Les mises à jour du Patch Tuesday de juin se concentrent sur Windows et Office

Jun 25, 2023

Par Greg Lambert, contributeur, Computerworld |

Greg Lambert évalue les risques pour les applications et environnements existants au cours du cycle Patch Tuesday de chaque mois.

Microsoft a publié 73 mises à jour de ses plates-formes Windows, Office et Visual Studio lors du Patch Tuesday, dont beaucoup traitent de vulnérabilités de sécurité fondamentales, mais non urgentes. C’est un répit bienvenu par rapport aux six mois précédents de zéro jour urgent et de divulgations publiques. Dans cet esprit, l'équipe de test de préparation suggère de se concentrer sur les processus d'impression et de sauvegarde/récupération pour s'assurer qu'ils ne sont pas affectés par ce cycle de mise à jour.

Pour la première fois, nous voyons un fournisseur tiers (non Adobe) ajouté à une version du Patch Tuesday, avec trois mises à jour mineures du plugin pour Visual Studio pour AutoDesk. Attendez-vous à voir davantage de fournisseurs de ce type ajoutés aux mises à jour de Microsoft dans un avenir proche. L'équipe de Readiness a créé une infographie utile qui décrit les risques associés à chacune des mises à jour.

Chaque mois, Microsoft inclut une liste de problèmes connus liés au système d'exploitation et aux plates-formes dans le cycle de mise à jour actuel.

À l'heure actuelle, nous n'avons aucune idée d'un calendrier de mise à jour hors limites ou anticipé de Microsoft pour les problèmes du serveur 20222/VMWare et de l'interface utilisateur tierce. Ces problèmes sont graves, nous attendons donc une réponse de Microsoft prochainement.

Les vulnérabilités et expositions courantes (CVE) suivantes ont été récemment révisées dans le Guide de mise à jour de sécurité Microsoft :

Microsoft a publié ces atténuations liées aux vulnérabilités pour la version de ce mois-ci :

Chaque mois, l'équipe de Readiness analyse les dernières mises à jour du Patch Tuesday pour développer des conseils de test détaillés et exploitables. Ces conseils sont basés sur l'évaluation d'un large portefeuille d'applications et sur une analyse détaillée des correctifs Microsoft et de leur impact potentiel sur les plates-formes Windows et les installations d'applications.

Compte tenu du grand nombre de changements au niveau du système inclus dans ce cycle, les scénarios de test sont divisés en profils standard et à haut risque.

Tout comme les principaux changements de sécurité liés à la façon dont les requêtes SQL sont gérées sur les systèmes de bureau, Microsoft a effectué une mise à jour fondamentale de la façon dont certaines API de rendu sont gérées avec un nouvel ensemble de restrictions de sécurité. Il s’agit d’une exigence clé pour séparer les requêtes du mode utilisateur et du pilote d’imprimante du noyau. Il ne s’agit pas de nouvelles API ou de nouvelles fonctionnalités, mais d’un renforcement des routines de rappel des API existantes. Il s’agit d’un changement important qui nécessitera un programme complet de tests d’imprimantes, comprenant :

Les modifications suivantes incluses dans la mise à jour de ce mois-ci ne sont pas considérées comme présentant un risque élevé de résultats inattendus et n'incluent pas de modifications fonctionnelles :

Microsoft interdit désormais les options BCD d’évitement de mémoire faible et de troncature de mémoire lorsque Secureboot est activé. De plus, Microsoft bloque les chargeurs de démarrage qui n'ont pas été mis à jour avec la mise à jour de mai 2023.

Remarque : vos options de récupération seront sévèrement limitées à moins que cette mise à jour vitale de mai 2023 ne soit également appliquée à vos images de récupération. Pour cette modification spécifique du processus de démarrage, l’équipe Readiness recommande le régime de test suivant.

Mettez à jour votre support de récupération dès que votre programme de tests est terminé.

Tous ces scénarios de tests (à la fois standards et à haut risque) nécessiteront des tests importants au niveau de l'application avant le déploiement général. Compte tenu de la nature des modifications incluses dans les correctifs de ce mois-ci, l'équipe de préparation recommande les tests suivants avant le déploiement :

Les tests automatisés seront utiles dans ces scénarios (en particulier une plate-forme de test qui propose un « delta » ou une comparaison entre les versions. Cependant, pour les applications métier, il est absolument essentiel de demander au propriétaire de l'application (exécutant l'UAT) de tester et d'approuver les résultats. .

Mise à jour du cycle de vie Windows

Cette section contiendra des modifications importantes concernant la maintenance (et la plupart des mises à jour de sécurité) des plates-formes de bureau et de serveur Windows.