C’était à nouveau hier le deuxième mardi d'un mois, et Microsoft a fait dans la soirée son traditionnel lâcher de correctifs, toujours réunis en une mise à jour unique et cumulative.
Au total, 55 vulnérabilités ont été corrigées, dont 4 critiques. Parmi les 51 autres, 3 sont également de type 0-day (CVE-2021-31200, CVE-2021-31204 et CVE-2021-31207). Elles avaient été révélées publiquement, mais aucune n’a été exploitée selon Microsoft. Elles ne le seront sans doute jamais, maintenant que les correctifs sont diffusés.
Les failles sont réparties dans un grand nombre de produits, dont .Net Core, Visual Studio, les pilotes Bluetooth, Office, des codecs, Hyper-V, les services de cryptographie, le client RDP, SMB ou encore la gestion du Wi-Fi.
Comme toujours, il est recommandé d’installer ces mises à jour au plus vite. Le redémarrage de la machine est obligatoire pour finaliser la procédure.
Les correctifs sont disponibles pour Windows 7 SP1, Windows 8.1 et Windows 10.
Commentaires (41)
#1
C’est toujours impressionnant de voir une boite info vieille de plusieurs décennies passer leur vie à colmater de brèches dans leurs produits. A ce demander s’ils ton même capables de créer des logiciels sans bug en premier lieu. Apparemment les codeurs de MS n’ont aucune culture de sécurité informatique, même après 20 ou 30 ans de service.
#1.1
Pourrais-tu nous donner le nom de ou des OS, ou des logiciels que tu utilises et qui n’ont jamais eu de patch de sécurité de leur “vie” ?
#1.2
Un OS genre windows, ça doit être plusieurs millions de lignes de code, des centaines de développeurs, venant de différentes équipes, qui doivent mettre ensuite leur travail en commun pour en faire ce qu’on connait.
Si un seul de ces gars fait une erreur, ça peut faire une faille de sécurité.
Réussir à bosser toute l’année 8h par jour sans faire une connerie ? c’est juste impossible, et c’est pas parce qu’on va mettre un panneau “INTERDICTION DE FAIRE DES ERREURS” que les erreurs n’arrivertont plus.
Parfois c’est très difficile de se rendre compte de la connerie. Dans du code parfois, ça semble bon, le compilateur dit qu’il n’y a pas d’erreur, les tests de base montrent que ça marche sans planter. Mais en vérité il y a une ligne où tu t’es trompé et où tu stockes une variable 32 bits dans une variable codée sur 16 bits.
Et là commence le drame….
Sur beaucoup de langages les conversions implicites ont été supprimées pour ça. Trop facile et trop dangereux de faire une bourde invisible. Mais des possibilités de se tromper sans que ça se voit, il y en a, et il y en a beaucoup !
#1.3
Je préfère un système qui reçois des patchs tous les mois plutôt qu’un système qui ne reçois jamais rien. D’ailleurs je fuis les systèmes qui n’ont pas de mise à jour régulière !
Aussi bien sur Linux, MS ou encore Apple cela veux dire qu’il y a signe de vie et du support.
Et que l’on ne me dise pas que Linux n’a pas de mise à jour cela n’existe pas ou alors tout simplement que c’est un système/archi est abandonné/sans support.
#2
N’étant pas programmeur, j’ignore si il existe dans cet art une méthode pour éviter ou traiter systématiquement les failles de sécurité en amont. Par contre il est vrai que des programmes avec des failles il y en a partout. Quelques soient l’OS ou le navigateur Internet, il y a toujours des mises à jours “mineures” qui viennent corriger régulièrement ce type de problème (majeur).
Et dire que Microsoft n’a aucune culture de sécu… c’est un peu fort de café. Ils m’ont tout l’air réactif. Etant donné leur place prédominante dans l’écosystème, il y a un devoir de crédibilité sur ce point.
Par contre, on peut se montrer bien plus étonné de certaines sorties d’upgrade majeur de Windows 10 avec des problèmes qu’on aurait jamais pensé avoir. Là, par contre, l’accélération des développements de fonctionnalités avec leur déploiement plus fréquent est un changement de culture qui n’est peut-être pas le meilleur, ou à défaut, pas (encore) réussis.
#3
C’est l’effet jour férié ou on est déjà sur les Troll du Vendredi ?
