PGS

PG Software, distributeur historique des solutions ManageEngine en France, depuis 2004

Support

Support, en France, en français, pour vos projets en avant-vente (PoC) ou en après-vente, dans le cadre de la maintenance applicative (AMS)

Logo PG Software
mercredi, 09 septembre 2020 10:59

Le Patch Tuesday de Septembre 2020 corrige 129 vulnérabilités dans les produits Microsoft

Évaluer cet élément
(0 Votes)

 Il va sans dire que le blues du lundi est le pire. Alors, que pensez-vous du "Tuesday blues" ? Bien sûr, c'est encore un autre "Patch Tuesday", ou cette période du mois où les administrateurs Windows en prennent un pour l'équipe.

Ce mois-ci, Microsoft a publié des correctifs pour 129 vulnérabilités, ce qui correspond, à égalité avec le Patch Tuesday de juin 2020, au plus grand nombre de correctifs publiés à ce jour dans le cadre des Patch Tuesday. Parmi ces 129 correctifs, 23 sont classés comme Critiques, 105 comme Importants et un comme Modérés.

La main-d'œuvre actuelle étant un mélange de télétravailleurs et d'employés sur site, la programmation et l'installation de cette nouvelle série de correctifs semblent sans aucun doute être un grand défi pour les administrateurs informatiques.

Ce blog traitera des mises à jour publiées dans le Patch Tuesday de ce mois, ainsi que de quelques bonnes pratiques que nous recommandons pour simplifier la gestion des correctifs à distance.

Qu'est-ce que Patch Tuesday ?

Le Patch Tuesday tombe le deuxième mardi de chaque mois. C'est ce jour-là que Microsoft publie des mises à jour de sécurité et non-sécuritaires pour son système d'exploitation et d'autres applications connexes. Comme Microsoft a maintenu ce processus de publication périodique des mises à jour, les administrateurs informatiques sont bien préparés et ont le temps de se préparer aux nouvelles mises à jour.

Nous avons compilé un guide avec des informations tirées des Patch Tuesdays précédents pour aider les administrateurs informatiques à prendre des décisions éclairées en matière de correctifs. Consultez ce guide !

Pourquoi le Patch Tuesday est-il important ?

Les mises à jour de sécurité et les correctifs les plus importants pour corriger des bugs ou des vulnérabilités critiques sont publiés lors du Patch Tuesday. Habituellement, les vulnérabilités de type "zero-day" sont également corrigées lors du Patch Tuesday, sauf si la vulnérabilité est critique et fortement exploitée, auquel cas une mise à jour de sécurité hors bande est publiée pour corriger cette vulnérabilité particulière.

Que vous réserve le Patch Tuesday de septembre 2020 ?

Voici les produits pour lesquels Microsoft a publié des mises à jour de sécurité.

  • Microsoft Windows

  • Microsoft Edge (EdgeHTML-based)

  • Microsoft Edge (Chromium-based)

  • Microsoft ChakraCore

  • Internet Explorer

  • SQL Server

  • Microsoft JET Database Engine

  • Microsoft Office and Microsoft Office Services et Web Apps

  • Microsoft Dynamics

  • Visual Studio

  • Microsoft Exchange Server

  • SQL Server

  • ASP.NET

  • Microsoft OneDrive

  • Azure DevOps

Vulnérabilités zero-day

Bien que nous soyons à égalité concernant le plus grand Patch Tuesday à ce jour, il n'y a pas de vulnérabilités zero-day ou de vulnérabilités connues non corrigées ce mois-ci. Cependant, il existe un certain nombre de vulnérabilités intéressantes qui peuvent être exploitées à distance.

  • CVE-2020-16875 : Vulnérabilité de corruption de la mémoire de Microsoft Exchange

  • CVE-2020-0922 : Vulnérabilité d'exécution de code à distance de Microsoft COM pour Windows

  • CVE-2020-0908 : Vulnérabilité d'exécution de code à distance du Windows Text Service Module

Mises à jour non sécuritaires

Microsoft a publié des mises à jour cumulées pour Windows 10 qui incluent les mises à jour non sécuritaires KB4571756 et KB4574727.

