Windows : le Patch Tuesday d’octobre est disponible

Windows : le Patch Tuesday d’octobre est disponible

Par Sébastien Gavois

Le 09 Octobre 2019 à 09h24
Logiciel
1 min 17

Windows : le Patch Tuesday d’octobre est disponible

Deuxième mardi du mois oblige, Microsoft a publié hier ses correctifs de sécurité pour l’ensemble des éditions de Windows encore supportées.

Windows 10 colmate une série de brèches dans les composants habituels : noyau, Internet Explorer, Edge, l’authentification, le stockage, le moteur de script, la cryptographie ou encore Server. 

Les numéros de versions évoluent en conséquence :

Même situation dans les grandes lignes pour les éditions plus anciennes :

Les mises à jour sont disponibles dans Windows Update et réclameront un redémarrage de la machine. Elles sont cumulatives et installeront les correctifs précédents si, par exemple, la machine est restée hors ligne plus d'un mois.

Commentaires (17)


psikobare
Le 09/10/2019 à 08h41

Les paris sont ouverts pour savoir combien de temps ça va tenir avant un rollback. -de 24h ? une semaine ? plus ?


Buffort Abonné
Le 09/10/2019 à 11h07

Bon sang, mon Windows vient de les installer …. je stresse ……


Tirnon Abonné
Le 09/10/2019 à 11h34

ouf j’ai eu le temps de repousser les maj d’un mois <img data-src=" />


UncleBenZ
Le 09/10/2019 à 12h14







Tirnon a écrit :



ouf j’ai eu le temps de repousser les maj d’un mois <img data-src=" />





<img data-src=" />

Je fais pareil : tous les mois je clique 4 fois pour repousser d’une semaine et donc regrouper toutes les mises à jour une seule fois par mois.

D’autant qu’avec une Surface Go vraiment pas puissante une m.a.j peut prendre plusieurs dizaine de minutes entre le chargement des patchs, l’application, le(s) reboot …

Depuis que l’on ne peut plus bloquer Windows Update “pour notre propre sécurité” c’est vraiment l’enfer surtout quand un patch te met la machine en vrac



serpolet Abonné
Le 09/10/2019 à 13h47

Pour Windows 7, bizarrement, un premier pack cumulatif (KB4524157) en avance, vers le 410 puis un deuxième (KB4519976) en temps normal, aujourd’hui.


TheKillerOfComputer Abonné
Le 09/10/2019 à 14h14

Si si, on peut le bloquer. C’est juste sensiblement plus bourrin (changement de droits d’accès, désactivation de tâches, registre…).


renaud07
Le 10/10/2019 à 01h14

Y’a même plus simple : suffit de désactiver le service, pas besoin de s’emm* avec des patchs en tout genre.



C’est comme la télémétrie avec DiagTrack et Dmwappushservice.



Pour être totalement tranquille, j’ai aussi bloqué les noms de domaines dans mon DNS. Car même désactivé, j’ai remarqué qu’il essayait toujours de résoudre les domaines liés, et encore c’est sur une LTSC (donc la version la plus clean !)


TheKillerOfComputer Abonné
Le 10/10/2019 à 01h41

Euh… Il faudrait se mettre à jour, c’était valable avant la 1703 mais Microsoft a renforcé l’arsenal depuis… 




Il faut désactiver Windows Update, Update Orchestrator, Windows Update Medic Service (WaaSMedicSvc, comme quoi le "as a service" est vraiment de la m...), ainsi que les tâches rattachées dans le planificateur. Les deux derniers sont là pour réactiver tout ce qui serait coupé... sauf que tu n'as pas les droits suffisants pour les gérer, même en admin.      







Il faut donc forcer la main par des changements de droits d'accès des clés correspondantes dans la base de registre et des fichiers tâches en question en passant par des outils genre SETACL.EXE pour dire automatiser la chose sur chaque install à faire. Après il est possible de le couper et on rebootera pour être sûr.




Ça, c’est sur la Familiale. Car sinon, la solution simple est de passer par la GPO. Il faut désactiver “Configuration du service Mises à jour automatiques”, et Windows Update ne le fera plus automatiquement, tu devras faire une recherche de mises à jour manuellement. Ça marche sur la LTSC/Entreprise, à voir sur la Pro simple…


SebGF Abonné
Le 10/10/2019 à 05h25

C’est quand même ironique.

