La décision de Microsoft de regrouper les correctifs de sa mise à jour de sécurité de février avec ceux de mars ne fait pas l’unanimité parmi les experts du domaine. « J'ai été surpris d'apprendre que Microsoft reportait sa livraison de correctifs d’un mois entier », a indiqué par courriel à IDGNS Carsten Eiram, directeur de la recherche de la société Risk Based Security, spécialisée dans les vulnérabilités. « Même sans en connaître tous les détails, je trouve cette décision très difficile à justifier. À partir du moment où l’éditeur a identifié des vulnérabilités dans ses produits et qu’il a développé des correctifs, il devrait toujours les livrer à ses clients dans les meilleurs délais ».  

Mardi dernier, Microsoft a surpris tout le monde en annonçant que la livraison des patchs du mois était reportée en raison d'un « problème de dernière minute » pouvant impacter certains clients. Dans un premier temps, l’éditeur n'a pas spécifié la date de ce report, compromettant probablement les plans de déploiement des correctifs de certains administrateurs système. Les entreprises ont besoin de savoir quand les éditeurs prévoient de livrer leurs mises à jour, car elles doivent planifier des tests et leur déploiement à travers les milliers de serveurs et postes de travail de leurs réseaux. C'est pour cette raison que de nombreux éditeurs de logiciels ont instauré des cycles réguliers de livraison de correctifs. 

Une faille de divulgation de mémoire révélée par Project Zero

Hier, Google Project Zero a rendu public les détails d'une vulnérabilité de divulgation de mémoire dans le composant gdi32.dll de Windows, au motif que celle-ci a été signalée depuis plus de 90 jours à Microsoft. Il n'y a pas encore eu de confirmation, mais le Patch Tuesday de février corrigeait peut-être cette faille. Il y a deux semaines, une vulnérabilité dans la mise en œuvre du protocole SMB de partage de ressources sur des réseaux locaux de PC sous Windows était également divulguée publiquement. Il est possible d’exploiter cette faille pour faire planter les ordinateurs Windows : les attaquants peuvent tromper les systèmes et les connecter à des serveurs pirates en SMB qui envoient des requêtes malveillantes. Selon le chercheur qui a découvert la vulnérabilité, Microsoft devait également corriger cette faille dans le Patch Tuesday de février. « Je ne connais pas les raisons objectives qui ont poussé Microsoft à faire ce choix, mais je pense qu’un report de livraison d'un mois est une très mauvaise décision », a déclaré Carsten Eiram.

Mises à jour cumulatives au lieu des correctifs individuels

Pour Microsoft, Adobe, SAP et quelques autres, la sortie des patchs a lieu le second mardi de chaque mois, une journée désormais connue dans l'industrie sous le nom de Update ou Patch Tuesday. Mercredi, Microsoft a modifié son annonce pour préciser que les patchs de février seraient reportés d'un mois et livrés le 14 mars, c’est-à-dire le jour du prochain Patch Tuesday. On ne sait pas très bien quel genre de problème a obligé Microsoft à prendre cette décision, mais certaines personnes ont laissé entendre que le souci pourrait être lié à l'infrastructure Windows Update, et non à un correctif en particulier. Par ailleurs, ce mois de février, Microsoft devait, pour la première fois, publier les informations sur les vulnérabilités et les correctifs sur un nouveau portail appelé Security Updates Guide au lieu de les livrer, comme c’est le cas depuis deux décennies, dans ses habituels avis de sécurité. L'an dernier, l'entreprise a également introduit un nouveau mode de livraison des mises à jour de sécurité pour Windows 7 et Windows 8.1, semblable à celui de Windows 10. Désormais, les patchs de sécurité sont regroupés dans des mises à jour cumulatives pour chaque version du système d'exploitation au lieu d'être livrés individuellement.

Pour Carstem Eiram, sur le plan de la sécurité, le report d’un mois entier de tous les correctifs n’est pas une bonne nouvelle pour les clients de Microsoft. « Seules certaines raisons peuvent justifier le report d'un correctif. Par exemple, si l’éditeur découvre au dernier moment que le patch provoque des problèmes graves, ou qu’il ne corrige pas complètement la faille ou quelque chose de ce genre », a-t-il dit. « Mais, même si c’était le ce cas, l’éditeur devrait livrer les autres correctifs. Et si la défaillance est liée au nouveau système de livraison de Microsoft, ce dernier aurait dû utiliser l'ancienne approche pour livrer dans les temps ses avis et ses patchs de février, à défaut d’autres options ».