Catégories
Actualités Start-Up

Correctifs de sécurité Windows et Office de ce mois-ci: Bogues et solutions

Il n'y a jamais un moment ennuyeux pour les gens qui essaient de garder Windows et Office corrigés.

Windows 10 version 2004 continue de progresser lentement parmi la foule «Allez-y et donnez-moi un coup de pied», malgré son (maintenant documenté) manque de paramètres de report de mise à jour, tandis que ceux d'entre nous qui tentent toujours de conserver les versions Win10 2009, 2003 et 1809 à flot nous avons les mains pleines.

Juin a vu deux méthodes de correction vraiment innovantes: un correctif pour un bogue Windows fourni en tant que mise à jour d'Office Click-to-Run et un correctif pour un bogue Windows différent fourni via le Microsoft Store.

Si vous ne pouvez pas arranger les choses normalement, je suppose qu'il y a toujours la porte arrière.

Les deux bugs de l'imprimante

Toutes les mises à jour cumulatives de Win10 en juin ont cassé certaines imprimantes, parfois. Les dégâts sont tombés en deux tas:

  • Les imprimantes connectées par USB doivent être mises sous tension avant de démarrer Windows conformément à l'article 4566779 de la base de connaissances: «Si vous connectez une imprimante USB à Windows 10 version 1903 ou ultérieure, puis fermez Windows et déconnectez ou éteignez l'imprimante, lorsque vous démarrez Windows à nouveau le port d'imprimante USB ne sera pas disponible dans la liste des ports d'imprimante. Windows ne pourra effectuer aucune tâche nécessitant ce port…. Nous travaillons pour résoudre le problème dans une future version du système d'exploitation. »
  • Les imprimantes en réseau avec des pilotes basés sur PCL 5 ou des versions antérieures de PCL 6 (les normes d'impression PostScript) peuvent soudainement se figer, ou tout simplement ne pas fonctionner du tout selon la page Windows Release Information Status: «Le spouleur d'impression peut se tromper ou se fermer de façon inattendue lors d'une tentative d'impression et aucune sortie ne proviendra de l'imprimante affectée. Vous pouvez également rencontrer des problèmes avec les applications à partir desquelles vous essayez d'imprimer. Vous pouvez recevoir une erreur de l'application ou l'application peut se fermer de façon inattendue. Remarque Ce problème peut également affecter les imprimantes logicielles, par exemple l'impression au format PDF. »

Microsoft a corrigé le deuxième ensemble de bogues avec un correctif hors bande à téléchargement manuel uniquement, appelé KB 4567512. Si vous avez installé l'une des mises à jour cumulatives de ce mois et que vos imprimantes en réseau se sont soudainement arrêtées, vous devez le savoir (par osmose? ) que le problème réside dans la mise à jour, et soit annulez la mise à jour, mettez à niveau votre pilote d'impression vers une version prenant en charge une version plus récente de PCL 6, soit téléchargez et installez manuellement ce correctif.

Le drive-by d'Outlook

Bien que la documentation officielle ne mentionne le conflit que de manière indirecte, les mises à jour cumulatives de juin de Windows étaient apparemment responsables des versions 2 et 9 juin de Microsoft 365 (nee Office 365). refusant d'ouvrir.

Après la mise à jour vers la version 2005 Build 12827.20268 ou supérieure et le démarrage d'Outlook, vous pouvez voir l'invite d'erreur suivante: «Quelque chose ne va pas avec l'un de vos fichiers de données et Outlook doit se fermer.» L'équipe Outlook étudie ce problème avec l'équipe Windows. Nous ne savons pas encore si le correctif principal proviendra d'Outlook ou de Windows. Lorsque nous aurons plus d'informations sur les détails du correctif, nous les ajouterons ici.

Microsoft a corrigé le bogue dans Windows en publiant un mise à jour vers Office (er, Microsoft) 365, le 25 juin:

Ce problème est résolu dans la version du canal mensuel 2005 Build 12827.20470 et versions ultérieures. Pour installer la version fixe à partir d'Outlook, sélectionnez Fichier, Compte Office, Options de mise à jour, Mettre à jour maintenant.

Ce n'est pas le seul correctif de bogue Windows nouveau ce mois-ci.

Le dard de fin de mois du Microsoft Store

Le 30 juin, Microsoft a publié des détails sur deux vulnérabilités appelées CVE-2020-1425 et CVE-2020-1457. Les deux sont des failles de sécurité d'exécution de code à distance (traduction: très mauvais), mais ils n'ont pas encore été exploités (traduction: ce ne sont pas des jours zéro).

L'initiative Zero Day de Trend Micro vient de publier des détails – qui manquent cruellement dans les descriptions de Microsoft – pour les deux CVE-2020-1425 et CVE-2020-1457:

«La faille spécifique existe dans l'analyse des fichiers HEIC. Le problème résulte du manque de validation appropriée des données fournies par l'utilisateur, ce qui peut entraîner une lecture après la fin d'une structure de données allouée. Un attaquant peut exploiter cela en conjonction avec d'autres vulnérabilités pour exécuter du code dans le contexte du processus actuel. »

HEIC est une routine de compression vidéo développée par le groupe MPEG, initialement rendue populaire sur iOS et macOS.

Voici ce qui rend fou le correctif. Microsoft le distribue via le Microsoft Store – pas via Windows Update, pas via le catalogue Microsoft Update.

mises à jour heicBarb Bowman

Mises à jour HEIC.

