Поскольку в этом месяце нужно обработать всего 58 обновлений, декабрьский вторник исправлений должен стать долгожданным циклом исправлений и испытаний для легких грузовиков. Не было никаких отчетов о проблеме нулевого дня или публично используемых проблем безопасности, хотя есть критическое обновление для Microsoft Exchange Server, которое должно быть приоритетом. Но мы заметили меньшую нагрузку на обновления Windows, браузера и Office.
Microsoft также выпустила два обновления Servicestack (SSU) для своих настольных и серверных платформ ( ADV990001 ) и обновление проекта Chromium ( ADV200002 ).
Наш полезно инфографика в этом месяце выглядит несколько однобоко, поскольку все внимание должно быть уделено компонентам Windows
Содержание статьи
Ключевые сценарии тестирования
Работая с Microsoft, мы разработали систему, которая опрашивает обновления Microsoft и каждый месяц сопоставляет любые изменения файлов (дельты) с нашей тестовой библиотекой. Результатом является матрица тестирования «горячих точек», которая помогает проводить тестирование нашего портфеля. В этом месяце наш анализ этого выпуска Patch Tuesday позволил выявить следующие сценарии тестирования:
- Печать: Одна из основных подсистем была обновлена для Microsoft Экосистема рабочего стола Windows: SPLWOW64. Этот процесс обрабатывает запросы на печать от процессов Win32, и в этом месяце Microsoft ввела в действие меры «гигиены обмена сообщениями» в том, как этот процесс читает запросы — и как он управляет размером этих запросов. Мы рекомендуем вам запускать тестовые задания на печать из всех ваших браузеров, Office и основных бизнес-приложений. Совет : распечатайте документы разных размеров, выберите более крупные и попробуйте распечатать в файл (PDF).
- Защитник Windows и Hyper-V : убедитесь, что запросы только для чтения правильно обрабатываются в ваших контейнерах Hyper-V и песочницах и что Application Guard в Защитнике Windows ( WDAG ) правильно обрабатывает запросы ТОЛЬКО ДЛЯ ЧТЕНИЯ.
- Microsoft OneDrive : Мы считаем, что проверенная копия 1-2000 файлов в облачном хранилище Microsoft будет разумной.
- Microsoft Edge : проверьте свои устаревшие приложения в Microsoft Edge.
Известные проблемы
Каждый месяц Microsoft включает список известных проблем, связанных с операционной системой и платформами, включенными в этот цикл обновления. Я упомянул несколько ключевых проблем, связанных с последними сборками Microsoft, в том числе:
- При обновлении до последнего декабрьского стека служб некоторые сертификаты системы и пользователей могут быть потеряны, когда обновление устройства с Windows 10 версии 1809 или более поздней до более поздней версии Windows 10.
Вы также можете найти сводку Microsoft об известных проблемах для этого выпуска на одной странице .
Основные изменения
В этом месяце у нас есть три основных редакции по причинам документации, выпущенной Microsoft:
- CVE-2020-1325 : это обновление теперь доступно для Azure DevOps Server версии 2019.
- CVE-2020-1596 : эта CVE устраняет уязвимость в протоколе TLS_DHE. Промышленность в основном перестала использовать TLS_DHE. Microsoft советует клиентам отключить TLS_DHE. Это тот же совет, который предлагает Microsoft для октябрьского цикла обновления.
- CVE-2020-1704 : эта версия обновления безопасности Kerberos KDC, выпущенная в ноябре, пытается решить ряд проблем, о которых сообщалось в этом патче. Microsoft рекомендует обновить все уязвимые системы этим исправленным исправлением. Вы можете узнать больше о защите своих систем в этой записке службы поддержки Microsoft .
