Windows 10 : un patch Tuesday d’Avril bien fleuri à la place de la Spring Creators Update (ce n’est pas encore le bouquet…) !

Souvent recalé ou critiqué, on ne pourra sans doute pas reprocher à Microsoft de faire un excès de zèle sécuritaire puisque le géant Californien a décidé, semble t-il, de ne pas déployer la version finale de la Build 17133.73 – 1803 – alias Spring Creators Update qui ne serait, d’ailleurs, pas son nom définitif, selon les rumeurs… Pour l’heure, ce qui est sûr, c’est que le sacro-saint patch Tuesday de ce mois d’Avril intègre pas moins de 67 vulnérabilités en guise de consolation ; pour le reste, il faudra vraisemblablement patienter quelques jours ou semaines…

 

 

 

Comme détaillé sur le blog >ZeroDayInitiative.com< par Dustin Childs, 42 de ces vulnérabilités sont qualifiées d’importantes par la firme de Redmond dans son bulletin d’Avril 2018 contre « seulement » 24 de critiques et 1 de modérée. L’expert sécuritaire attire l’œil sur une faille située dans les claviers sans-fil – wireless – Microsoft (modèle 850, cf. CVE 2018-8117) permettant de contourner le système (grâce à l’exploitation de la clé de chiffrement AES, un requis obligatoire) auquel est relié ce périphérique pour mieux surveiller les frappes (y compris lors de saisies « sensibles » comme les mots de passe ou numéros de compte) voire procéder à une injection malicieuse de code. Le nom de « duqu » (cf. seconde partie de news) est évoqué par l’analyse sécuritaire puisque plusieurs failles (CVE 2018-1016, 1010, 1012, 1013 et 1015) ont pour origine un défaut dans certaines polices de caractères… Un détail fâcheux qui appelle à la prudence en évitant, comme préconisé par Dustin Childs dans son billet du 10 Avril dernier, d’éviter au maximum les tâches avec un profil possédant un privilège très étendue (administrateur). Enfin, il est a noter que l’outil Malware Protection Engine (CVE 2018-0986) contient potentiellement une vulnérabilité lors d’analyse de fichiers ou dossiers ce qui pourrait permettre à un individu malveillant d’exploiter ce bug en prenant le contrôle distant du terminal ciblé et d’installer le(s) programme(s) souhaité(s) voire modifier / effacer certaines données ou pire créer un nouveau compte avec élévation de privilèges accrue. La manipulation frauduleuse a pour point de départ un faux site d’où sera exposé les données et le compte de l’utilisateur. Une attaque via mail ou « Instant Messenger » peut être également le vecteur de cette vulnérabilité. Là aussi, si la mise à jour (patch) n’est pas automatique via l’Update de votre Windows, empressez-vous de l’appliquer car elle touche la plupart des systèmes Windows intégrant Windows Defender dont la version « moteur » doit être la 1.1.14700.5 (version patchée, donc). Pour ce faire aller dans la configuration puis ouvrez Windows Defender, allez dans « A propos » et vous aurez, en plus de la version des définitions, la version du moteur « moteur » qui doit être égale (si déjà patchée) au numéro de version indiquée précédemment.

 

 

Ainsi, pour l’heure, voilà sûrement, faute de communiqué officiel, ce qui a contraint la firme de Redmond a reporter la Build 17133.73 dont les Insiders (programme de bêta par différents degrés d’évolution de pré-version de Windows10) ont pu voir l’appellation « next » se profiler au détour d’une mise à jour, à moins que cela ce veuille tout simplement signifier « version prochaine » (mais alors cela aurait été écrit « next version » et non « version next » diront les plus pointilleux).

(Source : WindowsCentral.com)

 

Microsoft nous donnera très vite le mot de la fin, faut de mieux en attendant… A suivre !

 

 

Source : Blog Microsoft – 27 Mars 2018 (MAJ du 10 Avril 2018) – Windows 10 Build 17133.73.