Qu'est-ce que le Patch Tuesday ?
Microsoft publie régulièrement des mises à jour de sécurité et non sécuritaires pour corriger les vulnérabilités de ses logiciels, ainsi que des mises à jour pour ses applications et ses systèmes d'exploitation (OS). Le Patch Tuesday est le jour précis où toutes les mises à jour importantes pour le système d'exploitation Windows et les autres composants et applications sont officiellement publiées dans le Bulletin Microsoft.
Quand est le Patch Tuesday ?
Le Patch Tuesday est nommé ainsi car il tombe le deuxième mardi de chaque mois. Microsoft a publié les premières mises à jour de Patch Tuesday en octobre 2003, et ils ont depuis maintenu cette habitude.
Les points importants du Patch Tuesday de janvier 2020
Le premier Patch Tuesday de l'année est livré avec des correctifs pour 50 vulnérabilités. Parmi celles-ci, 8 sont classées Critiques et 41 sont classées Importantes.
Correctifs pour la vulnérabilité dans CRYPT32.DLL
Le correctif très attendu pour la vulnérabilité de spoofing de la librairie de cryptographie CRYPT32.DLL, qui affecte les machines Windows 10, a été jugé important car il n'a pas encore été utilisé dans des cyber-attaques actives. L'ID CVE de cette vulnérabilité est CVE-2020-0601. Si elle n'est pas corrigée, cette vulnérabilité pourrait permettre aux pirates de créer un certificat de signature de code, donnant l'impression qu'un exécutable malveillant provient d'une source fiable. Cela pourrait facilement ouvrir la voie à des ransomwares et des malwares qui seraient installés sur des terminaux en toute confiance.
Correction des vulnérabilités du logiciel RDP (Remote Desktop Protocol)
Conformément aux tendances en matière de vulnérabilités des logiciels liés à la RDP, ce Patch Tuesday corrige également cinq vulnérabilités dans Remote Desktop Gateway Server, Remote Desktop Client et Remote Desktop Web Access. Les ID CVE sont les suivants :CVE-2020-0609, CVE-2020-0610, CVE-2020-0611, CVE-2020-0612 et Microsoft W">CVE-2020-0637.
Patch Tuesday pour les produits Microsoft
Le Microsoft Patch Tuesday de janvier 2020 comprend des mises à jour pour de nombreux logiciels et composants Microsoft et tiers.
Il comprend des mises à jour de sécurité pour les logiciels suivants :
- Git 2.25.0
- Seafile 7.0.5
- Aimp 4.60.2170
- TeXstudio 2.12.20
- PDF24 Creator 9.0.2
- Geneious Prime 2020.0.5
- Wise Folder Hider 4.3.2
- Personal Backup 6.1.0.
- MySQL Workbench CE 8.0.19
- Cerberus FTP Server 11.0.6
- Google Drive 3.48.8668.1933
- MYSQL Connector/C++ 8.0.19
- MySQL Connector/ODBC 8.0.19
- MYSQL Connector/NET 8.0.19
- Adobe Flash Player PPAPI 32.0.0.314
- Adobe Flash Player Plugin 32.0.0.314
- Adobe Flash Player ActiveX 32.0.0.314
- KeePass Password Safe Classic Edition 1.38
- Java 8 Update 241
- Java SE Development Kit (x64) (13.0.2)
- Java SE Development Kit (x64) (11.0.6)
- Java SE Development Kit 8 Update 241
- Simply Fortran 3.8
Annonces importantes
Comme largement annoncé, ce sera le dernier Patch Tuesday avec des mises à jour gratuites pour Windows 7, Windows Server 2008, et Windows Server 2008 R2. Windows 7 arrive en fin de vie, il est donc indispensable de passer à Windows 10 ou d'acheter des mises à jour de sécurité étendues auprès de Microsoft.
Les bonnes pratiques pour gérer les mises à jour du Microsoft Patch Tuesday pour janvier 2020
Corriger et mettre à jour tous vos terminaux peut sembler être une tâche impossible, mais il existe de bonnes pratiques que vous pouvez suivre pour simplifier le processus de correction :
Priorisez d'abord les correctifs pour les vulnérabilités critiques. Les huit vulnérabilités Critiques pour ce Patch Tuesday sont CVE-2020-0603, CVE-2020-0605, CVE-2020-0606, CVE-2020-0609, CVE-2020-0610, CVE-2020-0611, CVE-2020-0640 et CVE-2020-0646
Automatisez ensuite toutes les autres mises à jour importantes et modérées.
Planifiez les mises à jour pour qu'elles soient effectuées en dehors des heures de travail afin d'optimiser le confort des utilisateurs et la conservation de la bande passante.
Créez un groupe de test pour vérifier la stabilité des mises à jour du Patch Tuesday avant le déploiement en masse sur les systèmes et les serveurs de votre réseau.
Refusez les mises à jour moins critiques et ne les distribuez qu'après avoir réglé les problèmes importants.
Reportez ou planifiez les redémarrages des machines et serveurs critiques.
Exécutez des rapports de correctifs pour vous assurer que les terminaux du réseau sont à jour avec les derniers correctifs.
Vous pensez toujours que l'application de correctifs est un processus complexe ? Ne vous inquiétez pas, nous avons tout prévu pour vous.
ManageEngine offre deux solutions qui vous aident à automatiser toutes les bonnes pratiques mentionnées ci-dessus à partir d'une console centrale : Desktop Central et Patch Manager Plus. Vous pouvez essayer les deux solutions gratuitement pendant 30 jours et garder plus de 750 applications à jour, y compris plus de 300 applications tierces.
Vous voulez en savoir plus ? Rejoignez notre webinaire (en anglais) sur le Patch Tuesday de janvier 2020, où nous examinerons de plus près les mises à jour de ce mois, analyserons les vulnérabilités critiques et discuterons de l'impact du fait de les ignorer. Inscrivez-vous dès maintenant !