Mises à jour de sécurité provenant d'autres fournisseurs

Adobe a publié des mises à jour de sécurité pour Adobe Acrobat, Reader et Lightstream, tandis que Google Chrome 85.0.4183.83 a été publié avec 20 correctifs de sécurité.

Les bonnes pratiques pour gérer les correctifs dans le scénario actuel

La pandémie actuelle a en effet redéfini la manière dont les entreprises du monde entier fonctionnent. La plupart des entreprises sont passées au télétravail, tandis que quelques autres fonctionnent avec un mélange d'employés travaillant sur place ou à distance. Ce sont des situations imprévues qui posent divers problèmes aux administrateurs informatiques, notamment en termes de gestion et de sécurisation des terminaux. Voici quelques conseils qui peuvent vous aider à simplifier la mise en place de correctifs à distance dans votre entreprise.

  • Désactivez les mises à jour automatiques, car un seul correctif défectueux pourrait faire tomber tout le système. Les administrateurs informatiques peuvent apprendre aux utilisateurs finaux comment désactiver les mises à jour automatiques sur leurs machines. Patch Manager Plus et Desktop Central disposent également d'un correctif dédié, 105427, qui peut être déployé sur les terminaux pour garantir la désactivation des mises à jour automatiques.

  • Créez un point de restauration, une sauvegarde ou une image qui capture l'état des machines, avant de déployer de grosses mises à jour comme celles du Patch Tuesday.- Établir un calendrier de mise à jour et tenir les utilisateurs finaux informés à ce sujet. Il est recommandé de fixer un délai pour le déploiement des correctifs et le redémarrage des systèmes. Indiquez aux utilisateurs finaux ce qui doit être fait de leur côté, par exemple qu'ils doivent se connecter au VPN pendant trois heures, de 18 à 21 heures.

  • Tester les correctifs sur un groupe de systèmes pilotes avant de les déployer dans l'environnement de production. Ceci permettra de s'assurer que les correctifs n'interfèrent pas avec le fonctionnement d'autres applications.

  • Comme la plupart des utilisateurs travaillent à domicile, il se peut qu'ils ne respectent pas des horaires stricts ; par conséquent, permettez aux utilisateurs finaux de reporter le déploiement et les redémarrages prévus. Ceci leur donnera la liberté d'installer les mises à jour à leur convenance, ne perturbant ainsi pas leur travail. Nos produits de gestion des correctifs sont fournis avec des options de déploiement et de redémarrage définies par l'utilisateur.

  • La plupart des entreprises utilisent un réseau privé virtuel (VPN). Pour éviter que les tâches de correctifs n'absorbent la bande passante de votre VPN, installez d'abord les mises à jour critiques et de sécurité. Il est préférable de ne pas déployer les "feature packs" et les mises à jour cumulées, car ce sont des mises à jour volumineuses qui consomment trop de bande passante.

  • Programmer les mises à jour non sécuritaires, ainsi que les mises à jour de sécurité qui ne sont pas classées comme critiques, à déployer après le Patch Tuesday, par exemple pendant la troisième ou la quatrième semaine du mois. Vous pouvez également choisir de refuser certaines mises à jour si vous estimez qu'elles ne sont pas nécessaires dans votre environnement.

  • Exécutez des rapports de correctifs pour obtenir une vue détaillée de l'état de santé de vos terminaux.

Avec Desktop Central ou Patch Manager Plus, vous pouvez automatiser entièrement le processus de gestion des correctifs, depuis le test des correctifs jusqu'à leur déploiement. Vous pouvez également adapter les tâches de correctifs en fonction de votre situation actuelle. Pour une expérience pratique avec l'un ou l'autre de ces produits, commencez un essai gratuit de 30 jours et gardez des milliers d'applications corrigées et sécurisées.

Vous voulez en savoir plus sur les mises à jour du Patch Tuesday ? Rejoignez nos experts qui vous présenteront les mises à jour du Patch Tuesday et vous offriront une analyse approfondie. Vous pouvez également obtenir des réponses instantanées à vos questions grâce à notre équipe d'experts. Inscrivez-vous à notre webinaire (en anglais) gratuit Patch Tuesday !

Informations supplémentaires

  • ITAM: Endpoint Central
Lu 1291 fois

Vous avez la possibilité de créer un compte lors du téléchargement d'un produit.