На этой неделе Microsoft выпустила 50 обновлений для исправления уязвимостей в экосистемах Windows и Office. Хорошая новость заключается в том, что в этом месяце обновлений Adobe или Exchange Server не будет. Плохая новость заключается в том, что есть исправления для шести эксплойтов нулевого дня включая критическое обновление основного компонента веб-рендеринга (MSHTML) для Windows. Мы добавили обновления Windows в этом месяце в наш график «Исправить сейчас», а обновления Microsoft Office и платформы разработки могут быть развернуты в их стандартных режимах выпуска. Обновления также включают изменения Microsoft Hyper-V, криптографических библиотек и Windows DCOM все из которых требуют некоторого тестирования перед развертыванием.
Вы можете найти эту информацию в обобщенном виде в нашей инфографике .
Содержание статьи
Ключевые сценарии тестирования
Нет сообщений о высокой степени риска изменения в платформе Windows в этом месяце. В этом цикле исправлений мы разделили наше руководство по тестированию на два раздела:
Изменения в компонентах Microsoft OLE и DCOM являются наиболее технически сложными и требуют больших деловых навыков для отладки и развертывания. Сервисы DCOM нелегко создать и может быть сложно поддерживать. В результате для большинства предприятий они — не лучший выбор для самостоятельного развития.
Если в вашей ИТ-группе есть сервер (или служба) DCOM, это означает, что он должен быть там — и от него будет зависеть какой-то ключевой элемент бизнеса. Чтобы управлять рисками, связанными с этим июньским обновлением, я рекомендую вам иметь готовый список приложений с компонентами DCOM, чтобы у вас были две сборки (до и после обновления), готовые для параллельного сравнения, и достаточно времени для полного протестируйте и при необходимости обновите свою базу кода.
Известные проблемы
Каждый месяц Microsoft включает список известных проблем, связанных с операционная система и платформы, включенные в этот цикл обновления. Вот несколько ключевых проблем, связанных с последними сборками от Microsoft, в том числе:
- Как и в прошлом месяце, системные и пользовательские сертификаты могут быть потеряны при обновлении устройства с Windows 10 версии 1809 или более поздней на более новую версию Windows 10. Microsoft не предоставила никаких дополнительных рекомендаций, кроме перехода на более позднюю версию Windows 10.
- Возникла проблема с японским редактором метода ввода ( IME ), который генерирует неправильный текст Furigana . Эти проблемы довольно часто встречаются с обновлениями Microsoft. Редакторы IME довольно сложны и уже много лет являются проблемой для Microsoft. Ожидайте обновления этой проблемы с японскими символами в конце этого года.
- В связанной проблеме, после установки KB4493509 устройства с некоторыми установленными азиатскими языковыми пакетами могут видеть ошибку «0x800f0982 — PSFX_E_MATCHING_COMPONENT_NOT_FOUND». Чтобы решить эту проблему, вам необходимо удалить, а затем переустановить языковые пакеты.
Поступало несколько сообщений о том, что системы ESU не могли завершить обновления Windows в прошлом месяце. Если вы используете более старую систему, вам придется приобрести ключ ESU. Самое главное, вы должны активировать его (для некоторых это ключевой шаг). Вы можете узнать больше об активации ключа обновления ESU в Интернете .
Вы также можете найти сводку Microsoft об известных проблемах для этого выпуска на одной странице .
Основные изменения
На данный момент для июньского цикла было два основных обновления предыдущих выпущенных обновлений:
- CVE-2020-0835 : это обновление функции защиты от вредоносных программ Защитника Windows в Windows 10. Защитник Windows обновляется ежемесячно и обычно каждый раз создает новую запись CVE. Итак, обновление записи CVE Защитника необычно (это не просто создание новой записи CVE для каждого месяца). Это обновление (к счастью) относится к соответствующей документации. Никаких дополнительных действий не требуется.
- CVE-2021-28455 : эта редакция относится к другому обновлению документации, касающемуся базы данных Microsoft Red Jet. Это обновление (к сожалению) добавляет Microsoft Access 2013 и 2016 в список уязвимых. Если вы используете базу данных Jet "Red" (проверьте свое промежуточное ПО), вам придется протестировать и обновить свои системы.
В качестве дополнительного примечания к обновлению Защитника Windows, учитывая все события, происходящие в этом месяце (шесть открытых эксплойтов!), Я настоятельно рекомендую вам убедиться, что Защитник обновлен. Корпорация Майкрософт опубликовала дополнительную документацию о том, как проверить и обеспечить соответствие для защитника Windows . Почему бы не сделать это сейчас? Это бесплатно, а Defender довольно хорош.
Смягчения и обходные пути
На данный момент Microsoft не опубликовала какие-либо решения или обходные пути для этого июньского выпуска.
