Microsoft documente mieux ses problèmes de correctifs qui grossissent

Notre confrère Woody Leonard ne croit plus à la capacité de Microsoft de fournir des correctifs fiables. Mois après mois, il a assisté au va-et-vient incessant des gros et petits bugs. Pendant ces deux dernières années, il a même établi une liste chronologique des livraisons de patchs, consultable sur son blog. Néanmoins, il admet que ces derniers mois, les choses se sont améliorées, que Microsoft identifie plus rapidement les gros bogues et arrive même à les reconnaître publiquement peu de temps après leur apparition.

Par exemple, mardi 14 mai, un grand nombre de sites gov.uk étaient inaccessibles à partir des navigateurs IE et Edge. Fait remarquable, Microsoft a documenté le bogue le 17 mai, même s’il a fallu attendre le 19 mai pour avoir un correctif. Ensuite, le mardi 11 juin, la mise à jour déployée par Microsoft a perturbé les Vues personnalisées (Custom Views) de l'Observateur d'événements (Event Views). Voici comment Microsoft a décrit cette erreur : « L'Observateur d'événements peut se fermer ou il peut y avoir un message d’erreur quand vous utilisez les Vues personnalisées ».

De Windows 7 à 10 aucun système n'est épargné

Ajoutant que « quand vous essayez de développer, de visualiser ou de créer des Vues personnalisées dans l'Observateur d'événements, l'erreur « MMC a détecté une erreur dans un snap-in et l’a déchargé » peut s’afficher et l'application peut cesser de répondre ou se fermer. Vous pouvez également voir l'erreur si vous demandez de « Filtrer le journal actuel » (Filter Current Log) dans le menu Action avec les vues ou journaux intégrés. Les vues intégrées et les autres fonctions de l'Observateur d'événements devraient fonctionner comme prévu ». La description du problème a été faite le 12 juin, et Microsoft a proposé en même temps une solution de contournement manuelle complexe. Le bogue est qualifié de « résolu », ce qui signifie apparemment que l’éditeur a publié un script PowerShell pouvant corriger le bogue de manière appropriée. (« Il est nécessaire d’entrer la fonction chaque fois que vous ouvrirez une nouvelle fenêtre PowerShell ».)

Toutes les machines tournant sous Windows, depuis Windows 7 jusqu’à la dernière version de Windows 10, étaient concernées. C’est loin d’être marginal. Tous ceux qui avaient besoin d'IE ou d'Edge pour accéder aux sites gov.uk, ou qui avaient des vues personnalisées dans Event Viewer, ont été affectés. Ces bogues n’ont rien de particulier : ils s’ajoutent à la liste déjà longue des patches de mauvaise qualité auxquels Microsoft nous a habitué. La différence cette fois-ci, c'est la reconnaissance publique (et opportune) de Microsoft. Au lieu de laisser les utilisateurs dans l'ignorance pendant des jours ou des semaines, la firme de Redmond a livré rapidement une description du problème. La nouvelle page d'information sur les versions est actuellement active, malgré quelques difficultés de départ. Bien sûr, certains problèmes ne sont pas répertoriés dans cette page d'information sur les correctifs. Mais c'est un grand pas dans la bonne direction.

La fonction Bluetooth Low Energy intentionnellement désactivée

Notre confrère suit plusieurs autres problèmes. Par exemple, dans la nouvelle version 1903 de Win10, si vous utilisez la page Windows Update Advanced Options (Options avancées de mise à jour de Windows) pour définir les reports de mise à jour des fonctions (nouvelle version) à 365 jours, la section entière traitant des reports de mise à jour disparaît. Selon Woody Leonard, il est difficile de dire avec certitude : si ce comportement est un bogue, et non une fonctionnalité ; quels paramètres restent en vigueur après la disparition de la section ; comment il est censé fonctionner. Notre confrère pense plutôt que c'est un bogue, mais certains mettent en doute l'intégrité de Microsoft. Notre confrère ne sait pas comment Microsoft va corriger ce défaut.

Autre souci : les mises à jour cumulées du mois en cours désactivent intentionnellement la fonction Bluetooth Low Energy quand les appareils sont mal appairés. Par ailleurs, elles corrigent une vulnérabilité de sécurité en empêchant intentionnellement les connexions entre Windows et les périphériques Bluetooth qui ne sont pas sécurisés et en utilisant des clés bien connues pour crypter les connexions, y compris les trousseaux de sécurité. Si l'événement BTHUSB Event 22 dans l'Observateur d'événements indique « Votre périphérique Bluetooth a tenté d'établir une connexion de débogage... », cela signifie que votre système est affecté. Contactez le fabricant de votre appareil Bluetooth pour savoir s'il existe une mise à jour pour l'appareil concerné. Pour plus d'informations, consultez les avis CVE-2019-2102 et KB4507623. Notre confrère signale également un rapport mentionnant un conflit probable entre le Win 8.1 Monthly Rollup, KB 4503276, et le pilote Bluetooth 20.120.2 d'Intel. (Thx, @krzemien)

Des mises à jour .NET qui sèment la confusion

Woody Leonard constate aussi toujours autant de confusion autour des mises à jour de .NET. D’après @abbodi, .NET 4.8 n’est pas déployée ou publiée par Windows Update. Mais elle arrive « in the box » si vous utilisez la version 1903 de Win10. Par contre, si vous disposez déjà de la version .NET 4.8, vous recevrez une mise à jour de sécurité séparée pour cette version via Windows Update.

Notre confrère signale aussi d’autres problèmes plus sournois. Par exemple, en ouvrant IE11 après le redémarrage qui intervient après l’application de la mise jour de Windows 8.1, Monthly Rollup KB 4503276, une page s'est ouverte automatiquement pour lui demander de définir les paramètres « recommandés ». En cliquant sur le X à l'intérieur de la page, l'onglet s'est fermé et il a conservé ses paramètres actuels. Woody Leonard a également constaté un problème de Servicing Stack Update (SSU) pour les personnes qui utilisent des serveurs de mise à jour. Apparemment, certains serveurs de mise à jour ont besoin de deux étapes pour « voir » les correctifs du mois en cours : une première étape identifie et installe la mise à jour SSU, et une deuxième étape est nécessaire pour trouver et installer la mise à jour cumulative du mois. Un problème ancien, mais toujours aussi frustrant.

Dans cette série, notre confrère signale encore que des anciens correctifs de microcode Intel (2019-01, 2019-02) surgissent soudainement après l'installation des mises à jour cumulées du mois. Beaucoup de gens se demandent ce qui se passe, parce que les mises à jour apparaissent sur des machines qui ne sont pas concernées par les correctifs. Enfin, il signale aussi un correctif de « défense en profondeur » d'Exchange très mal documenté, décrit dans l'avis 190018.