

2 mois ago

Windows 11 : une mise à jour majeure apporte de nouvelles fonctionnalités

Microsoft a amorcé le déploiement de Windows 11 24H2. Passage en revue des nouvelles fonctionnalités…

3 mois ago

Microsoft 365 : comment Copilot se déploie dans toutes les applications

L'intégration de Copilot dans la suite bureautique s'accélère. Où trouver l'assistant IA et comment l'utiliser…

3 mois ago

PC Copilot + : Microsoft veut garder Recall

Microsoft annonce une phase expérimentale pour lancer Recall sur les PC Copilot+. Elle doit commencer…

4 mois ago