Microsoft a publié le 15 avril dernier son lot mensuel de mises à jour et alerte les administrateurs sur trois failles de sécurité. Les correctifs comblent 17 failles critiques et 96 failles importantes concernant en grande partie Windows 10.
Chaque deuxième mardi du mois, Microsoft publie son célèbre Patch Tuesday, un ensemble de correctifs visant à corriger les vulnérabilités de sécurité au sein de ses produits.
Celui d’avril 2020, ne donne pas dans la demi-mesure puisqu’il comble pas moins de 113 failles au total, dont beaucoup concernent différentes versions de Windows 10: l’hyperviseur de Microsoft, SharePoint et l’ERP pour PME Dynamics Business Central, ainsi que 3 vulnérabilités 0day sur Windows déjà bien exploitées par des pirates.
Les failles 0day divulguées publiquement sont les suivantes :
- CVE-2020-0935 è Vulnérabilité d’élévation de privilège dans OneDrive pour Windows
- CVE-2020-1020 è Vulnérabilité d’exécution de code à distance dans Adobe Font Manager
- CVE-2020-0938 è Vulnérabilité d’exécution de code à distance dans Adobe Font Manager
Même si Microsoft assure que le risque est faible, appuyant sur le fait que ces différentes failles n’ont pas été exploitées à grande échelle, il est fortement conseillé d’appliquer sans tarder ces correctifs, qui concernent également des logiciels comme Edge, Office, Windows Defender, Internet Explorer, Visual Studio ou encore ChakraCore (moteur JavaScript) et Microsoft Dynamics.
Dans Windows 10, l’opération est en principe automatique et transparente quand Windows Update est correctement configuré. En cas de doute, il suffit d’aller dans Paramètres, Mises à jour et sécurité, et de vérifier l’historique des mises à jour ou de lancer l’installation des mises à jour en attente.
Microsoft a également annoncé que plusieurs de ses produits bénéficieraient d’une extension de support, afin de simplifier la tâche rendue complexe aux utilisateurs due à la crise sanitaire en cours. Ces produits sont :
- Windows 10, version 1709 : date de fin de support repoussée au 13 Octobre 2020 ;
- Windows 10, version 1809 : date de fin de support repoussée au 10 Novembre 2020 ;
- Windows Server, version 1809 : date de fin de support repoussée au 10 Novembre 2020 ;
- Configuration manager, version 1810 : date de fin de support repoussée au 1er Décembre 2020 ;
- Sharepoint Server, Foundation et Project Server 2010 : date de fin de support repoussée au 13 Avril 2021 ;
- Dynamic 365 Cloud Services : date de fin de support repoussée à Décembre 2020 ;
- Basic Authentication pour Exchange Online : date de fin de support repoussée au deuxième semestre 2021.
Cependant, gardons à l’esprit que Microsoft est toujours susceptible de changer la date de fin de support pour ses produits.
Prudence en cette période de confinement
Les utilisateurs de Windows 10 devront toutefois faire attention à ce nouveau Patch Tuesday.
En effet, même s’il est urgent d’appliquer ces mises à jour pour sécuriser son poste de travail, il est également impératif de s’assurer de sa « fiabilité ». L’expérience des updates Windows 10 a montré à plusieurs reprises que l’installation des dernières mises à jour cumulatives n’était pas toujours sans conséquence.
L’opération engendre parfois des problèmes allant d’installations ratées à quelques bugs d’affichage, en passant par des redémarrages en boucle ou encore des destructions de données utilisateur.
Les utilisateurs en télétravail devront en cas de doute appeler leur service informatique, ou alors patienter quelques jours afin que les erreurs rencontrées soit remontées par les utilisateurs et corrigées par les développeurs Microsoft. Pensez aussi à faire des sauvegardes de votre travail régulièrement, particulièrement si vous utilisez votre PC personnel.