En octobre, Microsoft va modifier ses modèles de mises à jour, pour les systèmes d’exploitation Windows 7 et Windows 8.1, mais aussi Windows Server 2008 R2, Windows Server 2012 et Windows Server 2012 R2. Au menu, des mises à jour cumulatives comme pour Windows 10.
Historiquement, Microsoft éditait des updates individuels, ce qui permettait aux administrateurs d’appliquer ceux de leur choix, mais engendrait une hétérogénéité dans la mise à jour des machines selon Microsoft, ou ce qu’il appelle « la fragmentation de ses environnements », sur son blog. Pour l’éditeur, cela a amené différents problèmes : des erreurs de synchronisation, des temps de scan des machines plus longs, etc.
Microsoft va donc passer à un dispositif de correctifs “tout-en-un” (“rollup model”), assurant selon lui des mises à jour complètes et plus rapides, et libérant du temps à l’administrateur. Un alignement sur le régime de Windows 10.
Une fois par mois, ces mises à jour cumulatives corrigeront les problèmes de sécurité et de fiabilité. A chaque nouveau pack s’ajoute celui du mois précédent, pour une seule mise à jour. Les mises à jour de novembre incluront celles d’octobre par exemple.
Le risque d’incompatibilités avec des applications critiques
Si Microsoft voit là une simplification des procédures, d’autres s’interrogent. Pour Shavlik, un spécialiste de la gestion des correctifs « Les entreprises devront tester plus strictement la compatibilité de leurs applications pour éviter les pannes lorsqu’un grand nombre de packs de mise à jour de sécurité seront distribuées (Push) sur leurs systèmes. En cas de conflit, les fournisseurs à l’origine de ces conflits de mises à jour seront encore plus sous pression pour résoudre les problèmes. Les entreprises auraient peut-être accepté qu’une exception provoque une ou deux vulnérabilités, mais une exception qui provoque l’absence de correctifs pour 20 vulnérabilités entraînera une tout autre réaction… » La sécurité risquerait donc d’en pâtir.
Le Patch Tuesday du 13 septembre 2016
Le dernier Patch Tuesday du 13 septembre 2016 comprend une mise à jour de Flash Player et 14 bulletins de Microsoft. Ces 14 bulletins Microsoft incluent 7 mises à jour critiques et 7 mises à jour importantes, qui résolvent un total de 50 vulnérabilités distinctes, notamment une faille « zero day » dans Internet Explorer (CVE-2016-3351) et une divulgation publique (CVE-2016-3352).