Toutes les machines qui bloquent l'accès au magasin, pour quelque raison que ce soit, n'obtiendront pas le correctif. Paul Rathbone, posté sur la liste de diffusion patchmanagement.org, propose un certain nombre d'observations pertinentes:

«Bibliothèque de codecs Microsoft Windows» – est-ce un composant intégré à Windows10 / 2019 ou quelque chose qui aurait été installé dans le cadre d'une application du Microsoft Store en premier lieu? Je suppose qu'il est intégré à Windows car Server Core est également impacté (pourquoi Server Core aurait-il besoin de codecs ????? Je pensais que c'était une version non GUI réduite pour réduire la surface qui pourrait être attaquée et ainsi réduire les exigences de correctifs !)

"Si je gère les correctifs derrière un serveur WSUS / SCCM et bloque l'accès Internet sortant de mes serveurs, afin qu'ils ne puissent pas atteindre le MS Store, dois-je corriger ces serveurs et si oui, comment? Les correctifs seront-ils inclus dans les mises à jour cumulatives du mois prochain? Les correctifs seront-ils publiés dans le catalogue de mise à jour?

«Est-ce un signe de choses à venir – plusieurs sources de correctifs de Microsoft qui doivent toutes être gérées – comment puis-je savoir qu'une machine est corrigée à jour sans que Vuln scanne tout chaque mois? Suis-je censé autoriser l'accès des serveurs au MS Store? Si l'accès au MS Store a été bloqué par la stratégie de groupe, comment puis-je corriger? Dois-je patcher?

«Même si ma machine peut atteindre le magasin et s'est mise à jour elle-même, comment puis-je vérifier / surveiller cela sur tous mes clients / serveurs? Je ne trouve aucun détail sur les fichiers concernés, les numéros de version, etc. "

Donc en juin, nous avons eu:

  • Un patch traditionnellement bâclé avec un correctif Out of Band à téléchargement manuel uniquement;
  • Un correctif Windows bâclé qui a supprimé Outlook Click-to-Run, corrigé par un correctif pour Outlook;
  • Et quelques correctifs distribués via le Windows Store.

C’est tout une tentative pour corriger la diversité, non?

Toujours pas de correctif pour le bug de profil temporaire

Je parle de ce bug depuis février. Microsoft n'a toujours pas confirmé le problème ni donné d'indices sur sa source ou son correctif. Comme je l'ai dit en avril:

«Dans certaines circonstances, non encore diagnostiquées, le programme d'installation de la mise à jour cumulative Win10 rencontre une« condition de concurrence critique »au redémarrage, l'utilisateur revenant dans un profil temporaire. Cela ressemble à beaucoup de mots à la mode, et c'est le cas, mais le résultat net est que l'utilisateur exécute la mise à jour, redémarre et revient sur un bureau propre, sans leurs personnalisations de bureau, tandis que les fichiers dans leurs dossiers habituels (tels que Documents) a disparu.

"C'est déconcertant, même si vous êtes assez avertis pour réaliser que vous avez été poussé dans un profil temporaire. Les personnalisations du bureau sont toujours là, tout comme les fichiers, mais elles se comportent comme si elles appartenaient à un autre utilisateur. »

Je vois toujours des plaintes concernant le bogue de profil temporaire dans chaque version récente de Windows, y compris Windows 10 version 2004.

Win10 version 2004

Microsoft s'amuse beaucoup avec le déploiement de la version 2004 de Win10, qui en est encore à ses balbutiements. D'un bogue mangeur de données dans un type d'espaces de stockage bizarre spécifique à une hache tout juste dévoilée des paramètres de report avancés, à une liste de bogues et de pièges (par exemple, des avertissements de sécurité erronés répétés comme documenté par Mayank Parmar dans Windows Latest)) , Win10 version 2004 n'est clairement pas prêt pour tous, sauf pour les testeurs Windows les plus masochistes.

Ça s'améliore. Plus tôt cette semaine, Microsoft a finalement supprimé les blocs qui empêchaient les appareils Surface de recevoir la mise à niveau de Win10 version 2004. Imaginer. Microsoft dit maintenant que sa dernière version de Windows est enfin en mesure de fonctionner sur son dernier matériel.

LSASS et le reste

Microsoft a reconnu un bogue dans les mises à jour cumulatives Win10 de mai (et juin):

«Le fichier du service de sous-système de l'autorité de sécurité locale (lsass.exe) peut échouer sur certains appareils avec le message d'erreur,« Un processus système critique, C: WINDOWS system32 lsass.exe, a échoué avec le code d'état c0000008. La machine doit maintenant être redémarrée. "Nous travaillons sur une résolution et nous estimons qu'une solution sera disponible en juillet."

Il existe d'autres bogues divers et divers. Et, oui, votre machine Windows 7 recevra une copie poussée du nouveau navigateur Edge basé sur Chrome, que vous ayez payé pour les mises à jour ou non.

@PKCano a une mise à jour du guide AKB2000016 pour les paramètres de mise à jour de Windows pour Windows 10 qui couvre les dernières informations sur les paramètres avancés de Windows Update.

Patch Lady Susan Bradley a publié deux nouvelles enquêtes de satisfaction, l'une pour les correctifs pour les consommateurs et l'autre pour les correctifs pour les entreprises. N'hésitez pas à participer à l'un ou aux deux, selon vos prédilections et votre station dans la vie.

Voyez-vous d'autres problèmes? Frappez-nous sur AskWoody.com.

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *