С 55 обновлениями, тремя открытыми уязвимостями и известными открытыми эксплойтами для Adobe Reader, обновление Patch Tuesday на этой неделе потребует некоторого времени и тестирования перед развертыванием. Есть несколько сложных сценариев тестирования (мы смотрим на вас, OLE), а обновления ядра делают развертывание рискованным. Сосредоточьтесь на исправлениях IE и Adobe Reader — и не торопитесь с (технически сложными) обновлениями Exchange и Windows.
Кстати, если вы не торопитесь, если вы все еще Windows 10 1909, это ваш последний месяц обновлений безопасности.
Три публично раскрытых уязвимости в этом месяце включают:
- CVE-2021-31204 — .NET и уязвимость Visual Studio, связанная с повышением привилегий Важно
- CVE-2021-31207 — Обход функции безопасности Microsoft Exchange Server
- CVE-2021-31200 — Уязвимость, связанная с удаленным выполнением кода Common Utilities Важно
Вы можете найти эту информацию в обобщенном виде в этой инфографике .
Содержание статьи
Ключевые сценарии тестирования
В этом месяце не сообщалось об изменениях платформы Windows с высокой степенью риска. Для этого цикла исправлений мы разделили наше руководство по тестированию на два раздела:
Microsoft Office
- Основной сценарий, который необходимо протестировать, — это преобразование устаревших документов (* .doc), содержащих фигуры и изображения, в современный формат документа (* .docx). Изменения внесены в wordconv.exe.
- Тестовая загрузка и добавление диаграмм со всеми важными режимами тестирования File / Open / Print / Save (FOPS).
- Для Sharepoint протестируйте добавление веб-частей на ТЕСТ-сайт, в частности DataFromWebPart
Настольные и серверные платформы Windows
- Bluetooth: внешние ключи ( IrDA подключения и мыши особенно) потребуется проверка соединения.
- Шрифты потребуют тестирования, особенно частных шрифтов (вероятно, будет достаточно теста FOPS).
- Протестируйте перенаправление папок отметив любые проблемы с производительностью ввода-вывода.
А вот сценарий тестирования, который должен порадовать всех разработчиков настольных компьютеров (и серверов): вам нужно протестировать OLE automation в этом месяце . Что это значит? Грубо говоря, это означает поиск (и тестирование) ключевой бизнес-логики в основных критически важных для бизнеса приложениях, разработанных внутри компании, которые полагаются на сложные, множественные, взаимозависимые компоненты, которым иногда требуется удаленная служба с малоизвестного сервера, который все еще работает очень, очень специфическая версия Visual Basic 5.
Известные проблемы
Каждый месяц Microsoft включает список известных проблем, связанных с операционная система и платформы, включенные в этот цикл обновления. Вот несколько ключевых проблем, которые связаны с последними сборками от Microsoft, в том числе:
- Системные и пользовательские сертификаты могут быть потеряны при обновлении устройства с Windows 10 1809 или более поздней версии до более новая версия Windows 10. Устройства будут затронуты только в том случае, если они уже установили любое последнее накопительное обновление (LCU), выпущенное 16 сентября 2020 г. или новее, а затем перейдут к обновлению до более поздней версии Windows 10 с носителя или источника установки. [that] не имеет интегрированной LCU, выпущенной 13 октября 2020 г. или более поздней.
- Устройства с установками Windows, созданными с настраиваемого автономного носителя или настраиваемого образа ISO, могут иметь Microsoft Edge Legacy, удаленный этим обновлением, но не замененный автоматически новым Microsoft Edge.
- После установки KB4467684 служба кластера может не запуститься с ошибкой «2245 (NERR_PasswordTooShort)», если групповая политика «Минимальная длина пароля» настроена с более чем 14 символами.
Вы также можете найти сводку Microsoft с известными проблемами для этого выпуска на одной странице .
Основные изменения
Корпорация Майкрософт (по состоянию на 14 мая) не публиковала каких-либо серьезных изменений для этого выпуска вторника обновления.
Смягчения и обходные пути
На данный момент не похоже, что Microsoft опубликовала какие-либо смягчения или обходные пути для этого апрельского выпуска.
Каждый месяц мы разбиваем цикл обновления на семейства продуктов (в соответствии с определением Microsoft) со следующими основными группами:
- ] Браузеры (Microsoft IE и Edge);
- Microsoft Windows (настольный и серверный);
- Microsoft Office (включая веб-приложения и Exchange);
- Платформы разработки Microsoft ( ASP.NET Core, .NET Core и Chakra Core);
- Adobe (Reader, да Reader).
Браузеры
Обновления браузеров вернулись с удвоенной силой. И на этот раз это личное. Святая корова: 35 критических обновлений для Edge (версия Chromium) и критическое обновление для Internet Explorer 11 (IE11). Все обнаруженные уязвимости могут привести к сценарию удаленного выполнения кода. Все они.
Обновления Chromium должны быть относительно легкими в развертывании из-за того, что проект Chromium отделен от настольной операционной системы. Обновление IE11 — это полное обновление двоичных файлов. Любые устаревшие приложения необходимо будет протестировать на соответствие этой новой сборке. Добавьте это обновление в свой выпуск Patch Now.
