Serveur d'impression

Correctifs de sécurité Windows et Office de ce mois-ci: Bugs et solutions – Serveur d’impression

Le 3 juillet 2019 - 10 minutes de lecture

Combien de bogues un correctif WinPatcher peut-il créer si un correctif WinPatcher peut corriger des bogues?

C’est l’un des mois de juin les plus fastidieux en matière de correctifs: de nombreuses petites créatures embêtantes et celles reconnues par Microsoft ont conduit à d’autres correctifs plus tard dans le mois.

En juin, huit correctifs Windows à usage unique dont la seule mission est de corriger les bogues introduits dans les précédents correctifs Windows. Je les appelle des balles d'argent – tout ce qu'ils font, c'est réparer les erreurs commises plus tôt. Si vous installez uniquement des correctifs de sécurité, ces huit logiciels doivent être installés manuellement pour corriger les bogues introduits précédemment. C’est un défaut congénital dans le schéma de correction: les bogues introduits par les correctifs de sécurité sont corrigés par des correctifs «optionnels» non liés à la sécurité, en attendant que les mises à jour cumulatives du mois prochain soient vérifiées.

Les balles d'argent Win10

Toutes les versions modernes de Win10 sauf 1903 – c'est-à-dire les versions 1607, 1703, 1709, 1803, 1809, Server 2016 et Server 2019 – ont toutes reçu trois mises à jour cumulatives ce mois-ci. La troisième mise à jour cumulative pour juin résout ce problème:

Des problèmes peuvent survenir sur les périphériques lors de la connexion à certains périphériques SAN à l'aide de l'interface iSCSI (Internet Small Computer System Interface) après l'installation de KB4497934. Vous pouvez également recevoir une erreur dans la section du journal système de l'observateur d'événements avec l'ID d'événement 43 de iScsiPrt et une description de «La cible n'a pas pu répondre à temps pour une demande de connexion».

En d’autres termes, c’est une solution miracle – un correctif facultatif qui corrige un bogue introduit dans un correctif antérieur que vous n’obtiendrez que si vous le téléchargez et l’installez manuellement, ou si vous cliquez sur «Rechercher les mises à jour».

Ce qui est étrange dans cette multitude de patchs, c’est le timing. Apparemment, le bogue est arrivé avec les mises à jour cumulatives du 3 mai, le 21 mai. J'en ai d'abord entendu parler sur un forum d'assistance Dell, le 11 juin et posté le 19 juin. Microsoft n’avait pas reconnu le bogue à ce moment-là. (La première annonce officielle que j'ai vue a été faite le 26 juin, date de la parution des quatre balles d'argent.)

C’est plus que déconcertant, car Microsoft devrait nous avertir rapidement de ces problèmes sur la page Statut des informations de publication.

Les balles d'argent Win7 et 8.1

Le 20 juin, Microsoft a publié des correctifs miracles pour Win7, 8.1, Server 2008 R2 SP1, 2012, 2012 R2 et Internet Explorer 11 afin de corriger les bogues introduits dans les correctifs de correctifs cumulatifs et de sécurité uniquement du 11 juin.

La mise à jour pour 7 SP1 et Server 2008 R2 SP1 KB 4508772, pour Windows 8.1 et Server 2012 R2 KB 4508773 et Server 2012:

«Résout un problème susceptible d’afficher l’erreur,« MMC a détecté une erreur dans un composant logiciel enfichable et la déchargera »lorsque vous essayez d’agrandir, d’afficher ou de créer des vues personnalisées dans l’Observateur d’événements. En outre, l'application peut cesser de répondre ou se fermer. Vous pouvez également recevoir la même erreur lorsque vous utilisez Filtrer le journal actuel dans le menu Action avec des vues ou des journaux intégrés. ”

Mise à jour cumulative pour Internet Explorer 11 Ko 4508646

«Résout un problème entraînant l'arrêt d'Internet Explorer 11 à l'ouverture ou à l'interaction avec des marqueurs SVG (Scalable Vector Graphics), y compris les graphiques linéaires Power BI avec des marqueurs.»

Les corrections de bugs ne sont pas incluses dans les correctifs cumulatifs mensuels de juin ni les correctifs de sécurité uniquement (11 juin 2019), mais sont incluses dans les correctifs cumulatifs mensuels de prévisualisation publiés le 20 juin.

Encore une fois, les bogues introduits par les correctifs de sécurité obtiennent les derniers correctifs dans les correctifs non sécuritaires.

Plus de bugs Win10 1903

La deuxième mise à jour mensuelle cumulative pour Win10 1903 est apparue en retard, comme d'habitude, le 27 juin. La base de connaissances 4501375 inclut des correctifs pour plusieurs bogues reconnus, notamment l'erreur MMC liée aux vues personnalisées décrite dans la section précédente.

De nombreuses personnes se plaignent que ce correctif ait été téléchargé sans leur consentement – c'est-à-dire sans cliquer sur «Rechercher les mises à jour». @ Abbodi86 a examiné le problème et a découvert:

D'après mes tests… KB4501375 (18362.207) se comporte exactement de la même manière que les mises à jour des fonctionnalités se comportent sur 1809 et 1803 – le comportement «télécharger et installer maintenant». En d’autres termes, le KC 4501375 sera regroupé et proposé comme [a] mise à jour secondaire avec toute mise à jour disponible même si vous ne «vérifiez pas les mises à jour». Il est possible que la dernière mise à jour cumulative .NET déclenche ce problème.