#4
#5
Le problème particulier de windows, il me semble, c’est surtout le poids des années: On voit bien qu’il leur est quasiment impossible de refaire propre tout ce qui a un jour été fait de manière non optimale si ce n’est avec les pieds. Trop de softs applicatifs métier, de drivers matériels, dont on a paumé les sources depuis au moins 2 décennies seraient cassé: Assurer une compatibilité binaire, pour Intel comme Microsoft, c’est quand même un sacré fardeau.
Le noyau Linux, ils essaient de ne pas trop casser ce qui touche l’applicatif. Mais pour ce qui est interne noyau/modules, si cela se révèle un jour limitant, pas de problème à dynamiter et reconstruire propre quand de l’autre côté on sort le pot de peinture… puis les rustines.
#5.1
Même si je pense être largement hors sujet, quand je vois le quasi abandon de Windows 10X, je me dis que ton propos est largement recevable…
Reconnaître qu’on s’est fourvoyé et repartir d’une page blanche n’est pas donné à tout le monde.
#6
Il y en a, comme partout. Mais 55 failles ce mois, pas certain qu’on en ait un jour atteint le cinquième! Puis niveau confort, c’est pas de l’incrémental (bonjour windows réinstallé à partir d’une iso de +6mois) et on ne s’en prends pas une couche à l’arrêt et au(x) redémarrage(s). C’est direct dernier niveau de patch et en une seule fois: Sur ce sujet, excuse moi, mais Microsoft reste pitoyable.
#7
Moi ce qui me surprend c’est que Windows 7 est inclus dans les correctifs.
#7.1
Seulement pour W7 Extended Security Updates, ESU (payant, jusque 2023)
#7.2
C’est que dans le lot il doit y avoir certaines failles critiques.
Je crois me souvenir que MS avait publié quelques patchs colmatant des failles critiques sur XP pas mal de temps après la fin du support officiel mais vu le taux d’utilisation qu’il restait à XP à ce moment ils n’avaient pas trop le choix et je pense que là c’est pareil avec Win7 qui conserve probablement encore aujourd’hui pas mal d’utilisateurs (m’enfin peut être plus pour très longtemps vu l’absence totale de support sur les plateformes modernes : ayant récemment mis à jour ma machine avec un Ryzen 5600x + CM en chipset B550 et malgré pas mal de temps passé à chercher pas moyen de trouver un pilote fonctionnel pour l’USB sur le WIn7 que je gardais en dualboot au cas où, du coup j’ai fini par le dégager complètement)
#7.3
non, rien pour W7 sans ESU (seulement la mensuelle MRT : Malware Remote Tool)
#8
J’aimerai bien pouvoir mettre à jour toutes mes machines windows mais l’une des mises à jour refuse de s’installer sans aucune option de contournement. Du coup, je me retrouve dans une situation à la android avec une machine trouée de partout non mise à jour depuis plus d’un an.
Mes recherchess m’ont permis de savoir que je n’était pas le seul et qu’il n’y avait pas de solution tant que microsoft ne proposait pas de solution à cela.
Encore merci microsoft de bien documenter les failles qui ne peuvent pas être corrigées chez tout le monde
#8.1
Question : Serait-ce une machine ou tu as installé peu ou prou la couche de réalité virtuelle de Windows ?
#8.2
Non, je n’ai installé de spécial. C’est une tablette pc acer et l’erreur remontée est toujours la même: erreur 0x8007000d : certains fichiers sont manquants ou présentent des problèmes.
J’ai vidé le cache de pleins de manières, tenté l’install en manuel en récupérant la mise à jour cumulative 20H2 depuis le catalogue windows update : toujour le même problème.
#8.3
Est-ce la màj KB5001330 ? Si oui, on ne sait jamais si ça peut résoudre ton problème (en tout cas la procédure a réussi pour moi), je te recommande le lien https://www.windowslatest.com/2021/04/21/april-2021-patch-is-now-causing-trouble-for-more-windows-10-users/ et de réaliser la commande dism dont ils parlent pour supprimer la couche holographique… J’avais exactement les mêmes messages et code d’erreur que toi.
Je serais intéressé de connaître le résultat de ton côté je t’avoue.
#8.4
Non, c’est la KB5003173 mais je vais aller voir ton lien. Là, je désinstalle les logiciels à tour de bras pour voir si l’un d’entre-eux a causé le problème.
Quand il ne restera qu’un windows nu et ses pilotes, je serais fixé
#8.5
A priori, je n’ai pas cette fonctionnalité sur ma 1904. je vais continuer sur la désinstallation.
