Français 
English
Deutsch
Español
Italiano
Português
日本語
한국어
Русский
Quatre zéro
Par Greg Lambert, contributeur, Computerworld |
Greg Lambert évalue les risques pour les applications et environnements existants au cours du cycle Patch Tuesday de chaque mois.
Avec la mise à jour Patch Tuesday de ce mois-ci, Microsoft a corrigé 130 vulnérabilités de sécurité, publié deux avis et inclus quatre révisions majeures du CVE. Nous avons également quatre jours zéro à gérer pour Windows (CVE-2023-32046, CVE-2023-32049, CVE-2023-36874 et CVE-2023-36884), plaçant la plate-forme Windows dans un calendrier de « mise à jour immédiate ».
Il devrait être plus facile de se concentrer sur les tests de Microsoft Office et Windows ce mois-ci, car nous n'avons aucune mise à jour d'Adobe, d'Exchange ou de navigateur. Assurez-vous d'examiner attentivement le Storm 0978 de Microsoft, car il fournit des conseils spécifiques et exploitables sur la gestion de la grave vulnérabilité HTML dans Microsoft Office (CVE-2022-38023).
L'équipe Readiness a conçu cette infographie utile pour décrire les risques associés à chacune des mises à jour.
Microsoft répertorie chaque mois les problèmes connus liés au système d'exploitation et aux plates-formes incluses dans le dernier cycle de mise à jour.
Microsoft a publié deux révisions majeures :
Microsoft a publié les atténuations suivantes liées aux vulnérabilités pour cette version :
Chaque mois, l'équipe Readiness fournit des conseils de test détaillés et exploitables pour les dernières mises à jour. Ces conseils sont basés sur l'évaluation d'un large portefeuille d'applications et sur une analyse détaillée des correctifs Microsoft et de leur impact potentiel sur les plates-formes Windows et les installations d'applications.
Si vous avez utilisé des serveurs Web ou d'applications internes, cela vaudra la peine de tester le protocole HTTP3, notamment en utilisant Microsoft Edge. En plus de cette mise à jour de gestion du protocole, Microsoft a apporté un nombre important de modifications et de mises à jour à la pile réseau nécessitant les tests suivants :
Compte tenu du grand nombre de changements au niveau du système ce mois-ci, j'ai divisé les scénarios de test en profils standard et à haut risque.
Étant donné que cette mise à jour inclut des correctifs pour quatre (certains disent cinq) failles zero-day, nous avons deux principaux moteurs de changement ce mois-ci : des modifications de fonctionnalités clés dans les systèmes centraux et un besoin urgent de fournir des mises à jour. Microsoft a documenté que deux domaines principaux ont été mis à jour avec des changements de fonctionnalités importants, notamment l'impression et la pile réseau locale (en mettant l'accent sur le routage). Par conséquent, les tests suivants doivent être inclus avant le déploiement général :
Les changements suivants ont été inclus ce mois-ci et n'ont pas été signalés comme étant à risque élevé (avec des résultats inattendus) et n'incluent pas de changements fonctionnels.
Tous ces scénarios de tests nécessiteront des tests importants au niveau des applications avant un déploiement général. Compte tenu des modifications incluses dans les correctifs de ce mois-ci, l'équipe de préparation recommande que les tests suivants soient effectués avant le déploiement général :
Ce mois-ci peut être un peu difficile pour tester votre automatisation/scripts Microsoft Office et votre intégration avec des applications tierces en raison du changement dans OLE et de la façon dont Microsoft a traité CVE-2023-36884. Nous recommandons un test complet des macros Excel (si elles utilisent OLE/COM/DCOM) et de tous les scripts VBS incluant Word.
Voici les changements importants apportés à la maintenance (et à la plupart des mises à jour de sécurité) des plates-formes de bureau et de serveur Windows.
Chaque mois, nous décomposons le cycle de mise à jour en familles de produits (tels que définis par Microsoft) avec les regroupements de base suivants :
Difficile à croire, mais il n’y a aucune mise à jour du navigateur dans ce cycle de mise à jour. Et nous ne prévoyons rien non plus pour une version à mi-cycle. Il s’agit d’un grand changement et d’une énorme amélioration par rapport à l’époque des mises à jour importantes, complexes et urgentes du navigateur. Allez Microsoft !
Microsoft a publié huit mises à jour critiques et 95 correctifs jugés importants pour la plate-forme Windows, couvrant ces composants clés :