6 jours zéro en font un Patch Tuesday 'Patch Now'

6 jours zéro en font un Patch Tuesday 'Patch Now' 
            Microsoft lanzó 50 actualizaciones esta semana para abordar las vulnerabilidades en los ecosistemas de Windows y Office.  La buena noticia es que no hay actualizaciones de Adobe o Exchange Server este mes.  La mala noticia es que hay correcciones para seis exploits de día cero, incluida una actualización crítica del Componente principal de representación web (MSHTML) para Windows.  Hemos agregado las actualizaciones de Windows de este mes a nuestro programa "Parchear ahora", mientras que las actualizaciones de Microsoft Office y la Plataforma de desarrollo pueden implementarse bajo sus regímenes de lanzamiento estándar.  Las actualizaciones también incluyen cambios en Microsoft Hyper-V, bibliotecas criptográficas y Windows DCOM, todos los cuales requieren pruebas antes de la implementación.
Vous pouvez trouver ces informations résumées dans notre infographie.

Cas de test clés

Aucun changement à haut risque n’a été signalé sur la plate-forme Windows ce mois-ci. Pour ce cycle de correctifs, nous avons divisé notre guide de test en deux sections : Les modifications apportées aux composants Microsoft OLE et DCOM sont les plus difficiles techniquement et nécessitent le plus d'expertise métier pour le débogage et le déploiement. Les services DCOM ne sont pas faciles à créer et peuvent être difficiles à maintenir. En conséquence, elles ne constituent pas le premier choix de la plupart des entreprises pour se développer en interne. S'il existe un serveur (ou un service) DCOM au sein de votre groupe informatique, cela signifie qu'il doit être là, et certaines parties du cœur de métier en dépendront. Pour gérer les risques de cette mise à jour de juin, je vous recommande de préparer votre liste d'applications avec des composants DCOM et de préparer deux versions (pré-mise à jour et post-mise à jour) pour une comparaison côte à côte. Et suffisamment de temps pour tester et mettre à jour votre base de code si nécessaire.

Problèmes connus

Chaque mois, Microsoft inclut une liste des problèmes connus de système d'exploitation et de plate-forme inclus dans ce cycle de mise à jour. Voici quelques problèmes clés avec les dernières versions de Microsoft, notamment : Plusieurs rapports indiquent que les systèmes ESU ne parviennent pas à effectuer les mises à jour Windows du mois dernier. Si vous utilisez un système plus ancien, vous devrez acheter une clé ESU. Il faut surtout qu’il soit activé (pour certains il manque une étape clé). Vous pouvez en savoir plus sur la façon d’activer votre clé de mise à niveau ESU en ligne. Vous pouvez également trouver le résumé de Microsoft des problèmes connus pour cette version sur une seule page.

Révisions importantes

A ce jour, pour ce cycle de juin, il y a eu deux mises à jour majeures par rapport aux mises à jour précédentes : En guise de note supplémentaire concernant la mise à jour de Windows Defender, étant donné tout ce qui se passe ce mois-ci (six exploits publics !), je vous recommande fortement de vous assurer que Defender est à jour. Microsoft a publié une documentation supplémentaire sur la façon de vérifier et d'appliquer la conformité de Windows Defender. Pourquoi ne pas le faire maintenant? C'est gratuit et Defender est plutôt bon.

Atténuations et solutions

Jusqu'à présent, il ne semble pas que Microsoft ait publié des mesures d'atténuation ou des solutions de contournement pour cette version de juin. Chaque mois, nous divisons le cycle de mise à jour en familles de produits (telles que définies par Microsoft) avec les regroupements de base suivants :

Navigateurs

Il semble que nous soyons revenus à notre rythme habituel de mises à jour minimales du navigateur de Microsoft, car nous n'avons qu'une seule mise à jour du projet Microsoft Chromium (CVE-2021-33741). Microsoft a jugé cette mise à jour du navigateur importante car elle ne peut provoquer qu'un problème de sécurité à privilèges élevés et nécessite une interaction de l'utilisateur. Plutôt que d'utiliser le portail de sécurité Microsoft pour en savoir plus sur ces mises à jour de navigateur, j'ai trouvé que les pages Notes de publication de Microsoft Chromium étaient une meilleure source pour la documentation des correctifs. Compte tenu de la nature de l'installation de Chrome sur les bureaux Windows, nous nous attendrions à très peu d'impact de la mise à jour. Ajoutez cette mise à jour du navigateur à votre programme de publication standard.

