Microsoft n’a pas dit un mot mardi sur les raisons qui l’ont amené à différer la publication de sa mise à jour de sécurité mensuelle, longtemps dénommée Patch Tuesday. Dans un bref billet, il présente ses excuses et indique avoir découvert à la dernière minute un problème pouvant avoir un impact sur certains clients et qui n’a pas été résolu à temps pour la mise à jour prévue le 14 février. Or, cette mise à jour devait apporter un correctif pour une faille zero day affectant la gestion du traffic SMB, rappelle le spécialiste en sécurité Qualys. Du côté des logiciels Adobe, trois correctifs ont été récemment fournis dont celui identifié sous l’appellation APSB17-04 qui touche Windows, Mac, Linux et ChromeOS. Si ces failles ne sont pas corrigées, des attaquants pourraient prendre le contrôle complet d’un système, souligne dans un billet Amol Sarwate, directeur de l’ingénierie du spécialiste en sécurité Qualys.
Le report intervenu cette semaine dans la livraison du Patch Tuesday fait suite à une précédente annonce de Microsoft que les différents correctifs ne seraient plus disponibles individuellement mais rassemblés. L'éditeur de Redmond avait prévu de modifier ce mois-ci son système de mise à jour de sécurité qui recourait jusque-là à des bulletins du type MS17-001 pour désigner les différentes vulnérabilités prises en charge. Après le 10 janvier, il prévoyait un autre fonctionnement : Security Updates Guide. La cause du problème est peut être à chercher sur cette mise en place.
Un problème sur l'infrastructure de mise à jour ?
Selon un expert du sujet, Chris Goettl, responsable produit d’Ivanti (ex-Shavlik), cité par Computerworld, l’absence de livraison intervenue mardi est sans doute dûe à un problème rencontré par Microsoft sur l'infrastructure du service de mise à jour plutôt qu’à un correctif particulier. Ivanti est spécialisé dans la gestion des correctifs. « A mon avis, quelque chose est cassé dans l’infrastructure, dans Windows Update ou dans le catalogue », estime Chris Goettl. Pour lui, c’est un souci sur le back-end qui a probablement causé ce retard sans précédent. Les autres éventualités sont moins probables selon lui. Considérer par exemple qu’un seul correctif, ou bien l’un des composants d’un correctif, puisse contraindre Microsoft à repousser d’un mois l’ensemble du Patch Tuesday ne semble pas raisonnable, pointe Chris Goettl, en particulier parce que tous les patches ne sont packagés avec les mises à jour de Windows. Ceux destinés à Office, notamment, sont livrés séparément, et ceux concernant Internet Explorer devaient en être extraits ce mois-ci.
Microsoft a indiqué que les correctifs de février seraient livrés avec la mise à jour du 14 mars prochain.