C’est un fait rarissime dans l’histoire des Patch Tuesday de Microsoft. La firme de Redmond a en effet décidé de retarder la livraison mensuelle de correctifs de sécurité, traditionnellement poussée le second mardi de chaque mois. Microsoft a décidé de toiletter cette institution avec l’apparition dès ce mois-ci des Updates Tuesday. L’éditeur bascule d’un modèle de correctifs individuels vers un modèle de vagues de mise à jour. Il met surtout en place une mise à jour de sécurité séparée pour Internet Explorer et Office.
Microsoft explique dans un message sur son blog que « notre priorité absolue est de fournir la meilleure expérience possible aux clients pour maintenir et protéger leurs systèmes. Ce mois-ci, nous avons découvert un problème de dernière minute pouvant impacter certains clients et n’a pas été résolu à temps pour livrer les mises à jour aujourd’hui ». Et d’ajouter : « Après avoir examiné toutes les options, nous avons pris la décision de retarder les mises à jour de ce mois. Nous nous excusons pour la gêne occasionnée par ce changement de programme. »
Face à ce « problème de dernière minute », les experts en sécurité sont partagés. La première raison qui vient à l’esprit est la découverte récente d’une faille Zero Day du protocole SMB par le chercheur Laurent Gaffié. Le CERT américain avait lancé une alerte le 2 février dernier en indiquant que « Microsoft Windows contient un bogue de corruption de mémoire dans le traitement du trafic SMB, ce qui peut permettre à un attaquant distant et non authentifié de provoquer un déni de service ou d’exécuter potentiellement du code arbitraire sur un système vulnérable ». La seule parade actuelle est le blocage de ports. Les équipes de Microsoft sont sur le pont pour résoudre le problème. Peut-être que sa résolution prend plus de temps que prévu. La firme aurait pu dans ce cas-là fournir un correctif en dehors du Patch Tuesday.
Une autre hypothèse émise par le chercheur Johannes Ullrich du SANS Internet Storm Center est que la migration vers le nouveau système de mises à jour de sécurité, cité précédemment a pris du retard. « Il est possible que ce processus explique ce retard », indique le spécialiste. Pour une première, Microsoft préfère éviter les bugs synonymes de mauvaise presse et de remontrances de la part des clients. Dans son message, l’éditeur ne donne pas de date pour la disponibilité du Patch Tuesday nouvelle génération.
A lire aussi :
Patch Tuesday : des correctifs a minima pour débuter 2017
Patch Tuesday : Microsoft élimine les bulletins pour une base de données
Dans un avis consultatif, l'Autorité de la concurrence a identifié les risques concurrentiels liés à…
OpenAI signe un « partenariat de contenu stratégique » avec Time pour accéder au contenu…
Au lendemain du rejet de sa proposition de restructuration, David Layani annonce sa démission du…
Après un an, Hugging Face a revu les fondements de son leaderboard LLM. Quels en…
Mozilla commence à expérimenter divers LLM dans Firefox, en parallèle d'autres initiatives axées sur l'intégration…
VMware met VCF à jour pour y favoriser la migration des déploiements qui, sur le…