Le premier Patch Tuesday de l’année de Microsoft corrige 98 vulnérabilités de sécurité, dont 10 classées comme critiques pour Windows. Une vulnérabilité (CVE-2023-21674) dans une section principale du code Windows est un jour zéro qui nécessite une attention immédiate. Et Adobe est de retour avec une mise à jour critique, associée à quelques correctifs discrets pour le navigateur Microsoft Edge.

Nous avons ajouté les mises à jour Windows et Adobe à notre liste « Patch Now », reconnaissant que les déploiements de correctifs de ce mois-ci nécessiteront d’importants efforts de test et d’ingénierie. L’équipe à Préparation des applications a fourni un infographie utile qui décrit les risques associés à chacune des mises à jour pour ce cycle de mise à jour de janvier.

Problèmes connus

Chaque mois, Microsoft inclut une liste des problèmes connus liés au système d’exploitation et aux plates-formes inclus dans ce cycle de mise à jour.

  • Microsoft Exchange (2016 et 2019) : après l’installation de cette mise à jour de janvier, les aperçus de page Web pour les URL partagées dans Outlook sur le Web (OWA) ne sont pas affichés correctement. Microsoft travaille actuellement sur un correctif pour cela.
  • Windows 10 : après l’installation KB5001342 ou plus tard, le Service de cluster Microsoft peut ne pas démarrer car un pilote de réseau de cluster est introuvable.

Il reste encore quelques problèmes connus en suspens pour Windows 7, Windows 8.x et Serveur Windows 2008mais comme pour ces systèmes d’exploitation vieillissants (et peu sécurisés), il est temps de passer à autre chose.

Révisions majeures

Microsoft n’a publié aucune révision majeure ce mois-ci. Il y a eu plusieurs mises à jour des correctifs précédents, mais uniquement à des fins de documentation. Aucune autre action requise ici.

Publicité

Atténuations et solutions de contournement

Microsoft n’a publié aucune atténuation ou solution de contournement spécifique au cycle de publication du Patch Tuesday de janvier de ce mois-ci.

Guide de test

Chaque mois, l’équipe de préparation analyse les dernières mises à jour du Patch Tuesday de Microsoft et fournit des conseils de test détaillés et exploitables. Ces conseils sont basés sur l’évaluation d’un vaste portefeuille d’applications et sur une analyse détaillée des correctifs Microsoft et de leur impact potentiel sur les plates-formes Windows et les installations d’applications.

Compte tenu du grand nombre de modifications incluses dans ce cycle de correctifs de janvier, j’ai décomposé les scénarios de test en groupes à haut risque et à risque standard :

Risque élevé: Cette mise à jour de janvier de Microsoft apporte un nombre important de modifications à haut risque au noyau du système et aux sous-systèmes d’impression dans Windows. Malheureusement, ces modifications incluent des fichiers système critiques tels que win32base.sys, sqlsrv32.dll et win32k.sys, élargissant encore le profil de test pour ce cycle de correctifs.

Étant donné que toutes les modifications à haut risque affectent le sous-système d’impression Microsoft Windows (bien que nous n’ayons vu aucune modification de fonctionnalité publiée), nous recommandons fortement les tests suivants axés sur l’impression :

  • Ajoutez et supprimez des filigranes lors de l’impression.
  • Modifiez le répertoire de spool d’impression par défaut.
  • Connectez-vous à une imprimante Bluetooth et imprimez des pages en noir et blanc et en couleur.
  • Essayez d’utiliser le pilote (Microsoft) MS Publisher Imagesetter. Il est disponible en tant que pilote d’imprimante « générique » et peut être installé sur n’importe quel ordinateur Windows 8.x ou ultérieur. En raison du grand nombre de sites de téléchargement qui fournissent ce lecteur, veuillez vous assurer que votre téléchargement est signé numériquement et provient d’une source fiable (par exemple, Windows Update).

Tous ces scénarios nécessiteront des tests importants au niveau de l’application avant un déploiement général de la mise à jour de ce mois-ci. En plus de ces exigences de test spécifiques, nous suggérons un test général des fonctionnalités d’impression suivantes :

  • Impression à partir d’imprimantes directement connectées.
  • Impression à distance (en utilisant RDP et VPN).
  • Tester des scénarios physiques et virtuels avec des applications 32 bits sur des machines 64 bits.