Sur Android on se plaint de l’absence de maintenance et de mise à jour de l’OS.

Sur Windows on se plaint qu’il y a des mises à jour et on fait tout pour les repousser.



<img data-src=" />


Edtech Abonné
Le 10/10/2019 à 07h22

Surtout que les problèmes touchent à peine 0,01% des gens… Evidemment, quand ça nous arrive, c’est chiant, mais se prendre la tête pour un cas très rare, c’est de la paranoïa !


Vincent_H Abonné
Le 10/10/2019 à 08h09

0,01 % de centaines de millions, ça fait plusieurs millions. Au bout d’un moment, le pourcentage devient davantage un outil de communication qu’un véritable outil représentatif.&nbsp;


renaud07
Le 10/10/2019 à 14h54

En effet, je suis plus trop à la page <img data-src=" />



Donc ça veut dire que si j’attends un peu les 2 autres vont réactiver WU même si je l’ai explicitement mis à désactivé ?



Y’a un temps défini ? Car même après plusieurs reboots, il est toujours désactivé et impossible d’installer les MAJ.


SebGF Abonné
Le 10/10/2019 à 15h58

Les utilisateurs de Windows n’avaient à être joueurs de WoW pendant des années.



Le Patch Day, No Play était une tradition. <img data-src=" />


renaud07
Le 10/10/2019 à 17h42







TheKillerOfComputer a écrit :



Il faut donc forcer la main par des changements de droits d’accès des clés correspondantes dans la base de registre et des fichiers tâches en question en passant par des outils genre SETACL.EXE pour dire automatiser la chose sur chaque install à faire. Après il est possible de le couper et on rebootera pour être sûr.



Ça, c’est sur la Familiale. Car sinon, la solution simple est de passer par la GPO. Il faut désactiver “Configuration du service Mises à jour automatiques”, et Windows Update ne le fera plus automatiquement, tu devras faire une recherche de mises à jour manuellement. Ça marche sur la LTSC/Entreprise, à voir sur la Pro simple…







Je viens de tester sur la pro, de modifier la valeur à 4 pour les désactiver et bizarrement ça marche, et une fois reboot c’est toujours pris en compte. (Dans les autorisations, sur le compte admin, j’ai bien contrôle total coché sans avoir rien touché, alors qu’avec la GUI, j’ai un accès refusé)



Sinon je confirme que la modif de la GPO fonctionne également sur la pro, plus de recherche des MAJ <img data-src=" />



Je vais tester la home pour voir.



renaud07
Le 10/10/2019 à 19h08

C’est ok sur la home également, modif à 4 des 3 services, reboot : désactivés. Les droits admin sont aussi présents par défaut (pour peu que l’on soit connecté sur le compte approprié).



Au passage j’ai trouvé ce programme qui fait ça automatiquement :https://www.sordum.org/9470/windows-update-blocker-v1-5/



Encore plus simple, un clic et c’est réglé.


UncleBenZ
Le 10/10/2019 à 20h16







TheKillerOfComputer a écrit :



Si si, on peut le bloquer. C’est juste sensiblement plus bourrin (changement de droits d’accès, désactivation de tâches, registre…).





A l’époque j’avais utilisé l’option “metered connection” qui bloquait les téléchargements pendant un temps, j’ai fini par changer de PC et … installer Mint/Ubuntu <img data-src=" />



Sur la Surface c’est juste pour ne pas être dérangé, je n’ai jamais eu de problème avec les m.a.j. <img data-src=" />



TheKillerOfComputer Abonné
Le 11/10/2019 à 11h29

Ça doit encore se faire effectivement, j’avais oublié la possibilité du metered.









renaud07 a écrit :



Y’a un temps défini ? Car même après plusieurs reboots, il est toujours désactivé et impossible d’installer les MAJ.





Il faut regarder le planificateur. Il y a une tâche WaaSMedic\PerformRemediation, entre autres. Je crois que je coupe aussi tout dans la partie UpdateOrchestrator\ et WindowsUpdate\ mais ça fait un petit temps que je n’ai pas updaté mon script.



Mais oui, je remarque que j’avais coupé les lignes pour le changement d’accès. J’imagine que c’était présent à un moment mais que c’est devenu inutile. Une note parle de tâches retirés depuis la 1803, donc ça a peut-être duré entre 1703 et 1709. Et au pire si ça revient, je décommente les lignes.



Fermer