Au pire, je met linux comme sur mes autres portables
#8.6
Ce serait plus simple de réinstaller complètement Windows 10. Comme tu es enregistré sur la base de MS, ta tablette sera reconnue sans problème et les bons pilotes seront installé
Encore faut-il que tu disposes d’un port USB3 sur cette tablette pour lancer l’installation après avoir téléchargé auparavant dessus l’installateur de W10 ici
https://www.microsoft.com/fr-fr/software-download/windows10
#8.8
Merci pour le conseil, c’est ce que j’avais conclus de mon côté. Il semble qu’il y aie un gros mic mac avec de vieux drivers ou l’ancien antivirus qui bloque tout.
Mais, vu qu’aucun pilote vidéo adapté à mon matériel n’arrive à s’installer depuis des mois (replis sur un driver universel par défaut avec accélération logicielle), il semble que cela soit plus grave qu’un simple problème d’installation windows.
#8.7
Salut,
MS abandonne le support de la 1909 ce mois ci…
Je te conseille de faire une clef d’installation de la version 20H2 avec leur outil et de réinstaller ton Acer :
https://answers.microsoft.com/fr-fr/windows/forum/windows_10-windows_install-winpc/t%C3%A9l%C3%A9charger-windows-10-avec/c5c2894d-5e50-45a2-bb45-c6f2033fc0a4
18 mois de support pour les versions de Windows 10, cela devient pire qu’Apple (3 ans me semble t il).
#8.9
Le media creation tool échoue sur mon PC principal (celui qui est à jour): code d’erreur 0x800704DD - 0x90016 que j’ai dû recopier à la main vu qu’il est impossible de sélectionner le contenu de la fenêtre : du microsoft tout craché
#9
Y’a le pont !
#10
La barre des actualités affiche la météo avec un texte complètement flou.
#11
Essaye avec Rufus.
#12
J’ai réussi avec l’installeur spécifique 20H2 disponible via la lien posté par alain_du_lac .
Il m’a quand-même fallu plusieurs essais car la création de la clef USB d’installation nécessite de démarrer une session admin. Le lancer avec les droits admin ne lui suffit pas.
J’ai bien ri quand j’ai lu sur la fenêtre “vous pouvez continuer à utiliser votre ordinateur normalement”, … en admin.
#12.1
Sinon un sfc /scannow en admin peut dépanner avant de trop s’éparpiller pour trouver d’où vient le mal.
Ou encore avec DISM.
Réparer W10 CMD
#13
Janvier : 83 corrigées dont 10 critiques.
Et c’est le 1er lien que j’ai regardé sur Google, je ne suis pas allé plus loin.
#14
Je ne suis pas spécialement fan de microsoft mais je ne peut que constater les efforts importants réalisés par les équipes pour rattraper les années Bill Gate qui ont été terribles, techniquement parlant.
Bill voulait un système totalement monolythique et cela a conduit à ce que des couches basses de l’OS telles que les gestion de l’affichage des dossiers de xp, dépende de l’appplicatif Internet Explorer.
Ce n’est qu’un exemple du système spaguetti qu’était devenu windows. Normal avec un architecte en chef qui avait en seule expérience technique d’avoir fait un peu de basic à ses débuts.
Donc, quand Bill a arrêté d’imposer des choix technique mauvais à ses équipes qui s’en arrachaient les cheveux, les techniques ont enfin pu commencer à remonter la pente et il reste un travail considérable à faire vu le passif.
Après, je ne pense pas qu’il soit raisonnable de s’ammuser à comparer avec linux car je doute fort que le noyau de linux soit obligatoirement plus facile à maintenir que celui de windows.
#15
Je parlais du nb de rustines/mois comparées Linux/Windows, c’était certes pas forcément clair… Je ne doute pas que ce mois particulier ne soit le pire exemple pour Microsoft: “Capables du meilleur comme du pire, mais c’est dans le pire qu’ils sont les meilleurs!”
Le pire allant jusque dans l’application des patchs, lent comme un jour sans pain.
#16
Niveau élégance de conception c’est quand même pas pareil. Et quand un type de matériel évolue et que le driver model n’est plus adapté c’est dynamitage en règle.
