Microsoft publie des mises à jour qui résolvent au total 112 CVE ce mois-ci. On passe de nouveau au-dessus du seuil de 110 CVE, alors qu’en octobre, Microsoft n’avait publié aucune mise à jour pour ses navigateurs et le nombre total de CVE traitées avait beaucoup diminué. Comme chaque mois, profitez des explications de Todd Schell, Senior Product Manager, Security chez Ivanti.
Ce mois-ci, les mises à jour concernent le système d’exploitation Windows, Office et Office 365, Internet Explorer, Edge, Edge Chromium, Microsoft Exchange Server, Microsoft Dynamics, Azure Sphere, Windows Defender, Microsoft Teams, Azure SDK, DevOps, ChakraCore et Visual Studio.
Une seule vulnérabilité a déjà été exploitée en environnement réel. CVE-2020-17087 est une vulnérabilité d’élévation de privilèges du pilote de chiffrement du noyau Windows, qui permet à un pirate d’obtenir des privilèges élevés sur le système concerné. Cette vulnérabilité affecte les mises à jour ESU (Extended Security Updates – Mises à jour de sécurité étendues) Windows 7 et Server 2008, jusqu’aux dernières versions Windows 10 20H2. Même si cette vulnérabilité est seulement marquée Important par Microsoft, il s’agit d’une vulnérabilité « zero-day » et elle a été divulguée publiquement. Cela signifie que l’on a déjà détecté des pirates qui l’utilisent en environnement réel et que les informations sur la façon de l’exploiter ont été distribuées publiquement, ce qui donne à d’autres pirates un accès facile pour reproduire cette exploitation. Les chercheurs Google ont constaté que CVE-2020-17087 a été exploitée en tandem avec une faille de Google Chrome (CVE-2020-15999), pour laquelle une mise à jour a été publiée en octobre 2020. Vous devez résoudre ces deux vulnérabilités le plus vite possible.
Windows 10 20H2 vise à stabiliser les nouveautés de 2004
Microsoft a publié Windows 10 20H2 le 21 octobre. Même si cette version comprend peu de nouveautés, elle comporte quelques ajouts intéressants. Cette version inclut l’intégration complète d’Edge Chromium, une barre des tâches améliorée, une meilleure fréquence d’actualisation pour les écrans de gaming (youpi !), et toute une série de corrections apportées à la précédente mise à jour de branche majeure (2004). Il est important de noter comment les chronologies de maintenance des mises à jour de branche Windows 10 interviennent. La version H1 est la plus grosse version « Nouveautés » et la version H2 est conçue pour apporter de la stabilisation. Ainsi, la version de 2004 incluait davantage de nouvelles fonctions, mais avec un cycle de vie de 18 mois à compter de la date de publication. La version 20H2 vise à stabiliser les nouveautés de 2004 et à ajouter un nombre plus réduit d’améliorations, mais ce devrait être la branche stable pour les versions Entreprise, Éducation et IoT Entreprise, avec un cycle de vie de 30 mois.
On compte ce mois-ci plusieurs mises à jour de pile de maintenance (SSU), mais la bonne nouvelle, c’est que, à partir de Windows 10 20H2, la publication combine la mise à jour de pile de maintenance (SSU) et le déploiement de la mise à jour cumulative mensuelle, pour simplifier le processus de mise à jour. Vous devez autoriser votre version 2004 à activer la mise à jour 20H2 ou déployer la mise à niveau de branche 20H2 sur les versions plus anciennes de Win 10. Cependant, une fois l’opération terminée, la suite est vraiment plus simple.
Des mises à jour récentes très importantes
Concernant les mises à jour tierces, c’est un peu léger aujourd’hui, mais vous devez veiller à ces mises à jour récentes très importantes.
20 octobre : La mise à jour Google Chrome 86.0.4240.111 résout 5 CVE, y compris CVE-2020-15999 (« zero-day »)
2 novembre : La mise à jour Google Chrome 86.0.4240.183 résout 10 CVE, y compris CVE-2020-16009 (« zero-day »)
3 novembre : La mise à jour Adobe Acrobat et Reader APSB20-67 résout 14 CVE
9 novembre : Les mises à jour Mozilla Firefox 82.0.3 et ESR 78.4.1 résolvent 1 CVE (découverte lors du concours Tianfu Cup 2020 International Cybersecurity Contest)
10 novembre : La mise à jour Google Chrome pour Android 86.0.4240.185 inclut 6 CVE, y compris CVE-2020-16010 (« zero-day »)