Microsoft Windows 10

Ce mois-ci, Microsoft a publié 27 mises à jour de l'écosystème Windows, dont trois ont été jugées critiques et les autres importantes. Il s’agit d’un nombre relativement faible par rapport aux mois précédents. Cependant (et c'est énorme), je suis presque sûr que nous n'avons jamais vu autant de vulnérabilités exploitées ou divulguées publiquement. Ce mois-ci, six sont confirmés comme étant exploités, notamment : CVE-2021-31955, CVE-2021-31956, CVE-2021-33739, CVE-2021-33742, CVE-2021-31199 et CVE-2021-31201. Pour compléter les chiffres de ce mois-ci, deux problèmes ont également été divulgués publiquement, notamment CVE-2021-33739 et CVE-2021-31968. C'est beaucoup, surtout pour un mois. Le correctif qui me préoccupe le plus est CVE-2021-33742. Ceci est considéré comme critique car il peut conduire à l’exécution de code arbitraire sur le système cible et affecte un élément principal de Windows (MSHTML). Ce composant de rendu Web était une cible fréquente (et privilégiée) des attaquants après la sortie d'Internet Explorer (IE). Presque tous les (très nombreux) problèmes de sécurité et correctifs correspondants affectant IE étaient liés à la manière dont le composant MSHTML interagissait avec les sous-systèmes Windows (Win32) ou, pire encore, avec l'objet script MSHTML de Microsoft. Les attaques contre ce composant peuvent conduire à un accès approfondi aux systèmes compromis et sont difficiles à déboguer. Même si tous les exploits n'étaient pas révélés ou confirmés publiquement ce mois-ci, j'ajouterais quand même cette mise à jour de Windows au calendrier de publication de "Patch Now". Microsoft Office Comme le mois dernier, Microsoft a publié 11 mises à jour jugées importantes et une critique pour ce cycle de publication. Encore une fois, nous considérons les mises à jour de Microsoft SharePoint comme l'objectif principal, avec le correctif critique CVE-2021-31963. Par rapport à certaines des nouvelles très inquiétantes de ce mois-ci concernant les mises à jour Windows, ces correctifs Office sont relativement complexes à exploiter et n'exposent pas les vecteurs hautement vulnérables, tels que les volets de prévisualisation d'Outlook, aux attaques. Un certain nombre de mises à jour d'informations pour ces correctifs ont été publiées ces derniers jours et il semble qu'il puisse y avoir un problème avec les mises à jour du package SharePoint Server ; Microsoft a publié le bogue suivant : "DataFormWebPart peut planter lors de l'accès à une URL externe et génère des balises d'événement '8scdc' dans les journaux SharePoint Unified Logging System (ULS)." Vous pouvez en savoir plus sur ce problème avec la base de connaissances 5004210. Prévoyez de redémarrer vos serveurs SharePoint et d'ajouter ces mises à jour Office à votre calendrier de publication standard.

Microsoft Exchange

Il n'y a pas de mise à jour Microsoft Exchange pour ce cycle. Il s'agit d'un soulagement bienvenu par rapport aux derniers mois, lorsque les mises à jour critiques nécessitaient des correctifs urgents ayant des implications à l'échelle de l'entreprise.

Plateformes de développement Microsoft

C'est un mois facile pour les mises à jour de la plate-forme de développement Microsoft (.NET et Visual Studio) avec seulement deux mises à jour jugées importantes : Ajoutez la mise à jour Visual Studio à votre lanceur de développeur standard. J'ajouterais la mise à jour ASP.NET à votre calendrier de publication prioritaire en raison de l'exposition accrue à Internet. 
<p>Copyright © 2021 IDG Communications, Inc.</p>

Vous pourriez également être intéressé...