Du retard à l’allumage pour le Patch Tuesday rénové de Microsoft

DSIPolitique de sécuritéProjetsSécurité

Microsoft annonce un retard dans la livraison du Patch Tuesday en raison d’un problème de dernière minute. Aucune date n’est depuis fixée.

C’est un fait rarissime dans l’histoire des Patch Tuesday de Microsoft. La firme de Redmond a en effet décidé de retarder la livraison mensuelle de correctifs de sécurité, traditionnellement poussée le second mardi de chaque mois. Microsoft a décidé de toiletter cette institution avec l’apparition dès ce mois-ci des Updates Tuesday. L’éditeur bascule d’un modèle de correctifs individuels vers un modèle de vagues de mise à jour. Il met surtout en place une mise à jour de sécurité séparée pour Internet Explorer et Office.

Microsoft explique dans un message sur son blog que « notre priorité  absolue est de fournir la meilleure expérience possible aux clients pour maintenir et protéger leurs systèmes. Ce mois-ci, nous avons découvert un problème de dernière minute pouvant impacter certains clients et n’a pas été résolu à temps pour livrer les mises à jour aujourd’hui ». Et d’ajouter : « Après avoir examiné toutes les options, nous avons pris la décision de retarder les mises à jour de ce mois. Nous nous excusons pour la gêne occasionnée par ce changement de programme. »

Faille Zero Day à patcher ou migration difficile vers les updates Tuesday

Face à ce « problème de dernière minute », les experts en sécurité sont partagés. La première raison qui vient à l’esprit est la découverte récente d’une faille Zero Day du protocole SMB par le chercheur Laurent Gaffié. Le CERT américain avait lancé une alerte le 2 février dernier en indiquant que « Microsoft Windows contient un bogue de corruption de mémoire dans le traitement du trafic SMB, ce qui peut permettre à un attaquant distant et non authentifié de provoquer un déni de service ou d’exécuter potentiellement du code arbitraire sur un système vulnérable ». La seule parade actuelle est le blocage de ports. Les équipes de Microsoft sont sur le pont pour résoudre le problème. Peut-être que sa résolution prend plus de temps que prévu. La firme aurait pu dans ce cas-là fournir un correctif en dehors du Patch Tuesday.

Une autre hypothèse émise par le chercheur Johannes Ullrich du SANS Internet Storm Center est que la migration vers le nouveau système de mises à jour de sécurité, cité précédemment a pris du retard. « Il est possible que ce processus explique ce retard », indique le spécialiste. Pour une première, Microsoft préfère éviter les bugs synonymes de mauvaise presse et de remontrances de la part des clients. Dans son message, l’éditeur ne donne pas de date pour la disponibilité du Patch Tuesday  nouvelle génération.

A lire aussi :

Patch Tuesday : des correctifs a minima pour débuter 2017

Patch Tuesday : Microsoft élimine les bulletins pour une base de données

Photo credit: russelljsmith via VisualHunt /  CC BY-NC

Lire la biographie de l´auteur  Masquer la biographie de l´auteur