Qu'est-ce que Patch Tuesday ?
Le Patch Tuesday tombe le deuxième mardi de chaque mois. C'est ce jour-là que Microsoft publie des mises à jour de sécurité et non-sécuritaires pour son système d'exploitation et d'autres applications connexes. Comme Microsoft a maintenu ce processus de publication de mises à jour de manière périodique, les administrateurs informatiques sont bien informés et ont le temps de se préparer aux nouvelles mises à jour.
Pourquoi le Patch Tuesday est-il important ?
Les mises à jour de sécurité les plus importantes et les correctifs pour corriger les bogues ou les vulnérabilités critiques sont publiés dans le Patch Tuesday. Habituellement, les vulnérabilités de type "zero-day" sont également corrigées lors du Patch Tuesday, sauf si la vulnérabilité est critique et fortement exploitée, auquel cas une mise à jour de sécurité hors bande est publiée pour corriger cette vulnérabilité particulière.
Principaux éléments du Patch Tuesday d'Octobre?
-
Des mises à jour de sécurité ont été publiées pour la gamme de produits suivante :
-
Microsoft Windows
-
Microsoft Office, Microsoft Office Services et Web Apps
-
Microsoft JET Database Engine
-
Azure Functions
-
Azure Sphere
-
Open Source Software
-
Microsoft Exchange Server
-
Visual Studio
-
PowerShellGet
-
Microsoft .NET Framework
-
Microsoft Dynamics
-
Adobe Flash Player
-
Microsoft Windows Codecs Library
Vulnérabilités zero-day et divulgations publiques
Aucune vulnérabilité de type "zero-day" n'a été corrigée ce mois-ci, mais Microsoft a publié des correctifs pour six vulnérabilités divulguées publiquement. Heureusement, aucune d'entre elles n'a été exploitée. En voici la liste :
-
CVE-2020-16938 - Vulnérabilité de divulgation d'informations du noyau de Windows
-
CVE-2020-16885 - Vulnérabilité d'élévation de privilèges des pilotes VSP de stockage de Windows
-
CVE-2020-16901 - Vulnérabilité de divulgation d'informations du noyau de Windows
-
CVE-2020-16908 - Vulnérabilité d'élévation de privilèges dans la configuration de Windows
-
CVE-2020-16909 - Vulnérabilité d'élevation de privilèges dans les rapports d'erreurs de Windows
-
CVE-2020-16937 - Vulnérabilité de divulgation d'informations du Framework .NET
Mises à jour critiques et significatives
Bien qu'il n'y ait pas de vulnérabilité de type "zero-day" aujourd'hui, il existe quelques vulnérabilités significatives exécutables à distance qui ont été corrigées :
-
CVE-2020-16911 - Vulnérabilité du GDI et d'exécution de code à distance
-
CVE-2020-16898 - Vulnérabilité d'exécution de code à distance de Windows TCP/IP
-
CVE-2020-16891 - Vulnérabilité d'exécution de code à distance de Windows Hyper-V
-
CVE-2020-16915 - Vulnérabilité de corruption de la mémoire de Microsoft Media Foundation
Les vulnérabilités critiques corrigées ont les ID CVE suivants :
CVE-2020-16911, CVE-2020-16923, CVE-2020-16947, CVE-2020-17003, CVE-2020-16951, CVE-2020-16952, CVE-2020-16898, CVE-2020-16967, CVE-2020-16968, CVE-2020-16891 et CVE-2020-16915.
Mises à jour Adobe
Adobe a publié des mises à jour pour Adobe Flash Player, corrigeant une vulnérabilité critique d'exécution de code à distance dans le produit. La vulnérabilité est suivie sous le numéro CVE-2020-9746. Lorsqu'elle est exploitée avec succès, la vulnérabilité pourrait conduire à un crash qui permettrait alors aux attaquants d'exécuter des commandes à distance sur les ordinateurs cibles. Cette vulnérabilité peut être corrigée en installant Adobe Flash Player 32.0.0.445 dès que possible.
Les bonnes pratiques pour la gestion des correctifs dans le scénario actuel de travail à domicile
Dans le cadre du COVID-19, la plupart des entreprises ont choisi de passer complètement au travail à distance. Cette décision pose divers problèmes aux administrateurs informatiques, notamment en termes de gestion et de sécurisation des terminaux. Voici quelques conseils pour faciliter le processus de déploiement de correctifs à distance.
-
Désactivez les mises à jour automatiques, car un seul correctif défectueux pourrait faire tomber tout le système. Les administrateurs informatiques peuvent apprendre aux utilisateurs finaux comment désactiver les mises à jour automatiques sur leurs machines. Patch Manager Plus et Desktop Central disposent également d'un correctif dédié, 105427, qui peut être déployé sur les terminaux pour garantir la désactivation des mises à jour automatiques.
-
Créez un point de restauration, une sauvegarde ou une image qui capture l'état des machines, avant de déployer de grosses mises à jour comme celles du Patch Tuesday.
-
Établissez un calendrier de mise à jour et informez les utilisateurs finaux. Il est recommandé de fixer un horaire pour le déploiement des correctifs et le redémarrage des systèmes. Informez les utilisateurs finaux de ce qui doit être fait de leur côté - par exemple, qu'ils doivent se connecter au VPN pendant trois heures de 18 à 21 heures.
-
Testez les correctifs sur un groupe de systèmes pilote avant de les déployer dans l'environnement de production. Cela permettra de s'assurer que les correctifs n'interfèrent pas avec le fonctionnement d'autres applications.
-
Comme la plupart des utilisateurs travaillent à domicile, il se peut qu'ils ne respectent pas des horaires précis ; c'est pourquoi il faut permettre aux utilisateurs finaux de passer le déploiement et les redémarrages prévus. Cela leur donnera la liberté d'installer les mises à jour à leur convenance, sans perturber leur travail. Nos produits de gestion des correctifs sont fournis avec des options de déploiement et de redémarrage définies par l'utilisateur.
-
La plupart des entreprises utilisent un réseau privé virtuel (VPN). Pour éviter que les tâches de déploiement de correctifs n'absorbent la bande passante de votre VPN, installez d'abord les mises à jour critiques et de sécurité. Il est préférable de ne pas déployer les "Paquets de fonctionnalités " et les mises à jour cumulatives, car ce sont des mises à jour volumineuses qui consomment trop de bande passante.
-
Programmez les mises à jour non sécuritaires, ainsi que les mises à jour de sécurité qui ne sont pas classées comme critiques, à déployer après le Patch Tuesday, par exemple pendant la troisième ou la quatrième semaine du mois. Vous pouvez également choisir de refuser certaines mises à jour si vous estimez qu'elles ne sont pas nécessaires dans votre environnement.
-
Exécutez des rapports sur les correctifs pour obtenir une vue détaillée de l'état de santé de vos terminaux.
Avec Desktop Central ou Patch Manager Plus, vous pouvez automatiser entièrement le processus de gestion des correctifs, depuis le test des correctifs jusqu'à leur déploiement. Vous pouvez également adapter les tâches de déploiement des correctifs en fonction de votre situation actuelle. Pour une expérience concrète avec l'un ou l'autre de ces produits, lancez un essai gratuit de 30 jours et maintenez des milliers d'applications à jour et sécurisées.
Vous voulez en savoir plus sur les mises à jour du Patch Tuesday ? Rejoignez nos experts qui vous présenteront les mises à jour du Patch Tuesday et vous offriront une analyse approfondie. Vous pouvez également poser des questions à nos experts et obtenir des réponses immédiates. Inscrivez-vous à notre webinaire gratuit (en anglais) Patch Tuesday !