Accueil Cybersécurité Patch Tuesday de janvier – N’oubliez pas de traiter la mise à...

Patch Tuesday de janvier – N’oubliez pas de traiter la mise à jour « hors série » d’Internet Explorer

Comme chaque mois, Chris Goettl, Director, Product Management, Security chez Ivanti, livre aux lecteurs de Solutions Numériques son analyse du dernier Patch Tuesday.

 

Le Patch Tuesday de janvier semble assez léger. Microsoft a publié des mises à jour pour le système d’exploitation Windows, Internet Explorer, Edge, Office, Sharepoint, .Net Framework et Exchange. Microsoft résout ainsi un total de 47 vulnérabilités uniques, dont la plupart sont seulement de niveau Important. Seules 7 des CVE résolues sont de niveau Critique. Elles concernent toutes Windows 10 et Server 2019, ainsi que le cœur Chakra et le navigateur Edge.

On ne compte qu’une seule vulnérabilité à divulgation publique ce mois-ci : CVE-2019-0579, qui affecte tous les systèmes d’exploitation Windows, mais est seulement de niveau Important. Cette vulnérabilité concerne le moteur de base de données Jet. Elle peut permettre à un pirate d’exécuter du code à distance sur le système de la victime en incitant cette personne à ouvrir un fichier spécialement conçu à cet effet. Bien que cette vulnérabilité soit seulement de niveau Important, elle a été divulguée publiquement, ce qui signifie qu’assez informations ont été communiquées au public pour qu’il soit plus facile à un pirate de développer un code d’exploitation pour cette vulnérabilité. La divulgation publique augmente en effet les risques d’exploitation.

Mise à jour pour Windows 10 1703

Microsoft a publié une pile de maintenance mise à jour pour Windows 10 1703. C’est la seule ce mois-ci. Les mises à jour de type Pile de maintenance mettent à jour le système de mise à jour… si vous voyez ce que je veux dire. Autrement dit, si vous n’effectuez pas cette mise à jour, vous risquez de ne pas pouvoir exécuter les mises à jour futures de façon fiable parmi les autres changements apportés au système. Les mises à jour Pile de maintenance s’ajoutent aux mises à jour cumulatives. Lisez ce dcocument pour en savoir plus sur les mises à jour Pile de maintenance.

Côté Microsoft, l’élément qui doit vous inquiéter est de savoir si vous avez traité la mise à jour « hors série » d’Internet Explorer publiée en décembre. Le 19 décembre, Microsoft a publié un correctif d’urgence pour résoudre une vulnérabilité « zero day » du moteur de scripts d’Internet Explorer. Cette vulnérabilité Jscript (CVE-2018-8653) permet à un pirate d’exploiter le moteur de scripts dans IE simplement en provoquant l’affichage d’un site Web malveillant. S’il réussit, le pirate peut prendre le contrôle du système avec les droits de l’utilisateur qui a ouvert le site.

Ainsi, si vous avez traité les mises à jour du Patch Tuesday de décembre mais que vous avez omis la mise à jour « hors série », vous devez vous assurer que tous vos systèmes Windows reçoivent soit la mise à jour cumulative de janvier, soit la mise à jour d’IE dès que possible.

À part Microsoft, pas grand-chose à signaler. Adobe a publié une mise à jour la semaine dernière pour Adobe Acrobat et Reader (APSB19-02), qui résout deux vulnérabilités critiques. La mise à jour Adobe Flash Player a été publiée aujourd’hui, mais elle n’inclut AUCUNE mise à jour de sécurité. Si vous avez appliqué toutes les mises à jour jusqu’à la mise à jour APSB18-42 de décembre, vous ne devriez pas avoir de problème de ce côté-là.

Mises à jour pour les logiciels Oracle

Janvier correspond au cycle de mises à jour CPU trimestrielles d’Oracle. C’est pourquoi vous pouvez prévoir pour le 15 janvier de recevoir des mises à jour/correctifs critiques pour tous vos logiciels Oracle préférés. Je vous conseille fortement de consulter les informations sur les changements de la prise en charge Java, ci-après. Java SE 8 reçoit sa toute dernière mise à jour publique. Après cela, vous devez vous abonner au programme de mises à jour d’Oracle pour Java 8 ou mettre votre système à niveau vers Java 11 JDK.

Le 17 septembre 2018, Oracle a annoncé que les mises à jour publiques pour Java SE 8 prendraient fin en janvier 2019. Le processus de mise à niveau standard de Java SE 8 prévoyait précédemment le passage à Java SE 10, mais ce produit est également arrivé en fin de vie (EOL) fin septembre 2018. Et le nouveau processus de mise à niveau prévoit le passage à Java JDK 11. Oui, JDK. Pourquoi ? Parce qu’il n’existe plus réellement de JRE séparé. D’ailleurs, cela rend de nombreuses entreprises perplexes. Java Runtime ne fait plus l’objet d’un paquet distinct. Dans JDK 11, les développeurs du logiciel sont supposés inclure uniquement les modules nécessaires pour leur application spécifique, avec jlink ou jmod. En bref, cela va changer la façon dont vous distribuez vos applications Java. Pour beaucoup d’entreprises, les détails sont encore un peu flous. En tant qu’administrateur de correctifs, vos priorités doivent être les suivantes :

  1. Combien de temps avant de pouvoir supprimer les anciens Java JRE de votre environnement ? Au fil du temps, ils vont constituer un risque pour la sécurité. L’obsolescence des logiciels est la cause de nombreux incidents de sécurité.
  2. Dans ce nouveau modèle, comment les vulnérabilités de sécurité vont-elles être identifiées et à quelle fréquence les équipes de développement vont-elles publier les mises à jour ? Et comment ces dernières seront-elles distribuées ?

 

La page d’accueil « Patch Tuesday » d’Ivanti