Microsoft étiquettera désormais toutes les mises à jour servicing stack (SSU) de Windows 7 comme des mises à jour de sécurité, même si elles n'en sont pas. La raison ? Empêcher de nouveau que des PC Windows ne puissent pas installer les derniers correctifs de sécurité.

Microsoft se prépare à rediffuser une mise à jour de Windows 7 datant de deux ans, nécessaire pour éviter "l'erreur 0x8000FFFF" lors de l'installation de ses dernières mises à jour de sécurité.Si les PC Windows 7 de votre entreprise ne parviennent pas à installer les deux dernières mises à jour cumulatives mensuelles de Microsoft ou la mise à jour de sécurité de septembre, c'est car faisait défaut aux systèmes concernés une SSU (servicing stack update) publiée par Microsoft en octobre 2016.

Réinstallation d'une mise à jour d'octobre 2016.

Cette erreur serait le fruit de la nomenclature des correctifs de Microsoft. Cette mise à jour de 2016, KB 3177467, était une "mise à jour complète de la pile de maintenance" pour Windows 7 Service Pack 1 (SP1).Microsoft l'a qualifiée de "critique", mais ne l'a pas classée comme un correctif de "sécurité", ce qui a apparemment conduit les organisations installant uniquement des mises à jour marquées "sécurité" à l'ignorer.

Deux ans plus tard, cette décision - basée sur les communications de Microsoft - a amené certains systèmes Windows 7 à signaler "l'erreur 0x8000FFFF" et empêché ces terminaux d'installer des mises à jour de sécurité critiques.

Ce problème affectait les clients installant le Monthly Rollup Preview KB 4343894 pour Windows 7 SP1 du 30 août, le Monthly Rollup KB 4457144 du 11 septembre, et la mise à jour de sécurité KB 4457145 du 11 septembre."Avec l'installation de la mise à jour de la pile de maintenance Windows 7 SP1 d'octobre 2016 (KB 3177467), puis l'application des mises à jour du 30 août ou du 11 septembre, les mises à jour de 2018 atténuent ce problème" déclare John Wilcox de Microsoft.

Si cette action corrige le problème, les administrateurs gérant les terminaux Windows 7 concernés par ce problème doivent prendre note de la définition de Microsoft des mises à jour servicing stack updates (SSUs)."Les mises à jour de pile de maintenance, ou SSU, sont des mises à jour périodiques publiées pour assurer le service ou la mise à jour spécifique de la pile logicielle pour les plates-formes Windows" explique Wilcox."

Ce sont des correctifs apportés au code qui traitent et gèrent périodiquement les mises à jour nécessitant une maintenance séparée pour améliorer la fiabilité du processus de mise à jour ou adresser des problèmes qui empêchent de mettre à jour d'autres parties de l'OS via une mise à jour cumulative mensuelle (LCU) ."

Les SSU "critiques" et désormais des patchs de sécurité.

En d'autres termes, les SSU pour Windows 7 ne sont pas des mises à jour de sécurité, mais elles sont nécessaires pour recevoir certaines mises à jour de sécurité futures, et c'est pourquoi Microsoft les qualifiait autrefois de "critiques", même si l'éditeur ne les catégorisait pas comme des mises à jour de sécurité.

Cependant, cela va changer désormais et  toutes les SSU seront estampillées "sécurité" et "critique", même si à proprement parler, il ne s'agit pas de mises à jour de sécurité. Et pour cause puisque les clients savent désormais que les futurs correctifs de sécurité de Windows 7 peuvent dépendre des SSU."Quand une mise à jour de la pile de maintenance n'existe pas, il existe un risque qu'un terminal ne puisse pas être mis à jour et sécurisé" note M. Wilcox."Cela fait de la mise à jour de la pile de maintenance un élément clé de la charge utile des correctifs de sécurité.

Cependant, la technologie de mise à jour de Windows 7 et la chronologie d'installation de patch nécessitent que la mise à jour de la pile de maintenance soit traitée à part des mises à jour de sécurité."Pour garantir que les clients Windows 7 ne négligent pas cette dépendance sur KB 3177467, Microsoft réémettra également cette mise à jour avec le Patch Tuesday d'octobre 2018 et, conformément au nouveau schéma d'attribution de noms de Microsoft, elle sera marquée mise à jour de sécurité.Microsoft n'avait pas détecté ce problème jusqu'à maintenant, car ses tests de pré-déploiement n'incluent apparemment pas les systèmes avec des SSU manquants.

"Nous testons nos correctifs mensuels sur des systèmes entièrement patchés et à jour, ce qui explique pourquoi ce problème n'a pas été détecté lors de nos tests, ni par aucun de nos partenaires de préversion" justifie Wilcox."