Хотя мы возвращаемся к ежемесячным обновлениям браузера после короткой передышки в прошлом месяце — ни одна из проблем безопасности браузера в ноябре этого года не может быть защищена от червей, и мы не видели ничего, что требовало бы возврата к циклу срочного обновления браузера. На этот раз платформа Windows получает наибольшее внимание, но ни одна проблема не требует немедленного развертывания — хотя некоторые устаревшие системы могут потребовать полного тестирования графически интенсивных приложений, которые полагаются на более старую технологию преобразования графики / мультимедиа. Microsoft Office и связанные с ним платформы разработки получают некоторые исправления с более низким рейтингом с рекомендациями по стандартному режиму развертывания.
Мы включили полезную инфографику которая в этом месяце выглядит немного однобокой, поскольку все внимание должно быть уделено компонентам Windows.
Содержание статьи
Основные сценарии тестирования
Работая с Microsoft, мы разработали систему, которая опрашивает обновления Microsoft и сопоставляет любые изменения файлов (дельты), выпускаемые каждый месяц, с нашей библиотекой тестирования. Результатом является матрица тестирования «горячих точек», которая управляет процессом тестирования нашего портфеля. В этом месяце наш анализ выпуска Patch Tuesday позволил выявить следующие сценарии тестирования:
- Протестируйте подключение через подключение к удаленному рабочему столу и VPN и подтвердите, что операции копирования / вставки между устройствами и подключенные устройства работают успешно.
- Тестовые приложения, отображающие большие окна на устройствах с графическим процессором.
- Убедитесь, что файлы EMF воспроизводятся должным образом и что файлы EMF можно успешно преобразовать в файлы EMF +.
- Тестируйте приложения JScript, использующие рекурсивные вызовы функций.
Известные проблемы
Каждый месяц Microsoft включает список известных проблем, связанных с операционной системой и платформами, включенными в этот цикл обновления. Вот несколько ключевых проблем, связанных с последними сборками Microsoft:
- Microsoft SharePoint (2016 и 2019): при попытке вручную установить это обновление безопасности двойным щелчком файл обновления (.msp), чтобы запустить его в обычном режиме (то есть не от имени администратора), некоторые файлы обновляются некорректно. Чтобы завершить установку и убедиться, что обновление установлено правильно, Microsoft предоставляет подробные сведения об обходном пути здесь .
- Windows 10 (1909 и новее): системные и пользовательские сертификаты могут быть потеряны при обновлении устройства с Windows 10 версии 1809 или новее до более новой версии Windows 10. Дополнительные сведения о проблемах и действиях по их устранению , а также о решенных в настоящее время проблемах см. KB4564002 .
- Windows 10 (2004 и новее): некоторые японские символы катаканы половинной ширины и катаканы полной ширины, имеющие знак согласного, не интерпретируются как один и тот же символ. На данный момент нет опубликованных исправлений или обходных путей.
- Windows ESU: после установки этого обновления и перезапуска устройства вы можете получить сообщение об ошибке «Не удалось настроить обновления Windows. Отмена изменений. Не выключайте компьютер ». Microsoft работает над этим. Я предлагаю подождать до следующей недели, прежде чем крупномасштабное развертывание на устаревших системах.
Вы можете найти сводку известных проблем Microsoft для этого выпуска на одной странице. .
Основные исправления
В этом месяце у нас есть одна большая редакция по причинам документации, выпущенная Microsoft:
Смягчения и обходные пути
Microsoft опубликовала небольшое количество обходных решений и стратегий смягчения, которые применяются к уязвимостям (CVE), устраненным в этом месяце, в том числе:
- CVE-2020-17049 : Microsoft опубликовала дополнительные шаги по снижению воздействия уязвимости в инфраструктуре Windows Kerberos, связанной с ключом реестра: HKEY_LOCAL_MACHINE System CurrentControlSet Services Kdc
- CVE-2020-17052 : Microsoft опубликовала рекомендуемые меры по устранению этой уязвимости в компоненте MS Script (который используется всеми браузерами Microsoft), который влияет на регулирование сети. Более подробная информация содержится в разделе «Браузер» (ниже).
Каждый месяц мы разбиваем цикл обновления на семейства продуктов (в соответствии с определением Microsoft) со следующими основными группами:
- Браузеры (Microsoft IE и Edge)
- Microsoft Windows (настольный и серверный)
- Microsoft Office (включая веб-приложения и Exchange)
- Платформы разработки Microsoft ( ASP.NET Core, .NET Core и Chakra Core)
- Adobe Flash Player
Браузеры
Microsoft выпустила пять обновлений для браузерных платформ, четыре из которых были оценены как критические, а оставшееся обновление было оценено как важное по версии Microsoft. Эти обновления браузера сгруппированы в функциональные группы:
Одно из исправлений браузера ( CVE-2020-17052 ) имеет рекомендуемые меры по устранению для этой уязвимости, которая включает:
«Чтобы устранить эту уязвимость, можно определить политику регулирования для EWSMaxSubscriptions и применить ее к организации со значением нуля. Это предотвратит Сервер Exchange не отправляет уведомления EWS и предотвращает нормальную работу клиентских приложений, которые полагаются на уведомления EWS ».