Microsoft Windows
Microsoft выпустила три обновления, оцененных как критические, и 22 — как важные для этого цикл. Критические исправления решают проблемы Hyper-V, то, как Windows обрабатывает HTTP-запросы, и проблемы сервера автоматизации OLE. Мы не видим острой необходимости оценивать эти обнаруженные уязвимости как «Исправить сейчас» и полагаем, что перед развертыванием в производственной среде потребуется некоторое тестирование. В дополнение к этим опасениям Microsoft опубликовала несколько незначительных проблем пользовательского интерфейса с этим обновлением:
«Майское обновление Windows может привести к тому, что элементы управления полосой прокрутки будут отображаться пустыми. экран, а не функцию. Эта проблема затрагивает 32-разрядные приложения, работающие в 64-разрядной Windows 10 (WOW64), которые создают полосы прокрутки с помощью суперкласса класса окна SCROLLBAR USER32.DLL. Кроме того, использование памяти увеличивается до 4 При создании полосы прокрутки в 64-разрядных приложениях может появиться ГБ. "
Обновления безопасности этого месяца охватывают следующие основные функциональные области Windows:
- Платформа и платформы приложений Windows;
- Ядро Windows;
- Microsoft Scripting Engine;
- Кремниевая платформа Windows.
Самый высокий рейтинг в этом месяце получил патч CVE-2021-31194 — серьезная уязвимость в Microsoft OLE двигатель автоматики . Это обновление будет сложно протестировать, так как вам нужно будет найти приложение с OLE-сервером и сравнить результаты для двух сборок. Microsoft также предоставила некоторые инструкции по удалению доступа к базам данных JET которые можно найти здесь . Добавьте эти обновления Windows в свой стандартный цикл выпуска, уделяя особое внимание тестированию основных бизнес-приложений на наличие зависимостей OLE, JET и Hyper-V.
Microsoft Office
Исправления и обновления платформы Microsoft Office в этом месяце затрагивают следующие базовые версии:
- Office 2013 (клиент): SP1 — 15.0.4569.1506;
- SharePoint 2013 (сервер): SP1 — 15.0.4569.1506 и 15.0.4571.1502;
- Office 2016 (клиент): RTM — 16.0.4266.1001;
- SharePoint 2016 (сервер): RTM — 16.0.4351.1000.
В этом месяце мы получим легкую поездку с исправлениями Office. Нет уязвимостей с критическим рейтингом, и только 17 уязвимостей имеют рейтинг важных. Если вы все еще используете базы данных JET, вам необходимо убедиться, что вы удалили удаленный доступ с помощью этого примечания поддержки от Microsoft . Добавьте эти относительно незначительные исправления в свой стандартный график обновлений Office.
Microsoft Exchange
После обновления Adobe Reader (см. Ниже) вы нужно будет потратить некоторое время на последнее обновление Microsoft Exchange server. С тремя обновлениями, оцененными как важные, и одним патчем, опубликованным как умеренным, этот цикл обновления сопряжен с некоторыми серьезными проблемами со спуфингом и обходом безопасности.
Корпорация Майкрософт выпустила следующее примечание о технической проблеме обновления вашего сервера Exchange, в том числе: «Когда вы пытаетесь вручную установить это обновление безопасности, дважды щелкнув файл обновления (.MSP ), чтобы запустить его в обычном режиме (то есть не в качестве администратора), некоторые файлы обновляются некорректно. При возникновении этой проблемы вы не получаете сообщение об ошибке или какие-либо указания на то, что обновление безопасности было установлено неправильно. Однако Outlook Web Access (OWA) и панель управления Exchange (ECP) могут перестать работать. "
Не торопитесь, эти проблемы не зависят от времени (как в прошлом месяце). Мы все еще слышим и испытываем проблемы с обновлением сервера Exchange, и хотя мы не ожидаем проблем с совместимостью или функциональностью с этим обновлением Exchange, для правильной логистики с этим майским обновлением может потребоваться некоторое размышление. Добавьте это обновление Exchange Server в свой обычный режим выпуска исправлений.
Платформы разработки Microsoft
Корпорация Майкрософт опубликовала пять обновлений средств разработки — все оценены как важно — влияет на Visual Studio и Microsoft .NET (который имеет взаимосвязанную зависимость обратно с Visual Studio). В этом месяце исправлены следующие группы продуктов:
- Visual Studio Code Remote — расширение контейнеров;
- Microsoft Visual Studio 2019;
- .NET 5.0 и .NET Core 3.1.
Обновление компонента контейнера Visual Studios ( CVE-2021-31204 ), вероятно, потребует наибольшего внимания в этом месяце из-за публичного сообщения об этом уязвимость удаленного выполнения кода. Остальные четыре проблемы требуют взаимодействия с пользователем и локального доступа к целевой системе (отсюда важный рейтинг от Microsoft). Добавьте эти обновления в стандартный цикл выпуска обновлений для разработки.
Adobe (в этом месяце это Reader, Adobe Reader)
Хотя Microsoft не включила это исправление Adobe в его выпускном цикле, в последнем обновлении исправления Adobe был критический патч для Adobe Reader. Adobe сообщила, что уязвимость CVE-2021-28550 эксплуатировалась в «дикой природе». К сожалению, это делает проблему Adobe нулевым днем, которая затрагивает все устройства Microsoft с уязвимостью удаленного выполнения кода, которая может привести к полному доступу к скомпрометированной системе.
Добавьте обновление Adobe Reader в свой график выпуска «Patch Now». И да, я действительно думал, что мы можем убрать этот раздел. Может быть, в следующий раз.
Авторские права © 2021 IDG Communications, Inc.
