Catégories
Actualités Start-Up

Une grosse mise à jour Windows pour le patch mardi de septembre

Microsoft a publié 129 mises à jour de son écosystème Windows, mais la bonne nouvelle ce mois-ci est que nous ne répondons pas aux vulnérabilités zero-day ou signalées publiquement. Microsoft semble prendre au sérieux la suppression d'Adobe Flash Player (une bonne chose) et nous constatons une mise à jour très large des postes de travail et des serveurs Windows. Fait inhabituel, les navigateurs de Microsoft ne font pas l’objet d’une grande attention ce mois-ci, et Microsoft Office (à l’exclusion de SharePoint) et la plate-forme de développement n’ont reçu que quelques correctifs de profil plus bas.

Nous avons inclus une infographie utile, qui ce mois-ci semble un peu déséquilibrée, car toute l'attention devrait être portée sur les composants Windows.

Scénarios de test clés

Cette section reflète une partie de notre analyse des "points chauds de mise à jour" qui couvre à la fois les plates-formes de bureau et de serveur sur plusieurs versions de Windows. Chaque portefeuille d'applications est unique et représente un profil de test distinct. Pour ce cycle de mise à jour de septembre, nous avons identifié les domaines suivants où des tests supplémentaires peuvent être justifiés pour votre environnement.

  • CVE-2020-0997, CVE-2020-1129, CVE-2020-1285: nous vous suggérons de tester les fichiers WMA pour cette mise à jour.
  • CVE-2020-1532: veuillez vous assurer que le processus de réparation de l'application (lié à l'installation) fonctionne comme prévu en raison des mises à jour de Windows Installer et du Windows Store.
  • CVE-2020-1596: veuillez vous assurer que vos connexions TLS SChannel fonctionnent comme prévu, en particulier sur les scénarios de connexion à distance (VPN).

Compte tenu de la mise à jour de Windows Defender (CVE-2020-0951), nous vous suggérons de vous assurer que votre solution antivirus (non Microsoft) fonctionne toujours comme prévu. Si je devais suggérer un scénario de test pour ce mois-ci, il inclurait une application (téléchargée à partir du Windows Store) qui essaie d'imprimer directement à partir d'un périphérique graphique externe (appareil photo) via une connexion à distance / VPN.

Nous avons essayé cela – et nous sommes toujours là.

Problèmes connus

Chaque mois, Microsoft inclut une liste des problèmes connus liés au système d'exploitation et aux plates-formes inclus dans ce cycle de mise à jour. J'ai fait référence à quelques problèmes clés liés aux dernières versions de Microsoft, notamment:

Vous pouvez également trouver le résumé des problèmes connus de Microsoft pour cette version sur une seule page.

Révisions majeures

Ce mois-ci, nous avons une seule révision majeure pour des raisons de documentation qui a été publiée en juillet dernier:

Atténuations et solutions de contournement

Pour cette version de septembre, Microsoft a publié un petit nombre de solutions de contournement et de stratégies d'atténuation potentielles qui s'appliquent aux vulnérabilités (CVE) traitées ce mois-ci, notamment:

  • CVE-2020-16873: au lieu d'appliquer des correctifs, essayez l'extrait de code d'atténuation suivant:

classe publique CustomWebView: WebViewRenderer {remplacement protégé Android.Webkit.WebView CreateNativeControl () {var webView = base.CreateNativeControl (); webView.Settings.SetSupportMultipleWindows (true); return webView; }}

  • CVE-2020-1596: l'industrie a pratiquement cessé d'utiliser TLS_DHE. Microsoft conseille aux clients de désactiver TLS_DHE. Plutôt que de patcher, il est peut-être temps d'arrêter d'utiliser cette fonctionnalité.

Chaque mois, nous décomposons le cycle de mise à jour en familles de produits (telles que définies par Microsoft) avec les regroupements de base suivants:

  • Navigateurs (Microsoft IE et Edge);
  • Microsoft Windows (bureau et serveur);
  • Microsoft Office (y compris Web Apps et Exchange);
  • Plateformes de développement Microsoft (ASP.NET Core, .NET Core et Chakra Core)
  • Adobe Flash Player.

Navigateurs

Ce mois-ci, Microsoft a publié sept mises à jour pour ses navigateurs (trois jugées critiques, les quatre autres étant jugées importantes). Ces mises à jour, à leur pire, pourraient conduire à des scénarios d'exécution de code à distance (RCE), mais sont toutes considérées comme relativement difficiles à exploiter dans un environnement d'entreprise bien géré.