Plus généralement, compte tenu de la nature étendue de cette mise à jour, nous vous suggérons de tester les fonctionnalités et composants Windows suivants :

  • Testez des scénarios basés sur l’utilisateur qui s’appuient sur la prise en charge des points de contact et des gestes.
  • Essayez de vous connecter/déconnecter STTP Séances VPN. Vous pouvez en savoir plus sur ces protocoles mis à jour ici.
  • Utilisation de Microsoft LDAP les services testent les applications qui nécessitent un accès aux requêtes Active Directory.

En plus de ces modifications et des exigences de test ultérieures, j’ai inclus certains des scénarios de test les plus difficiles pour cette mise à jour de janvier :

  • Requêtes SQL : Oh mon Dieu. Vous devrez vous assurer que vos applications critiques qui utilisent SQL (et qui ne le font pas ?) fonctionnent réellement. Comme dans « renvoyer les jeux de données corrects à partir de requêtes de bases de données extrêmement complexes, multi-sources et hétérogènes ». Cela dit, Microsoft a m’a dit, « Cette mise à jour résout un problème connu qui affecte les applications qui utilisent Microsoft Open Database Connectivity (ODBC) SQL Server Driver (sqlsrv32.dll) pour se connecter aux bases de données. » On devrait donc voir cette situation s’améliorer ce mois-ci.
  • Applications héritées : si vous avez une application plus ancienne (héritée) qui peut utiliser des classes Windows désormais obsolètes, vous devrez exécuter un test d’application complet en plus des tests de fumée de base.

Avec tous ces scénarios de test plus difficiles, nous vous recommandons d’analyser votre portefeuille d’applications pour rechercher des composants d’application mis à jour ou des dépendances au niveau du système. Cette analyse devrait alors fournir une liste restreinte des applications affectées, ce qui devrait réduire vos tests et vos efforts de déploiement ultérieurs.

Mise à jour du cycle de vie de Windows

Cette section contiendra des modifications importantes concernant la maintenance (et la plupart des mises à jour de sécurité) des plates-formes de bureau et de serveur Windows. Avec Windows 10 21H2 désormais hors support standard, nous avons les applications Microsoft suivantes qui atteindront la fin du support standard en 2023 :

  • Microsoft Endpoint Configuration Manager, version 2107 (nous avons maintenant Intune, donc c’est OK).
  • Windows 10 Enterprise et Education, Version 20H2 (nous avons 5 mois pour migrer – ça devrait aller).
  • Windows 10 Home et Pro, Version 21H2 (avec une date d’échéance juin 2023).
  • Prise en charge étendue d’Exchange Server 2013 (11 avril 2023).

Chaque mois, nous décomposons le cycle de mise à jour en familles de produits (telles que définies par Microsoft) avec les regroupements de base suivants :

  • Navigateurs (Microsoft IE et Edge)
  • Microsoft Windows (bureau et serveur)
  • Microsoft Office
  • Serveur Microsoft Exchange
  • Plateformes de développement Microsoft (RAPPORTER Core, .NET Core et Chakra Core)
  • Adobe (retraité ? peut-être l’année prochaine)

Navigateurs

Microsoft a publié ce mois-ci cinq mises à jour de son navigateur Chromium, toutes traitant des vulnérabilités liées à la mémoire « Utiliser après la libération » dans le moteur Chromium. Vous pouvez trouver la version de Microsoft de ces notes de publication ici et les notes de version de la chaîne Google Desktop ici. Il n’y a pas eu d’autres mises à jour des navigateurs Microsoft (ou des moteurs de rendu) ce mois-ci. Ajoutez ces mises à jour à votre calendrier de publication de correctifs standard.

les fenêtres

Janvier apporte 10 mises à jour critiques ainsi que 67 correctifs jugés importants pour la plate-forme Windows. Ils couvrent les composants clés suivants :

