Les bulletins de sécurité du Patch Tuesday de Microsoft remplacés par une base de données

Le mois dernier Microsoft a annoncé le remplacement des bulletins de sécurité du « Patch Tuesday » par une base de données accessible en ligne. Même si l’ancien système a fait ses preuves et que d’autres fournisseurs de logiciels ont adopté le même type de mises à jour mensuelles comme Adobe, l’utilisation de pages statiques est aujourd’hui démodée.

Ce nouveau système devrait donc être plus facile pour les administrateurs. En effet, au lieu de parcourir un index de documents statiques pour retrouver une information précise, Microsoft a présenté son « Security Update Guidance » (via le bouton « Accéder au tableau de bord ») qui facilitera la recherche d’informations détaillées sur les vulnérabilités et les dernières mises à jour de sécurité pour les logiciels Microsoft : « Au lieu de publier des bulletins décrivant les vulnérabilités associées, le nouveau portail laissera les utilisateurs chercher et consulter des informations sur les vulnérabilités de sécurité depuis une seule base de données en ligne ».

Les bulletins de Novembre 2016 à Janvier 2017 seront publiés dans les deux systèmes celui avec index ainsi que dans le nouveau guide. Après Janvier 2017, les nouveaux bulletins de sécurité Microsoft seront publiés uniquement dans le nouveau système appelé « Security Updates Guide ».

Ce nouveau service devrait apporter plus de souplesse aux administrateurs, en leur permettant de trier et filtrer pour trouver des détails sur un bulletin de sécurité spécifique et ses mises à jour associées. Par exemple, il sera possible de filtrer par catégorie de produits pour trouver toutes les mises à jour qui s'appliquent aux navigateurs web Internet Explorer ou Edge (voir la première capture d’écran ci-dessous). Il sera également possible de combiner les critères pour afficher une liste de mises à jour critiques uniquement pour Windows 10 version 1607. Les requêtes se feront à partir d’une grille dont la sélection de critères supplémentaires permettra donc d’affiner le filtrage. Les détails concernant la vulnérabilité (y compris les numéros CVE, les niveaux de gravité et l'impact) sont masqués par défaut mais pourront être affichés en cochant une ou deux checkbox. Chaque entrée de la grille contiendra des liens vers le KB associé, les détails sur la vulnérabilité et les logiciels concernés.

Des informations plus spécifiques sur les KB seront disponibles en selectionnant sur un produit :

A partir de cette page, les administrateurs auront des détails sur les produits impactés par le KB et pourront télécharger le correctif associé au produit souhaité :

Pour obtenir rapidement des informations sur une vulnérabilité spécifique, il sera possible de réaliser une recherche par numéro de CVE ou KB (voir capture d’écran ci-dessous) :

Lorsque l'on clique sur la référence CVE de la vulnérabilité, la page affichée décrit la vulnérabilité et fournit des informations sur les produits affectés ainsi que le score CVSS :

Il s’agit là du dernier changement de Microsoft après leur décision d'intégrer les mises à jour dans des packages cumulatifs au lieu de fournir des mises à jour individuelles qui peuvent être acceptées ou rejetées.