Каждый месяц мы разбиваем цикл обновления на семейства продуктов (в соответствии с определением Microsoft) со следующими основными группами:
- Браузеры (Internet Explorer и Edge);
- Microsoft Windows (настольный и серверный);
- Microsoft Office;
- Microsoft Exchange;
- Платформы разработки Microsoft ( ASP.NET Core, .NET Core и Chakra Core);
- Adobe (в отставке ???)
Браузеры
Похоже, мы вернулись к нашему обычному ритму минимальных обновлений браузеров Microsoft, поскольку у нас есть только одно обновление Microsoft Проект хрома ( CVE-2021-33741 ). Это обновление браузера было оценено Microsoft как важное, поскольку оно может привести только к проблеме безопасности с повышенными привилегиями и требует взаимодействия с пользователем. Вместо того, чтобы использовать портал безопасности Microsoft для получения более подробной информации об этих обновлениях браузера, я нашел страницы с примечаниями к выпуску Microsoft Chromium лучшим источником документации, связанной с исправлениями. . Учитывая характер установки Chrome на настольных компьютерах с Windows, мы ожидаем очень небольшого влияния от обновления. Добавьте это обновление браузера в свой стандартный график выпуска.
Microsoft Windows 10
В этом месяце Microsoft выпустила 27 обновлений для экосистемы Windows, с три были оценены как критические, а остальные — как важные. Это относительно низкий показатель по сравнению с предыдущими месяцами. Однако (и это большая сумма) я почти уверен, что мы никогда не видели такого количества уязвимостей, которые открыто эксплуатируются или раскрываются. В этом месяце шесть подтвержденных эксплуатируемых, в том числе: CVE-2021-31955 CVE-2021-31956 CVE-2021-33739 CVE-2021-33742 CVE-2021-31199 и CVE-2021-31201 .
Чтобы добавить к проблемам этого месяца, были также публично раскрыты две проблемы, в том числе CVE-2021-33739 и CVE-2021-31968 . Это много — особенно для одного месяца. Один патч, который меня больше всего беспокоит, — это CVE-2021-33742 . Он оценивается как критический, так как может привести к выполнению произвольного кода в целевой системе и влияет на основной элемент Windows ( MSHTML ). Этот компонент веб-рендеринга стал частой (и любимой) целью злоумышленников сразу после выпуска Internet Explorer (IE). Почти все (многие, многие) проблемы безопасности и соответствующие исправления, которые повлияли на IE, были связаны с тем, как компонент MSHTML взаимодействовал с подсистемами Windows (Win32) или, что еще хуже, с объектом сценария Microsoft.
Атаки на этот компонент могут привести к глубокому доступу к скомпрометированным системам и их трудно отладить. Даже если бы у нас не было всех публично раскрытых или подтвержденных эксплойтов в этом месяце, я бы все равно добавил это обновление Windows в график выпуска «Исправить сейчас».
Microsoft Office
Как и в прошлом месяце, Microsoft выпустила 11 обновлений, оцененных как важные, и одно — как критическое для этого цикла выпуска. И снова мы видим обновления Microsoft SharePoint в качестве основного объекта внимания с критическим патчем CVE-2021-31963 . По сравнению с некоторыми из очень тревожных новостей в этом месяце об обновлениях Windows, эти исправления Office относительно сложны в использовании и не подвергают атаке такие уязвимые векторы, как панели предварительного просмотра Outlook.
За последние несколько дней было выпущено несколько информационных обновлений для этих исправлений, и, похоже, может возникнуть проблема с объединенными обновлениями SharePoint Server; Microsoft опубликовала следующую ошибку: « DataFormWebPart может быть заблокирован путем доступа к внешнему URL-адресу и создает теги событий '8scdc' в журналах единой системы ведения журнала SharePoint (ULS)». Вы можете узнать больше об этой проблеме в KB 5004210 .
Запланируйте перезагрузку серверов SharePoint и добавьте эти обновления Office в свой стандарт график выпуска.
Microsoft Exchange
Для этого цикла нет обновлений для Microsoft Exchange. Это долгожданное облегчение в последние несколько месяцев, когда для критических обновлений требовались срочные исправления, которые имели значение для всего предприятия.
Платформы разработки Microsoft
Это легкий месяц для обновлений платформ разработки Microsoft (.NET и Visual Studio), поскольку только два обновления оценены как важные:
- CVE-2021-31938 : сложная и трудная для выполнения атака, требующая локального доступа и взаимодействия с пользователем при использовании расширений инструмента Kubernetes.
- CVE-2021-31957 : Эта ASP.NET уязвимость немного более серьезна (затрагивает серверы, а не расширение инструмента) ). Тем не менее, это все еще сложная атака, которая была полностью устранена Microsoft.
Добавьте обновление Visual Studio в стандартное расписание выпуска для разработчиков. Я бы добавил обновление ASP.NET в ваш график приоритетных выпусков из-за большей доступности в Интернете.
Авторские права © 2021 IDG Communications, Inc.
