Ce mois-ci, Microsoft résout 99 CVE. On a battu le record du mois d’août 2019, où 93 CVE ont été résolues. La bonne nouvelle est qu’il est possible de résoudre ces CVE simplement en appliquant quelques mises à jour Microsoft. Todd Schell, Senior Product Manager, Security chez Ivanti, fait le point pour les lecteurs de Solutions Numériques.
La plupart de ces CVE concernent l’OS. En moyenne, les mises à jour de l’OS résolvent environ 50 CVE. L’exception est Windows 10, qui, avec IE et Edge, résout 88 CVE.
Ce qui est important, c’est d’identifier parmi ces 99 CVE celles dont la résolution est la plus critique et les produits qu’il faut mettre à jour pour boucher les trous. Comme Microsoft, Adobe et Mozilla publient également des mises à jour de sécurité ce mois-ci.
Parmi elles figure une vulnérabilité « zero-day » (CVE-2020-0674), identifiée pour la première fois le mois dernier dans un bulletin d’avertissement de sécurité (ADV200001). Cinq des CVE (y compris la « zero-day ») ont été divulguées publiquement, ce qui signifie qu’assez d’informations ont été communiquées au public pour donner aux pirates le temps de développer un code d’exploitation pour ces vulnérabilités. En mettant à jour le système d’exploitation ou les navigateurs à l’aide de quelques correctifs par système, vous éliminerez la plupart des menaces du mois.
Ainsi, la très bonne nouvelle, c’est que, ce mois-ci, 99 CVE ne représentent finalement pas trop de travail pour les administrateurs. Les mises à jour normales s’appliquent toujours. Les mises à jour de l’OS, des navigateurs et d’Office résolvent la plupart des vulnérabilités qui concernent Microsoft. Les administrateurs SQL et Exchange auront un peu de travail en plus ce mois-ci, car ces deux produits sont concernés par les mises à jour publiées.
Février 2020 marque la première publication des mises à jour de sécurité pour la nouvelle version du navigateur Edge Chromium ! Oui, il existe désormais deux versions du navigateur Edge : la version HTML intégrée à l’OS Windows 10 et la nouvelle version Chromium, que vous pouvez installer si vous le souhaitez.
Les offres de support approfondi
L’autre différence (peut-on dire anomalie ?) notable ce mois-ci, c’est la mise en place des offres de support approfondi. Les mises à jour ESU (mises à jour de sécurité étendue) Windows 7, Server 2008 et 2008 R2 sont toujours documentées publiquement et figurent dans le catalogue WSUS standard. Cela va sans doute provoquer une certaine confusion. Cela veut-il dire que tout le monde y a accès ? Non. Vous devez obtenir auprès de Microsoft une mise à jour de sécurité étendue pour répondre aux critères spécifiques donnant droit aux options gratuites présentées par Microsoft sur la page « FAQ sur les mises à jour de sécurité étendues de Windows 7 ». Notez également qu’il existe un correctif de préparation à la licence ESU, qui indique ceci : « Cette mise à jour vous fournit tous les changements de licence nécessaires pour permettre l’installation de la clé d’extension ESU MAK, l’une des étapes de préparation à l’installation des mises à jour de sécurité étendues (ESU). (Pour connaître toutes les étapes requises, reportez-vous à l’article KB4522133). Un redémarrage est nécessaire après l’installation de cette mise à jour. »
Avec ce correctif supplémentaire de préparation à la licence, vous devez vérifier 4 points sur vos cibles ESU pour garantir que vous pourrez leur appliquer les correctifs sans problème. Vous devez garantir que les mises à jour de prise en charge de SHA-2 ont été appliquées, que les prérequis de mise à jour de pile de maintenance (SSU) sont satisfaits, que vous avez installé ce nouveau correctif de préparation à la licence en mode Push sur vos systèmes et que votre clé de licence ESU est en place.
Les applications tierces
Adobe résout 17 CVE pour Adobe Reader et Acrobat (APSB20-05), et une CVE pour Flash Player (APSB20-06). Il s’agit de la première mise à jour de sécurité Flash Player pour 2020 et c’est la première depuis septembre 2019. La mise à jour Adobe Acrobat Reader inclut 12 CVE de type Critique. La CVE Flash Player est également marquée Critique. Nous vous recommandons de faire de ces deux mises à jour l’une de vos priorités du mois. La publication Microsoft pour Flash Player couvre les éditions les plus récentes de Windows. Cette mise à jour Flash Player est prise en charge uniquement sous Windows 8.1 et Server 2012, ou supérieur.
Mozilla publie des mises à jour pour Firefox, Firefox ESR et Thunderbird, qui résolvent respectivement 6, 5 et 7 CVE. Les deux mises à jour Firefox sont marquées Gravité élevée et la mise à jour Thunderbird est de type Gravité modérée, d’après le classement Mozilla. Ainsi, même si ces mises à jour ne sont pas urgentes, vous devez les inclure dans votre maintenance mensuelle normale.