Prévisions du Patch Tuesday de novembre 2023 : début de l’année 21

Les prévisions d’octobre concernant un grand nombre de CVE résolues dans Windows 10 et 11 et le récent record du nombre corrigé dans Windows Server 2012 étaient parfaits ! Microsoft a résolu 75 CVE dans Windows 11, 80 dans Windows 10 et 61 dans Server 2012 R2. Bien que Server 2012 et Server 2012 R2 soient en bon état à court terme, ne comptez pas dessus longtemps et n’oubliez pas qu’ils passent aux mises à jour de sécurité étendues ce mois-ci. C’était une belle manière de mettre fin à 20 ans de Patch Tuesdays !

Une nouvelle décennie de Patch Tuesday

La semaine prochaine, nous entrons dans la troisième décennie des versions du Patch Tuesday de Microsoft. Le Patch Tuesday a eu un impact significatif sur l’industrie du logiciel. Les mises à jour logicielles dans tous les domaines étaient aléatoires et fortuites jusqu’à ce deuxième mardi d’octobre 2003. Microsoft a décidé de fournir une certaine prévisibilité à ses versions logicielles en annonçant des mises à jour régulières, ce qui a rapidement engendré le début d’un processus de gestion des correctifs.

Les administrateurs informatiques pouvaient enfin planifier et informer leur organisation des mises à jour logicielles à venir, puis les déployer de manière ordonnée. L’adoption des correctifs s’est améliorée et il n’a pas fallu longtemps pour que d’autres fournisseurs adoptent la même approche, en les publiant souvent en collaboration avec Microsoft, ou du moins selon leur propre calendrier régulier et annoncé à l’avance. En plus de l’amélioration par Microsoft de ses outils de gestion des correctifs, toute une industrie a fourni un large éventail d’outils à l’usage des services informatiques. Je n’ai pas besoin de prévoir une autre décennie de croissance et d’améliorations continues.

L’expertise en sécurité de Microsoft

L’une de ces améliorations est Microsoft Security Copilot, qui a été introduit pour un accès anticipé et limité. Selon l’annonce, il s’agit « d’un assistant IA pour les équipes de sécurité qui s’appuie sur les derniers modèles de langage à grande échelle et exploite l’expertise en sécurité de Microsoft et les renseignements sur les menaces mondiales pour aider les équipes de sécurité à devancer leurs adversaires ». Il peut nécessiter des requêtes en langage courant, consulter les renseignements sur les menaces de Microsoft, des bibliothèques de connaissances approfondies en matière de sécurité et d’autres sources Microsoft pour fournir une analyse et des recommandations d’action. Il peut fournir des résultats sous forme de texte, de code, de diagrammes, etc. qui peuvent être spécifiques aux produits Microsoft. Cela peut considérablement étendre les connaissances et les capacités de l’équipe de sécurité en matière de sécurité.

Ce produit constitue un élément important de la Secure Future Initiative de Microsoft visant à utiliser l’IA de diverses manières, notamment en matière de cyberdéfense et de progrès en matière d’ingénierie logicielle, tout en garantissant que l’IA est utilisé de manière responsable mondial.

Windows 11 23H2

Microsoft a officiellement publié Windows 11 23H2 le 31 octobre. Il est disponible via une image ISO pour une nouvelle installation et sous forme de package d’activation à partir de Windows 11 22H2 que nous n’avons vu pour aucune mise à jour récente des fonctionnalités. Il inclut toutes les mises à jour des fonctionnalités « Moment 4 » publiées le mois dernier pour Windows 11 22H2. Comme je l’ai mentionné le mois dernier, une fonctionnalité de sécurité importante de cette version est le Windows Passkey Manager qui utilise des données biométriques ou des clés de sécurité pour se connecter à des sites Web sans mot de passe, aidant ainsi à lutter contre les attaques de phishing.

Atlassien

Il y a quelques CVE importants à connaître ce mois-ci. Atlassian a de nouveau fait l’actualité avec des exploits ciblant sa technologie Confluence Data Center et Server. Début octobre, ils ont signalé que CVE-2023-22515 était attaqué et maintenant CVE-2023-22518 se trouve dans la même situation. Ceux-ci sont tous deux classés CVSS 10.0, des mises à jour immédiates sont donc recommandées. Et concernant CVSS, FIRST a annoncé la sortie bureautique de CVSS version 4.0 le 31 octobre comme prévu. Attendez-vous à voir bientôt une référence aux nouveaux scores CVSS 4.0 de Microsoft et d’autres.

Prévisions du Patch Tuesday de novembre 2023

• Attendez-vous à un plus petit nombre de CVE traités la semaine prochaine dans les systèmes d’exploitation Microsoft après la grande poussée du mois dernier. L’accent pourrait être mis davantage sur les applications Office et peut-être sur une mise à jour du framework .NET.
• Adobe a été cohérent avec les mises à jour majeures à la fin de chaque trimestre, j’anticipe donc la prochaine en décembre. Si un Zero Day important fait surface, ils pourraient publier quelque chose la semaine prochaine, alors surveillez toujours une annonce préalable dans les prochains jours.
• Apple a publié cette semaine des mises à jour de sécurité pour Sonoma, Ventura et iOS, alors assurez-vous de les prendre en compte dans votre déploiement de correctifs pour la semaine prochaine si vous ne l’avez pas déjà fait. Soyez à l’affût d’une mise à jour de Monterey au cas où certains CVE s’appliqueraient à ce système d’exploitation.
• Le canal ChromeOS LTS a été mis à jour cette semaine vers 114.0.5735.339, traitant de 5 CVE les mieux notés. Tenez-en compte la semaine prochaine si vous ne les avez pas déployés. Il y a eu des mises à jour bêta cette semaine pour Chrome Desktop et ChromeOS standard, alors attendez-vous à ce qu’elles soient publiées la semaine prochaine.
• Mozilla a publié sa dernière série de mises à jour pour Firefox, Firefox ESR et Thunderbird le 24 octobre, nous pourrions donc voir quelques mises à jour mineures la semaine prochaine.

L’importance du Patch Tuesday s’est accrue au fil des années. Les menaces ont considérablement augmenté depuis ces premiers jours, à tel point que les correctifs publiés mardi doivent être distribués rapidement pour se protéger contre le jour zéro et le grand nombre de vulnérabilités signalées. Continuez à mener le bon combat la semaine prochaine alors que commence l’année 21 des Patch Tuesdays.