La semaine dernière c’était le patch Tuesday de Windows. À ce titre, Windows 10 et 11 ont reçu des mise à jour de leur noyau, notamment pour corriger des vulnérabilités. Malheureusement, l’un de ses correctif cause plus de problèmes qu’il n’en résout.
Mardi 15 juin, Microsoft a déployé 63 correctifs dans le cadre de sa mise à jour de juin 2023 pour Windows 11 et Windows 10. Pour certains utilisateurs, cette dernière mise à jour fait planter Google Chrome à cause de MalwareBytes. Pire encore, NeoWin vient de découvrir que l’un des correctifs peut causer de gros dégâts. Destiné à combler une vulnérabilité trouvée dans le noyau de Windows, ce correctif peut causer un bug fatal de l’OS.
Une vulnérabilité à corriger dans Windows 10 et 11
Baptisée CVE-2023-32019, la vulnérabilité originelle est décrite par Microsoft ainsi : “Un utilisateur authentifié (attaquant) peut provoquer une vulnérabilité de divulgation d’informations dans le noyau de Windows. Cette vulnérabilité ne nécessite pas de privilèges d’administrateur ou d’autres privilèges élevés. L’attaquant qui réussit à exploiter cette vulnérabilité peut voir la mémoire heap d’un processus à privilège qui s’exécute sur le serveur.”
En fin de compte, cette vulnérabilité, bien que potentiellement dangereuse, ne constitue pas une menace immédiate pour la plupart des utilisateurs. Mais le comble, c’est que le correctif déployé en constitue une autre. Sur son blog dédié aux mises à jour, Microsoft précise :
“IMPORTANT : le correctif décrit dans cet article introduit une rupture potentielle. Par conséquent, nous publions la modification désactivée par défaut avec l’option de l’activer. Dans une prochaine version, cette résolution sera activée par défaut. Nous vous recommandons de valider cette résolution dans votre environnement. Ensuite, dès qu’elle est validée, activez la résolution dès que possible.“
Faut-il télécharger la dernière mise à jour de Windows ?
La difficulté est de savoir s’il faut télécharger ou non la dernière mise à jour du 13 juin (KB5027231/KB5027223/KB5027219). D’une part, cette mise à jour contient des correctifs de sécurité qu’il faut absolument installer sur sa machine Windows, d’autre part Reddit regorge de retours d’utilisateurs se plaignant que la dernière version de Windows a, pour citer un utilisateur malchanceux, “royalement ****** mon PC“.
Les utilisateurs ont la possibilité d’activer ou de désactiver le correctif en fonction du système d’exploitation utilisé. Par défaut, ce correctif est désactivé et Microsoft indique sur une page d’aide quand il doit l’être. A priori, il n’y a donc pas de risque à télécharger la mise à jour pour la plupart des utilisateurs.