Le Microsoft Patch Tuesday de décembre 2019 corrige 36 vulnérabilités

Qu'est-ce que le Patch Tuesday ?

Microsoft publie régulièrement des correctifs et des mises à jour de sécurité et non sécuritaires pour corriger les vulnérabilités de ses logiciels ou pour mettre à niveau ses applications ou systèmes d'exploitation (OS). Patch Tuesday est le jour où Microsoft publie ces mises à jour.

Quand est le Patch Tuesday ?

Le Patch Tuesday tombe le deuxième mardi de chaque mois. Microsoft a publié les premières mises à jour de Patch Tuesday en octobre 2003.

Les points importants du Patch Tuesday de décembre 2019

Ce Patch Tuesday est livré avec des correctifs pour 36 vulnérabilités et deux recommandations. Parmi ces vulnérabilités, sept sont classées comme critiques, 27 comme importantes, une comme modérée et une comme faible.

Patch Tuesday pour les produits Microsoft

Le Microsoft Patch Tuesday de décembre 2019 inclut des mises à jour pour les logiciels suivants :

• Microsoft Windows
• Internet Explorer
• Microsoft Office
• Microsoft Office Services and Web Apps
• SQL Server
• Visual Studio
• Skype for Business

Les mises à jour tierces qui ont été publiées sont :

• NVS (1.5.4)
• Mnemosyne (2.7)
• QuiteRSS (0.19.2)
• Skype (8.55.0.123)
• Pale Moon (28.8.0)
• CPUID CPU-Z (1.91)
• GoodSync (10.10.14)
• EditPad Lite (7.6.7)
• EditPad Lite (7.6.6)
• Snagit 2020 (20.0.3)
• KakaoTalk (3.0.8.2360)
• Glary Utilities (5.133)
• RingCentral Phone (19.3.4)
• Auslogics DiskDefrag (9.2.0.4)
• Auslogics Registry Cleaner (8.2.0.4)
• Auslogics Duplicate File Finder (8.2.0.4)
• Adobe Flash Player PPAPI (32.0.0.303)
• Adobe Flash Player Plugin (32.0.0.303)
• Adobe Flash Player ActiveX (32.0.0.303)
• Adobe Acrobat Reader MUI DC (Classic Track) update – All languages (15.006.30508) (APSB19-55)
• Adobe Acrobat Reader MUI DC (Continuous Track) update – All languages (19.021.20058) (APSB19-55)
• Adobe Acrobat Reader DC (Continuous Track) update – All languages (19.021.20058) (APSB19-55)
• Adobe Acrobat DC Pro and Standard (Continuous Track) update – All languages (19.021.20058) (APSB19-55)
• Adobe Acrobat DC Pro and Standard (Classic Track) update – All languages (15.006.30508) (APSB19-55)
• Adobe Acrobat 2017 Pro and Standard (Acrobat 2017 Track) update – All languages (17.011.30156) (APSB19-55)
• Adobe Acrobat Reader 2017 MUI (Classic Track) (17.011.30156) (APSB19-55)

Vulnérabilité Zero-day corrigée

Une vulnérabilité d'élévation de privilège zero-day dans le composant Win32k a été corrigée dans ce Patch Tuesday. Déjà exploitée dans la nature, cette vulnérabilité s'appelle CVE-2019-1458 et permet à un pirate d'exécuter des commandes en mode noyau et d'accéder à l'OS en totalité. La mise à jour corrige cette vulnérabilité en corrigeant la façon dont Win32k gère les objets en mémoire.

Annonces importantes

Ce pourrait être le dernier Patch Tuesday dans lequel des mises à jour de sécurité gratuites seront publiées pour Windows 7, Windows Server 2008 et Windows Server 2008 R2, car ces produits sont en fin de vie. Microsoft prévoit de mettre fin au support pour le logiciel mentionné ci-dessus le 14 janvier 2020. Au-delà de cette date limite, les mises à jour de sécurité de ces OS seront disponibles sous la forme d'un abonnement payant. Les utilisateurs qui se trouvent encore sur ces anciens OS sont invités à migrer rapidement vers des versions plus récentes ou à acheter les mises à jour de sécurité étendues (ESU).

Les bonnes pratiques pour gérer les mises à jour du Microsoft Patch Tuesday de décembre 2019

Le déploiement de correctifs et la mise à jour de tous vos terminaux peuvent sembler une tâche impossible, mais il existe des bonnes pratiques que vous pouvez suivre pour simplifier le processus de mise à jour :

• Priorisez d'abord les correctifs pour les vulnérabilités critiques. Les sept vulnérabilités critiques de ce Patch Tuesday sont CVE-2019-1468, CVE-2019-1350, CVE-2019-1349, CVE-2019-1387, CVE-2019-1354, CVE-2019-1352 et CVE-2019-1471.
• Ensuite, automatisez toutes les autres mises à jour importantes et modérées.
• Prévoyez les mises à jour en dehors des heures de travail pour éviter les temps d'arrêt.
• Créez un groupe de test pour vérifier la stabilité des mises à jour du Patch Tuesday avant de les déployer sur les machines de production.
• Déclinez les correctifs moins critiques et déployez-les une fois que les problèmes importants ont été réglés.
• Reportez ou planifiez les redémarrages pour les machines et serveurs critiques.
• Exécutez des rapports de correctifs pour vous assurer que les terminaux réseau sont à jour avec les derniers correctifs.

Vous pensez toujours que le déploiement de correctifs est un processus complexe ? Ne vous inquiétez pas, nous nous occupons de tout.

ManageEngine offre deux solutions - Desktop Central et Patch Manager Plus - qui vous aident à automatiser toutes les bonnes pratiques mentionnées ci-dessus depuis une console centrale. Vous pouvez essayer les deux solutions gratuitement pendant 30 jours et maintenir à jour plus de 750 applications, dont plus de 300 applications tierces.