Au programme de ce patch tuesday : des mises à jour pour Microsoft, Adobe, Wireshark, Oracle (prévues le 16 avril) et Opera. On compte également beaucoup d’avis de fin de vie, qui provoquent un certain nombre de problèmes de sécurité. Chris Goettl, Director, Product Management, Security chez Ivanti livre ses conseils aux lecteurs de Solutions Numériques.
Vous êtes-vous déjà demandé pourquoi il y avait tant de mises à jour en avril ? Pour ma part, je les apprécie car elles me permettent de citer le vieux dicton qui veut que des pluies d’avril naissent les fleurs de mai. Mais alors, que va-t-il naître en mai des correctifs d’avril ? En attendant, examinons ce qui nous attend pour avril, parce que c’est incroyable !
Il y a des mises à jour pour Microsoft, Adobe, Wireshark, Oracle (prévues le 16 avril) et Opera. On compte également beaucoup d’avis de fin de vie, qui provoquent un certain nombre de problèmes de sécurité dont il est tout à fait pertinent de discuter maintenant, étant donné l’attaque par ransomware Arizona Tea, qui a vraiment paralysé les entreprises.
Microsoft publie ce mois-ci 15 mises à jour pour résoudre 74 CVE uniques. Ces mises à jour concernent l’OS Windows, les navigateurs Internet Explorer et Edge, Office, SharePoint et Exchange. Deux des vulnérabilités (CVE-2019-0803 et CVE-2019-0859) résolues dans l’OS Windows font l’objet d’exploitations actives. Il s’agit de vulnérabilités d’élévation des privilèges Win32k, qui peuvent permettre à un pirate authentifié en local d’exécuter un code arbitraire en mode Noyau (kernel).
Adobe publie un total de 7 mises à jour pour résoudre 43 CVE uniques. Elles concernent principalement Adobe Reader, Acrobat, AIR, Flash et Shockwave. Vous pouvez obtenir des mises à jour pour Reader, Acrobat, AIR et Flash, mais Shockwave (technologie qui permet de créer et de lire des contenus interactifs sur le web) a atteint sa fin de vie. C’est pourquoi aucune mise à jour n’est disponible pour ses 7 vulnérabilités critiques.
Conseil
Supprimez Shockwave de votre environnement ! Ces 7 vulnérabilités vont fragiliser la majorité des installations Shockwave. Vous pouvez parier que l’exploitation de ces vulnérabilités est imminente.
Wireshark publie 3 mises à jour qui résolvent 10 CVE. Wireshark est l’un de ces outils IT auxquels l’on ne pense pas, mais qui représentent un vrai risque pour votre environnement. Vérifiez qu’il est mis à jour ou supprimez-le des postes où il n’est plus nécessaire.
Les priorités du mois :
- Correctifs pour les OS et navigateurs Windows
- Correctifs pour Adobe Reader, Acrobat, AIR et Flash
- Désinstallation de Shockwave de votre environnement, sauf si vous disposez d’un contrat de support Adobe toujours en vigueur qui vous permet de recevoir des mises à jour
- Correctifs pour Wireshark
- Examen des mises à jour Office, SharePoint et Exchange, et déploiement assez rapide de ces mises à jour
- Passez en revue les logiciels en fin de vie dans votre environnement, et mettez en place un plan d’action pour éliminer ou limiter les risques. Mes suggestions :
– Les supprimer (la meilleure option)
– Virtualiser les charges de traitement
– Limiter l’accès
– Séparez-les du reste de votre environnement
– Limitez ou supprimez la connexion Internet à ces charges de traitement
Si vous avez lu mes prévisions du Patch Tuesday d’avril sur Help Net Security, vous avez vu la longue liste de produits en fin de vie que j’énumère. Vous pouvez maintenant ajouter Shockwave à cette liste. De plus, si vous n’avez pas suivi les actualités, vous trouverez un exemple vécu qui montre combien il peut être dangereux d’ignorer ce problème. Arizona Beverages a été frappé par une attaque par ransomware à grande échelle, qui a réellement mis l’entreprise sur les genoux. L’incident a été attribué à des systèmes trop anciens ou des systèmes où les mises à jour n’avaient pas encore été appliquées, ainsi qu’à des sauvegardes mal configurées. Prenez le temps de passer cette liste en revue et d’examiner les autres produits de votre environnement. Les logiciels obsolètes présentent un grave danger pour votre environnement et vous devez vous en occuper même si leur suppression n’est pas une réponse immédiatement applicable. Prenez des mesures pour limiter les risques si vous ne pouvez pas les désinstaller.
Annonces de fin de vie récentes et à venir :
- Windows 10 branche 1709 (pour les licences Pro) – 9 avril 2019
- Windows 10 branche 1607 – 9 avril 2019
- XP Embedded POSReady 2009 – 9 avril 2019
- Java 8 (la dernière mise à jour date de janvier 2019) – Janvier 2019
- Adobe Shockwave – 9 avril 2019
- Windows 7 – 14 janvier 2020
- Server 2008 – 14 janvier 2020
- Server 2008 R2 – 14 janvier 2020