Подробнее о технологии регулирования сети Microsoft и о том, как применять соответствующие политики здесь . Все эти обновления браузера направлены на трудные для использования сложные сценарии безопасности, которые требуют вмешательства пользователя для компрометации целевой системы. Учитывая, что эти уязвимости имеют не сообщалось, что они использовались или разглашались публично, мы рекомендуем вам добавить эти исправления для браузера в стандартный график развертывания исправлений.
Windows 10
Microsoft выпустила 12 критических обновлений и 54 исправления, оцененных как важные для этого цикла обновлений. Эти ноябрьские обновления Windows охватывают следующие области:
Все критические обновления связаны с решением проблем с камерой и кодеками Microsoft. Хотя эти обнаруженные уязвимости требуют локального доступа, в скомпрометированной системе возможны полный контроль и выполнение произвольного кода. Эти атаки (направленные на кодек) относительно просты в использовании и могут привести к сценарию удаленного выполнения кода (RCE) с полным контролем над целевой системой. Исторически самые большие проблемы с обновлениями стека Windows GDI (графика) были связаны с плохой практикой упаковки приложений; поставщики и / или системные интеграторы включали основные системные библиотеки (DLL) в свои пакеты, что делало такие обновления, как обновления GDI и ядра Windows в этом месяце, действительно проблематичными. К счастью, эта практика была сокращена за счет лучших MSI поставщиков и лучших методов упаковки. Перед развертыванием этого обновления убедитесь, что ваши пакеты приложений «чистые» (не включают GDI.DLL или Win32K.sys) — в противном случае вы можете столкнуться со сложными сценариями устранения неполадок с очень сложными приложениями.
Добавьте это обновление в свой стандартный график обновлений рабочего стола.
Microsoft Office
Microsoft this в месяц распространил 22 обновления для платформы Microsoft Office (включая Exchange Server и Microsoft Dynamics), которые охватывают следующие группы приложений или функций:
Двадцать одно из этих обновлений оценено как важное Microsoft с последним (SharePoint) дал низкий рейтинг. Я думаю, что причина, по которой эти исправленные уязвимости имеют более низкий рейтинг Microsoft, заключается в том, что для компрометации целевой платформы требуется локальный доступ или вектор атаки (метод доступа) очень сложен. Это трудноиспользуемые уязвимости, требующие вмешательства пользователя. Эти исправления влияют на Word, Excel и Access, поэтому рекомендуется тестирование приложений собственной разработки, особенно с макросами или JScript. Нет спешки; добавьте эти обновления Office в стандартное развертывание.
Платформы разработки Microsoft
Microsoft выпустила три обновления для Visual Studio, все из которых были оценены как важные. Все эти уязвимости требуют локального доступа к целевой системе, и их относительно сложно использовать. Помимо обновлений Visual Studio, Microsoft выпустила 15 исправлений для линейки Azure Sphere. Функциональная группировка для обновления платформы разработки Microsoft в этом месяце выглядит следующим образом:
Предложение безопасности Azure Sphere является довольно новым и, скорее всего, не будет важным компонентом корпоративных развертываний. Вы можете узнать больше об Azure Sphere . Поэтому, просто сосредоточившись на обновлениях Visual Studio, мы рекомендуем вам добавить обновления этого месяца в стандартное расписание выпуска «Разработка».
Adobe Flash Player
В этом месяце Microsoft не выпускала никаких обновлений (или бит-битов) для каких-либо продуктов Adobe (в первую очередь вспоминается Flash). Тем не менее, теперь я видел удаление Flash (посредством автоматического удаления, доступного через обновление). Ничего страшного не случилось. Это то, чего вы должны ожидать, когда удалите Flash из своей системы. Вздох.
Если вы зашли так далеко …
Вас может заинтересовать перспектива управления исправлениями, которую мы сейчас используем. Microsoft обновила документацию по выпуску исправлений, добавив много новых данных, которые были опубликованы в Интернете и доступны через API. Мы начали использовать эти новые данные для создания разделов «горячих точек» тестирования, в которых подробно описывается, какие исправления повлияют на функцию или компонент Windows или предполагаемый продукт Microsoft.
Работая с Microsoft над процессом установки исправлений, мы увидели, насколько серьезно Microsoft относится к правильному выпуску этих обновлений (Эй, это всего лишь миллиард пользователей, верно?). Нашим вниманием было и будет оставаться «Что происходит с приложениями?» В следующем месяце вы увидите дополнительные данные о влиянии каждого обновления на уровне функций и некоторые подробные сведения о нашем опыте работы с каждой группой обновлений. Вы можете узнать больше о новом формате документации в этом сообщении в блоге Microsoft.
Авторские права © 2020 IDG Communications, Inc.