  • Serveur d’autorité de sécurité locale Microsoft (lsasrv)
  • Microsoft WDAC Fournisseur OLE DB (et pilote ODBC) pour SQL
  • Moteur de sauvegarde Windows
  • Services cryptographiques Windows
  • Rapport d’erreurs Windows (WER)
  • les fenêtres LDAP – Protocole d’accès à l’annuaire léger

Généralement, il s’agit d’une mise à jour axée sur la mise à jour du réseau et de la pile d’authentification locale avec quelques correctifs du cycle de correctifs du mois dernier. Malheureusement, une vulnérabilité (CVE-2023-21674) dans une section centrale du code Windows (ALPC) a été signalé publiquement. Microsoft décrit ce scénario comme « un attaquant qui parviendrait à exploiter cette vulnérabilité pourrait obtenir les privilèges SYSTEM ». Merci, Stivpour votre travail acharné sur celui-ci.

Remarque : toutes les agences fédérales américaines ont reçu pour instruction de corriger cette vulnérabilité d’ici fin janvier dans le cadre de CISA « ordre opérationnel contraignant » (DBO).

Ajoutez cette mise à jour à votre calendrier de publication « Patch Now ».

Microsoft Office

Microsoft a résolu un seul problème critique avec SharePoint Server (CVE-2023-21743) et huit autres vulnérabilités de sécurité jugées importantes par Microsoft affectant les applications Visio et Office 365. Nos tests n’ont pas soulevé de problèmes significatifs liés aux modifications du Patch Tuesday, étant donné que la plupart des modifications ont été incluses dans le Microsoft Démarrer en un clic releases — qui a un profil de déploiement et de test beaucoup plus faible. Ajoutez ces mises à jour Microsoft Office à votre calendrier de déploiement standard.

Serveur Microsoft Exchange

Pour cette version du correctif de janvier pour Microsoft Exchange Server, Microsoft a livré cinq mises à jour, toutes jugées importantes pour les versions 2016 et 2019 :

Aucune de ces vulnérabilités n’est publiée publiquement, n’a été signalée comme exploitée dans la nature ou n’a été documentée comme conduisant à l’exécution de code arbitraire. Avec ces quelques problèmes de sécurité à faible risque, nous vous recommandons de prendre votre temps pour tester et mettre à jour chaque serveur. Une chose à noter est que Microsoft a introduit une nouvelle fonctionnalité (Signature du certificat PowerShell) dans cette version « corrective », qui peut nécessiter des tests supplémentaires. Ajoutez ces mises à jour d’Exchange Server à votre calendrier de publication de serveur standard.

Plateformes de développement Microsoft

Microsoft a publié deux mises à jour de sa plateforme de développement (CVE-2023-21779 et CVE-2023-21538) affectant Visual et Microsoft .NET 6.0. Ces deux mises à jour sont considérées comme importantes par Microsoft et peuvent être ajoutées à votre calendrier de publication standard.

Adobe Reader

Les mises à jour pour Adobe Reader sont de retour ce mois-ci, bien que les derniers correctifs n’aient pas été publiés par Microsoft. La dernière série de mises à jour (APSB 23-01) a résolu huit problèmes critiques liés à la mémoire et sept mises à jour importantes, dont la pire pourrait entraîner l’exécution de code arbitraire sur ce système non corrigé. Avec un prix supérieur à la moyenne CVSS (7.8), nous vous recommandons d’ajouter cette mise à jour à votre cycle de publication « Patch Now ».

Copyright © 2023 IDG Communications, Inc.


Rate this post
Publicité
Article précédentLMT Anti Logger empêchera quiconque d’enregistrer vos activités
Article suivantLe ministère de la Justice ferme un échange cryptographique russe de 700 millions de dollars
Berthe Lefurgey
Berthe Lefurgey est une journaliste chevronnée, passionnée par la technologie et l'innovation, qui fait actuellement ses armes en tant que rédactrice de premier plan pour TechTribune France. Avec une carrière de plus de dix ans dans le monde du journalisme technologique, Berthe s'est imposée comme une voix de confiance dans l'industrie. Pour en savoir plus sur elle, cliquez ici. Pour la contacter cliquez ici

LAISSER UN COMMENTAIRE

S'il vous plaît entrez votre commentaire!
S'il vous plaît entrez votre nom ici