Cela dit, le report de la mise à jour des fonctionnalités (mises à jour de version) d'un jour seulement fait que KB4501375 disparaît.

Win10 1903 disparaît Mettre à jour les options avancées

Le comportement des reports de mise à jour de Win10 1903 n’est pas encore réglé.

Dans Win10 1903 Pro, si vous accédez à Windows Update, options avancées, vous obtenez un volet qui ressemble à ceci.

Paramètres avancés de 1903 pro update Microsoft

Paramètres avancés de mise à jour de Windows 10 1903 Pro.

Plusieurs d'entre vous ont remarqué que si vous spécifiez les options de report comme je les ai ici (nombres différents de zéro dans l'une des deux cases du bas), la partie entière de la boîte de dialogue Options avancées «Choisissez quand les mises à jour sont installées» disparaît.

@ abbodi86 a entrepris des expériences avec les paramètres. Voici ce qu’il a conclu:

Oui, la boîte de report de mise à jour de la fonctionnalité disparaît lorsque je modifie les entrées sur une valeur autre que zéro. Peut-être que c'est un mouvement intentionnel pour que l'utilisateur ne puisse pas changer la période fréquemment? 🙂

Quoi qu'il en soit, la période de report de la mise à jour des fonctionnalités peut toujours être contrôlée avec les paramètres du registre.

[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsUpdateUXSettings] “DeferFeatureUpdatesPeriodInDays” = dword: 0000016d

La stratégie de groupe peut être utilisée pour vous montrer la période de report de mise à jour des fonctionnalités. La boîte apparaît grisée, mais au moins vous pouvez connaître la période

@abbodi poursuit en disant qu'il a testé la modification de la période de report de mise à jour de la qualité de la même manière, avec le même résultat – si vous le définissez sur autre chose que zéro, la section entière disparaît. Cela peut être lié à un conflit interne avec la façon dont le canal semi-annuel (ciblé) a été supprimé.

Peut-être, juste peut-être, c'est la façon dont cela est censé fonctionner. Dans l’affirmative, j’aimerais proposer ce comportement pour le temple de la renommée «Harebrained Design». Donner à un utilisateur une option, n'importe quelle option, puis l'obliger à creuser dans la stratégie de groupe pour la modifier, ça pue.

Sur le radar

Si vous avez eu des difficultés avec les mises à jour du microcode «Intel» pour Meltdown / Specter et d’autres vulnérabilités «Side Channel», vous n’êtes pas seul. La dernière tournure est celle de l’énorme travail de jambe de Karl-WE, publié sur GitHub, qui donne un sens à la litanie de correctifs en cours.

En particulier, Karl note – et le gourou du centre de sécurité MS Security Response Centre, Jorge Lopez, confirme – que la phrase de KB 4346085 qui dit:

Important Installez cette mise à jour pour les processeurs répertoriés uniquement.

est tout simplement faux. Certaines des mises à jour s'appliquent aux processeurs non répertoriés. Vous feriez mieux de faire confiance à Windows Update pour choisir celles qui conviennent à votre ordinateur. Lopez dit:

«L'équipe n'a pas voulu induire en erreur quiconque lisant cette base de données de manière isolée en pensant que l'installation de cette base de connaissances / son déploiement sur une flotte signifierait avoir satisfait à l'exigence de microcode pour ces problèmes de canal latéral – cela n'est vrai que pour les processeurs répertoriés sur le KB. Nous mettrons à jour la ligne, ce n'est pas la bonne façon de donner cet avertissement. Donc, oui, vous n’avez pas besoin de passer par une matrice de déploiement compliquée sur cette base de connaissances, mais vous devez le faire pour déterminer ce qui est protégé ou non (des outils d’analyse de vuln devraient vous aider). La logique d'appliquer ou non une mise à jour du microcode fait partie de la séquence de démarrage dans le système d'exploitation. Si le processeur dispose d'une révision de microcode plus ancienne que celle du système d'exploitation, le système d'exploitation met à jour le microcode de la CPU dans le cadre de la séquence de démarrage.

Attendez-vous à une correction de l'article de la base de connaissances sous peu.

Pour terminer sur une note positive… rappelez-vous la vulnérabilité BlueKeep? Celui qui m'a fait pleurer que le ciel est en train de tomber et que vous deviez installer les correctifs de May, comme, tout de suite? Kevin Beaumont (@GossiTheDog de Twitter) a de bonnes nouvelles:

Si vous vous demandez pourquoi il n’existe pas d’exploitation publique de l’exécution de code à distance BlueKeep, c’est un mélange de difficultés [There’s a high bar for exploitation – in theory it is ‘just’ a use after free bug, but to be able to kernel spray you have to reverse engineer the RDP driver. There’s no documentation on how to do it for this.] et une poignée de personnes dans le monde InfoSec étant très responsables.

Oui, vous devez toujours vous assurer que le correctif est installé. Vous devriez l’avoir fait en mai. Quand l'exploit sera touché, ce sera douloureux. Mais au moins, nous avons été épargnés par un bain de sang d’une ampleur sans précédent.

Rejoignez-nous pour des histoires plus palpitantes de la Crypte dans le salon AskWoody.

Commentaires

Laisser un commentaire

Votre commentaire sera révisé par les administrateurs si besoin.