Accueil Cybersécurité Patch Tuesday de mai – Réévaluez vos critères de définition des priorités

Patch Tuesday de mai – Réévaluez vos critères de définition des priorités

Comme prévu, Microsoft publie un certain nombre de mises à jour. Adobe publie aussi des mises à jour pour Adobe Acrobat et Reader. L’analyse de Todd Schell, Senior Product Manager Security chez Ivanti.

Commençons par Microsoft. La publication résout un total de 111 CVE (vulnérabilités et failles courantes) uniques, dont 16 sont de type “vritique”. On ne compte aucune vulnérabilité à divulgation publique ou ayant été exploitée. En plus des mises à jour habituelles pour le système d’exploitation, le navigateur, Office et SharePoint, Microsoft publie des mises à jour pour .NET Framework, .NET Core, Visual Studio, Power BI, Windows Defender et Microsoft Dynamics.

Tenez-vous compte des bonnes mesures de risque pour définir correctement vos priorités ?

La plupart des vulnérabilités de type “critique” sont résolues par les mises à jour d’OS et de navigateur, mais il existe 4 vulnérabilités critiques dans SharePoint et une dans Visual Studio. Si l’on examine l’évaluation d’exploitabilité, un certain nombre de CVE de type “important” sont inquiétantes. 10 des 111 CVE du mois portent un score d’exploitation de 1, ce qui signifie que l’exploitation est plus probable pour ces vulnérabilités. Ce qui est intéressant, et que l’on oublie souvent, c’est que 7 des 10 CVE dont le risque d’exploitation est le plus élevé sont seulement classées “important”. Habituellement, on considère les vulnérabilités de type “critique” comme les plus inquiétantes, mais un grand nombre des vulnérabilités finalement exploitées sont en fait de type “important”. Si vous tenez compte, pour définir vos priorités, uniquement de la gravité définie par le fournisseur ou même des scores CVSS dépassant un certain niveau, nous vous conseillons de revoir votre système. Tenez compte d’autres mesures de risque, comme les classements “divulgation publique”, “exploité” (évidemment) et “évaluation d’exploitabilité” (propre à Microsoft) pour améliorer le processus de définition de vos priorités.

Pour ceux d’entre vous qui disposent du support étendu Microsoft ESU pour Windows 7, Server 2008 ou Server 2008 R2, la mise à jour du mois inclut un prérequis. Vous devez déployer les nouvelles mises à jour de pile de maintenance (SSU) avant de déployer les mises à jour du mois.

Les mises à jour Adobe pour Acrobat et Reader résolvent 24 CVE uniques, dont 12 de type “critique”. On ne compte aucune vulnérabilité à divulgation publique ou ayant été exploitée non plus pour les produits Adobe. La mise à jour Adobe Flash Player du mois n’est pas liée à la sécurité.

Priorités ce mois-ci :

  • OS Windows
  • Navigateurs
  • Office, et surtout SharePoint
  • Adobe Acrobat et Reader