Смягчения и обходные пути
В декабре Microsoft опубликовала небольшое количество потенциальных обходных путей и стратегий смягчения, которые применяются к уязвимостям (CVE), устраненным в этом месяце, включая :
Каждый месяц мы разбиваем цикл обновления на семейства продуктов (в соответствии с определением Microsoft) со следующими основными группами:
- Браузеры ( Microsoft IE и Edge).
- Microsoft Windows (настольный и серверный).
- Microsoft Office (включая веб-приложения и Exchange).
- Платформы разработки Microsoft ( ASP.NET Core, .NET Core и Chakra Core).
- Adobe Flash Player.
Браузеры
С одним критическим обновлением ( CVE-2020-17131 ) и одним умеренным patch ( CVE-2020-17153 ) мы определенно наблюдаем здесь тенденцию к меньшему количеству исправлений и обновлений для стека браузеров Microsoft. Обычно у нас есть длинный список функциональных областей на основе браузера, которые нужно выделить, но в этом месяце у нас есть только следующее:
Обновление Microsoft Edge ( CVE-2020 -17131 ) обычно будет приоритетом из-за возможности сценария удаленного выполнения кода из-за проблем с повреждением памяти. Однако эту уязвимость относительно сложно использовать, и мы не видели никаких сообщений об эксплойтах в дикой природе. Добавьте это очень легкое обновление браузера к своим стандартным усилиям по развертыванию обновлений.
Microsoft Windows
В последний месяц обновлений Windows на 2020 год будет только один один критический патч Windows ( CVE-2020-17095 ) и еще 15 обновлений, оцененных как важные. Вот как исправления распределены по следующим функциям (или функциональным группам)
Добавьте это обновление Windows в свой стандартный цикл выпуска с достаточным временем для тестирования ключевых бизнес-приложений.
Microsoft Office
В этом месяце Microsoft распространила два критических обновления и девять исправлений, оцененных как важные для платформы Microsoft Office (включая Exchange Server и Microsoft Dynamics). Они охватывают следующие группы приложений или функций:
Настоящее внимание в этом месяце уделяется критическому патчу Exchange Server ( CVE-2020-17132 ]), который пытается устранить уязвимость в Exchange Server, проверяя аргументы «командлета». К сожалению, похоже, что эту сетевую уязвимость относительно легко использовать (низкая сложность), которая не требует взаимодействия с пользователем для выполнения произвольного кода на серверах Exchange вашего предприятия (это не очень хорошо). Необычно для нас, мы рекомендуем сделать это обновление Exchange немедленно «Исправить сейчас», назовите его «Приоритетным исправлением сейчас», если это помогает продвинуться вперед. В противном случае добавьте другие обновления Office к своему стандартному графику выпуска обновлений.
Платформы разработки Microsoft
Здесь не было выпущено никаких критических обновлений. месяц для средств разработки Microsoft. Тем не менее, есть четыре обновления для Visual Studio и Azure SDK, оцененных Microsoft как важные, и два дополнительных исправления для сервера Azure DevOps, которые также оценены как важные, которые показаны в следующем списке групп функций:
Все эти обнаруженные уязвимости относительно сложно эксплуатировать, и похоже, что Microsoft разработала и развернула исправление до того, как эти проблемы были использованы в реальных условиях. Вам не нужно беспокоиться об обновлении среды Azure DevOps (Microsoft позаботится о процессе обновления), поэтому мы рекомендуем добавить эти исправления для инструментов разработчика в стандартный график выпуска обновлений.
Adobe Flash Player
Microsoft не выпускала никаких обновлений для продуктов Adobe за декабрь. Мне было интересно, будет ли в этом месяце еще одно «убивающее» обновление как Flash EOL . Поскольку Adobe Flash (скоро) мертв, мы все можем начать беспокоиться об Adobe Reader. Adobe выпустила исправление для Reader (APSB 20-67), устраняющее 14 проблем безопасности, четыре из которых были оценены как критические.
Итак, как нам снова обновить продукты Adobe?
Авторские права © 2020 IDG Communications, Inc.