Microsoft nous a offert hier la plus grosse livraison de l'histoire des Patch Tuesday. Jugez plutôt : pas moins de quatorze bulletins couvrant trente-quatre failles et un spectre de produits touchés plutôt sympa avec des composants Windows, l'inévitable Internet Explorer, Office ou encore Silverlight. Quinze failles sont jugées critiques, huit d'entre elles étant gratifiées du XI maximum. Du côté des failles importantes, sept élévations de privilège sont également jugées exploitables par l'éditeur.
Les paquets massifs de correctifs de ce tonneau ne manquent pas d'amplifier le problème classique du patch management. À savoir la prioritisation des déploiements. D'abord parce que le nombre de patches fait exploser les possibilités, et ensuite parce qu'une foultitude de scénarios d'attaque permettant d'obtenir des privilèges élevés à distance par combinaison s'offrent à l'attaquant.
Le déploiement des patches est un problème classique sur les architectures de production. Et selon le contexte, les priorités ne seront pas les mêmes : certains voudront patcher les failles les plus critiques en premier, d'autres préféreront préserver leur disponibilité en se jettant sur les patches qui ne nécessitent pas de reboot. Sans compter ceux qui voudront commencer par celles présentant le plus grosse risque d'exploitation, même si ce dernier critère est quelque peu subjectif, donc parfois mal apprécié. Mais il faut bien commencer quelque part, me répondra-t-on. Sans parler des critères spécifiques à l'environnement. Etc...
Autant d'approches qui ne manquent pas de donner presque toutes les combinaisons de déploiement possibles et imaginables. L'exercice, combiné aux tests de validation, peut déjà se montrer lourd sur une dizaine de correctifs. Autant dire que sur un trentaine, ça commence à prendre du temps, en particulier quand Murphy s'en mêle ou quand vous devez croiser ça avec la livraison d'un autre éditeur. En fait, je pense qu'il arrive un moment où il est probablement plus efficace de ne pas se poser la moindre question et croiser les doigts ;)
L'autre point, c'est que plus on a de vulnérabilités à corriger annoncées, plus on a de scénarios d'attaque possibles tant que tout n'est pas réglé. Ici, comme je le disais précédemment, parmi les seules failles jugées exploitables par Microsoft, on trouvera huit exécution distance de code et sept élévations de privilèges. Soit un nombre conséquent de possibilité de mat en deux coups, à commencer par la fameuse faille LNK qui fait les titres depuis la semaine dernière. Ce qui ne manquera pas non plus d'influer sur l'établissement des priorités !
Ceux qui aiment les timelines record et autres chiffres à slideware ne manqueront pas, comme Kostya, de s'intéresser à la dernière faille du bulletin MS10-048. On trouverait son origine dans un bug remonté il y a... trois ans et demi... mais jamais pris en compte...
Jeu de briques
Snake
Pacman
Bubble