Outre les problèmes habituels de nettoyage / d'hygiène de la mémoire d'Internet Explorer (IE) résolus par CVE-2020-0878, je pense que le patch à surveiller ce mois-ci est CVE-2020-1012. Cette mise à jour des navigateurs Microsoft et de la plate-forme Windows 10 peut s'avérer présenter un profil de test délicat en raison des modifications apportées à la bibliothèque principale du navigateur (WinInet.DLL) Des tests supplémentaires peuvent être nécessaires en raison d'autres mises à jour VPN incluses dans la mise à jour du bureau Windows de ce mois. .

Pour les utilisateurs qui ont installé le nouveau Edge basé sur Chromium de Microsoft, la mise à jour CVE-2020-16884 de Browser Helper Object (BHO) peut soulever quelques sourcils car elle fonctionne comme un pont entre les systèmes IE hérités et le nouveau Edge. Les BHO (également appelés objets de piratage de navigateur) ont toujours été un problème en raison de la façon dont ils avaient un accès illimité à l'événement interne et au modèle de mémoire de l'Explorateur. Vous souhaitez réduire votre exposition à ces objets et nous prévoyons que les BHO suivront le chemin des contrôles ActiveX – une mort lente et douloureuse.

Ajoutez ces mises à jour de navigateur à votre calendrier de publication de correctifs standard.

Microsoft Windows

Avec neuf mises à jour critiques – et 68 jugées importantes – ce n'est pas une grosse mise à jour pour septembre, mais plutôt une mise à jour générale. C'est la couverture des zones modifiées ou corrigées qui devrait être au centre de l'attention. Certains des domaines de base qui ont été mis à jour dans cette version de septembre pour Windows comprennent:

  • Windows Installer;
  • Codecs Windows Media (avec un accent sur les bibliothèques d'appareils photo;
  • Active Directory, le système de fichiers et les sauvegardes;
  • Impression et postes de travail distants (VPN) et Windows Store;
  • Et, bien sûr, les sous-systèmes Windows Kernel (Win32ky.sys).

Nous avons mentionné dans les sections précédentes des scénarios de test clés en mettant l'accent sur l'impression, les connexions VPN et le comportement d'auto-réparation de Windows Installer. Il est peut-être temps de faire le point sur vos (potentiellement multiples) options de mise à jour de bureau et de voir comment vous déployez vos applications – elles doivent pouvoir installer, mettre à jour (à plusieurs reprises) et désinstaller, le tout sans déclencher des comportements inattendus de Windows Store, Windows Update ou Microsoft Office modifie votre plateforme.

Facile! Ajoutez cette mise à jour Windows volumineuse et plutôt large à votre calendrier de publication standard.

Microsoft Office

Microsoft a publié sept mises à jour critiques de la plate-forme Microsoft Office pour septembre, toutes liées à des vulnérabilités d'exécution de code à distance dans Microsoft SharePoint Server. Les 20 mises à jour restantes sont jugées importantes et traitent principalement des problèmes de sécurité XSS de SharePoint (à nouveau). Ce mois-ci, nous voyons quelques mises à jour de Microsoft OneDrive (CVE-2020-16851 et CVE-2020-16852) corrigeant les vulnérabilités du programme de mise à jour OneDrive.

Oui, il semble que OneDrive dispose de sa propre technologie et méthodologie de mise à jour, ce qui devrait préoccuper la plupart des administrateurs d'entreprise. Compte tenu de l'orientation de Microsoft avec son processus de mise à jour, j'espère que ce processus de mise à jour autonome et spécifique à l'application sera bientôt retiré. Ajoutez ces mises à jour de Microsoft Office à votre calendrier de publication standard.

Plateformes de développement Microsoft

Le Visual Studio de Microsoft est le focus de ce mois-ci, avec une seule mise à jour critique et quatre autres mises à jour jugées importantes pour l'ensemble d'outils de développement. Outre la mise à jour de l'ensemble d'outils de diagnostic (CVE-2020-1133), les autres mises à jour de ce mois semblent se concentrer sur Visual Studio et non sur les plates-formes sous-jacentes. Ajoutez ces mises à jour à votre cadence de déploiement standard.

Adobe Flash Player

C'est le milieu de la fin pour (Adobe) Flash.

Microsoft a inclus une mise à jour ce mois-ci qui mettra en place l'infrastructure pour s'assurer que Flash n'est pas installé sur une machine qui inclut également Microsoft Edge – au plus tard le 31 décembre 2020 ou janvier 2021. Le groupe Windows a publié un article de blog ce mois-ci sur le thème «Suppression des mises à jour d'Adobe Flash Player». Il indique: «À l'été 2021, toutes les API, la politique de groupe et les interfaces utilisateur qui régissent spécifiquement le comportement d'Adobe Flash Player seront être supprimé de Microsoft Edge (hérité) et d'Internet Explorer 11. "

C'est donc grave maintenant. Ajoutez cette mise à jour Adobe finale (probable) de Microsoft à votre plan de mise à jour régulièrement programmé.

Droits d'auteur © 2020 IDG Communications, Inc.

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *