C’est un fait rarissime dans l’histoire des Patch Tuesday de Microsoft. La firme de Redmond a en effet décidé de retarder la livraison mensuelle de correctifs de sécurité, traditionnellement poussée le second mardi de chaque mois. Microsoft a décidé de toiletter cette institution avec l’apparition dès ce mois-ci des Updates Tuesday. L’éditeur bascule d’un modèle de correctifs individuels vers un modèle de vagues de mise à jour. Il met surtout en place une mise à jour de sécurité séparée pour Internet Explorer et Office.
Microsoft explique dans un message sur son blog que « notre priorité absolue est de fournir la meilleure expérience possible aux clients pour maintenir et protéger leurs systèmes. Ce mois-ci, nous avons découvert un problème de dernière minute pouvant impacter certains clients et n’a pas été résolu à temps pour livrer les mises à jour aujourd’hui ». Et d’ajouter : « Après avoir examiné toutes les options, nous avons pris la décision de retarder les mises à jour de ce mois. Nous nous excusons pour la gêne occasionnée par ce changement de programme. »
Face à ce « problème de dernière minute », les experts en sécurité sont partagés. La première raison qui vient à l’esprit est la découverte récente d’une faille Zero Day du protocole SMB par le chercheur Laurent Gaffié. Le CERT américain avait lancé une alerte le 2 février dernier en indiquant que « Microsoft Windows contient un bogue de corruption de mémoire dans le traitement du trafic SMB, ce qui peut permettre à un attaquant distant et non authentifié de provoquer un déni de service ou d’exécuter potentiellement du code arbitraire sur un système vulnérable ». La seule parade actuelle est le blocage de ports. Les équipes de Microsoft sont sur le pont pour résoudre le problème. Peut-être que sa résolution prend plus de temps que prévu. La firme aurait pu dans ce cas-là fournir un correctif en dehors du Patch Tuesday.
Une autre hypothèse émise par le chercheur Johannes Ullrich du SANS Internet Storm Center est que la migration vers le nouveau système de mises à jour de sécurité, cité précédemment a pris du retard. « Il est possible que ce processus explique ce retard », indique le spécialiste. Pour une première, Microsoft préfère éviter les bugs synonymes de mauvaise presse et de remontrances de la part des clients. Dans son message, l’éditeur ne donne pas de date pour la disponibilité du Patch Tuesday nouvelle génération.
A lire aussi :
Patch Tuesday : des correctifs a minima pour débuter 2017
Patch Tuesday : Microsoft élimine les bulletins pour une base de données
Un temps pressenti pour constituer le socle d'une suite bureautique AWS, Amazon WorkDocs arrivera en…
Eviden regroupe cinq familles de serveurs sous la marque BullSequana AI. Et affiche le supercalculateur…
Le dernier Magic Quadrant du SSE (Secure Service Edge) dénote des tarifications et des modèles…
Formats de paramètres, méthodes d'apprentissage, mutualisation GPU... Voici quelques-unes des recommandations de l'ANSSI sur l'IA…
À la grogne des partenaires VMware, Broadcom répond par diverses concessions.
iPadOS a une position suffisamment influente pour être soumis au DMA, estime la Commission européenne.