Во вторник MIcrosoft выпустила еще одну широкую серию обновлений для своих экосистем Windows, включая четыре уязвимости, затрагивающие Windows, которые были публично раскрыты, и одну уязвимость безопасности, которая, как сообщается, уже использовалась, которая затрагивает ядро Windows. Это означает, что обновления Windows получают наш наивысший рейтинг «Исправить сейчас», и если вам нужно управлять серверами Exchange, имейте в виду, что обновление требует дополнительных привилегий и дополнительных действий для выполнения.
Это также похоже, что Microsoft объявила о новом способе развертывания обновлений на любом устройстве, где бы оно ни находилось, с помощью Windows Update for Business Service . Дополнительную информацию об этой облачной службе управления можно найти в этом видео Microsoft или в этом FAQ по Computerworld. Я добавил полезную инфографику которая в этом месяце выглядит немного однобокой (опять же), поскольку все внимание должно быть уделено компонентам Windows и Exchange.
Содержание статьи
Ключевые испытания сценарии
В связи с крупным обновлением утилиты Disk Management в этом месяце (которое мы считаем высокорисковым), мы рекомендуем протестировать форматирование разделов и расширения разделов. Обновление этого месяца также включает изменения следующих компонентов Windows с меньшим риском:
- Убедитесь, что файлы TIFF, RAW и EMF отображаются правильно из-за изменений в кодеках Windows.
- Проверьте свои VPN-соединения.
- Тестируйте создание виртуальных машин (ВМ) и применение снимков.
- Тестовое создание и использование файлов VHD.
- Убедитесь, что все приложения, использующие Microsoft Speech API, работают должным образом.
Стек обслуживания Windows (включая Центр обновления Windows и установщик MSI) был обновлен в этом месяце с помощью CVE-2021-28437 поэтому для более крупных развертываний может потребоваться включают в свой портфель приложений тестирование функций установки, обновления, самовосстановления и восстановления.
Известные проблемы
Каждый месяц, Microsoft включает список известных проблем, связанных с операционной системой и платформами, включенными в этот цикл обновления. Я упомянул несколько ключевых проблем, связанных с последними сборками Microsoft, в том числе:
- При использовании редактора метода ввода японского языка Microsoft (IME) для ввода символов кандзи в приложение, которое автоматически разрешает ввод символов Furigana, вы можете не получить правильные символы Furigana. Возможно, вам придется ввести символы Furigana вручную. Кроме того, после установки KB4493509 устройства с некоторыми установленными азиатскими языковыми пакетами могут получать ошибку «0x800f0982 — PSFX_E_MATCHING_COMPONENT_NOT_FOUND». Microsoft работает над решением и предоставит обновление в следующем выпуске.
- Устройства с установками Windows, созданными с пользовательских автономных носителей или пользовательских образов ISO, могут иметь Microsoft Edge Legacy, удаленный этим обновлением, но не замененный автоматически новым Microsoft Edge. Если вам необходимо широко развернуть новый Edge для бизнеса, см. Загрузите и разверните Microsoft Edge для бизнеса .
- После установки KB4467684 служба кластеров может не запуститься с ошибкой «2245 (NERR_PasswordTooShort)», если групповая политика «Минимальная длина пароля» настроена с более 14 символов.
Вы можете найти сводку Microsoft с известными проблемами для этого выпуска на одной странице .
Основные изменения
Для этого апрельского цикла обновлений Microsoft опубликовала одну основную версию:
- CVE-2020-17049 — Kerberos KDC Security Уязвимость, связанная с обходом функций. Корпорация Майкрософт выпускает обновления безопасности для второго этапа развертывания этой уязвимости. Microsoft опубликовала статью ( KB4598347 ) о том, как управлять этими дополнительными изменениями в контроллерах домена.
Смягчения и обходные пути
На данный момент, похоже, Microsoft не опубликовала какие-либо смягчения или обходные пути для этого апрельского выпуска.
Каждый месяц мы разбиваем цикл обновления на семейства продуктов (в соответствии с определением Microsoft) со следующими основными группами:
- Браузеры ( Microsoft IE и Edge);
- Microsoft Windows (настольный и серверный);
- Microsoft Office (включая веб-приложения и Exchange);
- Платформы разработки Microsoft ( ASP.NET Core, .NET Core и Chakra Core);
- И Adobe Flash Player (прекращение поддержки),
Браузеры
За последние 10 лет мы проанализировали потенциальные последствия изменений в браузерах Microsoft (Internet Explorer и Edge) из-за характера взаимозависимых библиотеки в системах Windows (как настольные, так и серверные). Internet Explorer (IE) имел прямую (некоторые сказали бы тоже прямую) интеграцию с ОС, что означало управление любыми изменениями в ОС (наиболее проблематично для серверов). С этого месяца это уже не так; Обновления Chromium теперь являются отдельной базой кода и объектом приложения, а Microsoft Edge (Legacy) теперь автоматически удаляется и заменяется базой кода Chromium. Вы можете узнать больше об этом процессе обновления (и удаления) в Интернете .