C’est simple, tous ceux qui ont fait un jour du Linux après du Windows ne veulent plus y retourner. Ou alors faut vraiment sortir les ronds: On se dirige à grande vitesse vers ce qui s’est produit avec windows CE/embedded il y a 15 ans, quand il devenait impossible de recruter pour travailler là dessus avec Linux qui s’imposait partout dans l’embarqué et des développeurs qui ne voulaient plsu entendre parler de ce tas de m… après avoir connu autre chose.
#17
Comparer les corrections de faille Linux/windows, c’est plus de la branlette intellectuelle qu’autre chose. L’important est que ca soit corrigé, et ce d’autant plus rapidement que la faille est critique. donc ce qui serait intéressant de voir, plus que le nombre, c’est le délai moyen de correction…
#18
Le nombre importe aussi, car en programmation comme dans la vraie vie, une faute comparable aura souvent des conséquences dépendantes de l’endroit ou on la fait… et au final, le nombre, c’est pas parfait mais prendre un aspect qualitatif trop souvent subjectif en compte l’est AMHA encore moins: Là on tombe très vite dans la branlette pseudo intello.
Puis plus il y en a, plus cela emmerde l’utilisateur.
Nier l’intérêt du nombre, c’est comme dire que plier de la taule au volant c’est pas grave. Sauf que le jour ou il y a quelqu’un en face et non un poteau, on alimente un autre type de statistique: Un ratio matériel/corporel de l’ordre de 10. Le qualitatif sur ce type de sujet équivaut à s’en remettre à la chance.
#19
OK… ben voilà
Linux: 120 vulnérabilités par produits comptabilisées (en 2021)
Microsoft (tout confondu): 13 vulnérabilités par produits comptabilisées
Et pour se rapprocher le plus de ce que peut regrouper Microsoft tout confondu, on a Debian 49 vulnérabilités par produit comptabilisées. Oh wait, j’utilise Firefox (Mozilla 83 vulnérabilités par produit) sur Debian.
Ben non, le nombre n’exprime rien, les chiffres on leur fait dire ce que l’on veut. Ces stats ne disent rien de la gravité des vulnérabilités, de leur délai de correction, du taux d’application des corrections… sinon, il faut dire qu’utiliser Firefox sur Debian, c’est comme jongler avec des torches enflammées dans le dépôt d’un artificier le 10 juillet.
#20
Microsoft ventile sur 613 produits, Debian sur 6 fois moins environ… et Linux c’est plusieurs versions de noyau supportées.
Non, c’est que Firefox (Rust ne tiendrait pas ses promesses? Etonnant!) n’étant pas un produit microsoft, sur windows il n’est pas comptabilisé alors que faisant partie de la distribution chez Debian, il l’est. Et ce n’est pas un exemple unique (y’a la suite bureautique etc).
Niveau purement OS, Linux c’est 60 CVE sur 2021 pour l’instant:
https://www.cvedetails.com/vendor/33/Linux.html
Et encore, même pas certain que ce ne soit compté de manière multiple (derniers kernels stable, actuellement 2 +LTS encore sous support, actuellement 6?).
Et en tout cas, niveau confort d’application des rustines, c’est juste incomparable.
Sinon on peut aussi prendre HP, dans le genre je ventile sur une tétrachiée de “produits”: Avec l’arrondi ils en arrivent à 0 failles par produit!!!
Common Vulnerability… Enculade?
#20.1
Je voulais juste illustrer le fait qu’un nombre ne veut rien dire, toi tu ajoutes des nombres… et ça ne veut toujours rien dire.
Déjà, tu te restreins au noyau Linux, alors que quand on parle de Windows, on ne parle pas que du noyau. Pour un minimum d’honnêteté, il faudrait que tu ajoutes les failles dans les couches au dessus du noyau Linux.
Et encore, ça ne voudrait toujours rien dire parce que ça ne représenterait ni la gravité de la vulnérabilité (y a-t-il élévation de privilège ou un bête DDoS? c’est en local ou à distance? on peut voler/corrompre des données ou pas? quel est la facilité de mise en œuvre?), ni le délai de publication du correctif, ni le délai d’application du correctif par les admins des machines, ni la protection par des logiciels tiers type antivirus…
Bref, tout ça ne veut absolument rien dire, c’est comptabiliser des choux et des bananes. Tiens, dans les bananes, tu comptes toutes les vulnérabilités d’Android dans les failles Linux? Stagefright est pourtant daté et connu mais présent sur un nombre important de terminaux en circulation. Ca me parait bien pire que les dernières CVE sous Windows.