Des PC sous Windows 10 « entièrement patchés » restent exposés après que Microsoft annule les correctifs de sécurité

Chaque deuxième mardi du mois, Microsoft publie des correctifs pour les failles de sécurité de ses produits.

Il est important que ces failles soient corrigées rapidement et en toute sécurité, avant qu'elles ne soient exploitées par des cybercriminels.  Certaines sont évidemment plus importantes à corriger que d'autres, car les pirates informatiques peuvent déjà exploiter activement les vulnérabilités dans la nature.

C'est le cas ce mois-ci : Microsoft a corrigé au moins 79 failles de sécurité dans son dernier paquet de correctifs, dont certaines étaient déjà utilisées dans des attaques.

Cependant, cette fois-ci, Microsoft a également corrigé un défaut critique dans son code qui avait effectivement « annulé » les correctifs antérieurs pour les vulnérabilités affectant les composants optionnels - y compris, par exemple, Internet Explorer 11, Windows Media Player, MSMQ server core - sur Windows 10, version 1507 (initialement publié en juillet 2015).

La vulnérabilité du système de mise à jour de Windows 10 a eu pour conséquence que les correctifs de sécurité ont été « annulés », laissant certains ordinateurs vulnérables aux attaques depuis mars 2024 jusqu'à cette semaine.

Les utilisateurs n'auraient toutefois pas été conscients du risque, car Windows leur aurait dit (à tort) qu'il s'était mis à jour avec succès et que les correctifs étaient complets.

Toutes les versions de Windows 10 n'ont pas été touchées par la faille.  Mais des systèmes ont bien été laissés en danger à leur insu pendant plusieurs mois à cause du bogue de Microsoft.

Microsoft a publié plus de détails sur la vulnérabilité critique (nommée CVE-2024-43491) ainsi qu'une liste des versions spécifiques de Windows 10 et des composants qui sont vulnérables, et une FAQ sur ce que les utilisateurs concernés peuvent faire pour restaurer les correctifs annulés.

Bien que certaines des vulnérabilités « non corrigées » par la régression accidentelle de Microsoft soient connues pour avoir été exploitées, Microsoft affirme avoir découvert seul le problème et n'avoir vu aucune preuve que la faille CVE-2024-43491 était connue du public.

Il est important de reconnaître que les incidents de ce type sont dignes d'intérêt parce qu'ils sont relativement rares. La mise à jour des systèmes informatiques avec les derniers correctifs de sécurité disponibles reste essentielle.