Я думаю, это хорошая новость, поскольку постоянная перекомпиляция IE и последующего тестирования профиля были тяжелым бременем для большинства ИТ-администраторов. Также приятно видеть, что цикл обновления Chromium переходит с шестинедельного цикла на четырехнедельный в соответствии с периодичностью обновления Microsoft. Учитывая характер этих изменений в браузере Chromium, добавьте это обновление в свой стандартный график выпуска исправлений.
Microsoft Windows
В этом месяце, Microsoft работала над устранением 14 критических уязвимостей в Windows и 68 оставшихся проблем безопасности, оцененных как важные. Две критические проблемы связаны с Media Player; оставшиеся 12 относятся к проблемам в функции удаленного вызова процедур (RPC) Windows. Мы разделили оставшиеся обновления (включая важные и умеренные оценки) на следующие функциональные области:
- Безопасный режим ядра Windows (Win32K);
- Трассировка событий Windows;
- Установщик Windows;
- Графический компонент Microsoft;
- Windows TCP / IP, DNS, сервер SMB.
Для тестирования этих функциональных групп см. Приведенные выше рекомендации. Для критических патчей: протестировать проигрыватель Windows Media просто, а тестирование вызовов RPC как внутри приложений, так и между ними — другое дело. Что еще хуже, эти проблемы RPC, хотя и не могут быть связаны с червями, серьезны по отдельности и опасны в группе. В связи с этим мы рекомендуем график выпуска обновлений «Исправить сейчас» для обновлений этого месяца.
Microsoft Office (и, конечно же, Exchange)
Когда мы оцениваем обновления Office для каждого ежемесячного выпуска безопасности, первые вопросы, которые я обычно задаю об обновлениях Microsoft Office:
- Являются ли уязвимости низкой сложностью, удаленностью проблемы с доступом?
- Приводит ли уязвимость к сценарию удаленного выполнения кода?
- Является ли на этот раз векторной панелью предварительного просмотра?
К счастью, в этом месяце все четыре проблемы, решенные Microsoft в этом месяце, оценены как важные и не попали ни в одну из трех вышеупомянутых «корзин для беспокойства». В дополнение к этим основам безопасности у меня есть следующие вопросы к апрельскому обновлению Office:
- Используете ли вы элементы управления ActiveX?
- Вы используете Office 2007?
- Испытываете ли вы языковые побочные эффекты после обновления этого месяца?
Если вы используете элементы управления ActiveX, пожалуйста, не . Если вы используете Office 2007, сейчас самое подходящее время для перехода на что-то поддерживаемое (например, Office 365). А если у вас возникли языковые проблемы, обратитесь к этому примечанию поддержки ( KB5003251 ) от Microsoft, чтобы узнать, как сбросить языковые настройки после обновления. Обновления Office, Word и Excel являются крупными и требуют стандартного цикла тестирования / выпуска. Учитывая меньшую актуальность этих уязвимостей, мы предлагаем вам добавить эти обновления Office в стандартный график выпуска.
К сожалению, Microsoft Exchange содержит четыре критических обновления, которые требуют внимания. Это не очень срочно, как в прошлом месяце, но мы дали им оценку «Исправить сейчас». На этот раз при обновлении серверов потребуется некоторое внимание. Сообщалось о ряде проблем с этими обновлениями, когда они применялись к серверам с установленными элементами управления UAC.
Когда вы пытаетесь вручную установить это обновление безопасности, дважды щелкнув файл обновления (.MSP), чтобы запустить его в нормальном режиме (то есть не от имени администратора), некоторые файлы обновляются некорректно. Обязательно запускайте это обновление от имени администратора, иначе ваш сервер может оставаться в состоянии между обновлениями или, что еще хуже, в отключенном состоянии. При возникновении этой проблемы вы не получаете сообщения об ошибке или каких-либо указаний на то, что обновление безопасности было установлено неправильно. Однако Outlook в Интернете (OWA) и панель управления Exchange (ECP) могут перестать работать.
В этом месяце обязательно потребуется перезагрузка ваших серверов Exchange.
Платформы разработки Microsoft
Microsoft выпустила 12 обновлений, все из которых были признаны важными на апрель. Все устраненные уязвимости имеют высокий CVSS рейтинг 7 или выше и охватывают следующие области продуктов Microsoft:
- Код Visual Studio — Инструменты Kubernetes;
- Код Visual Studio — расширение GitHub Pull Requests and Issues;
- Код Visual Studio — Maven для расширения Java.
Глядя на эти обновления и на то, как они были реализованы в этом месяце, мне трудно понять, какое влияние они могут оказать помимо очень незначительных изменений в каждом приложении. Корпорация Майкрософт не опубликовала критические тесты или меры по снижению рисков для любого из этих обновлений, поэтому мы рекомендуем для них стандартный график выпуска для разработчиков.
Adobe Flash Player
Не могу поверить в это. Больше ни слова об обновлениях Adobe. Никаких сумасшедших уязвимостей Flash, которые могли бы нарушить ваш график в этом месяце. Итак, по словам моего любимого читателя новостей, No Gnus — это хороший Gnus.
Мы удалим этот раздел в следующем месяце и выпустим обновления Office и Exchange в отдельные разделы для удобства чтения.
Авторские права © 2021 IDG Communications, Inc.