Microsoft выпустила 73 обновления для своих платформ Windows, Office и Visual Studio во вторник исправлений, многие из которых касаются основных, но не срочных уязвимостей безопасности. Это долгожданная передышка после предыдущих шести месяцев срочных нулевых дней и публичного раскрытия информации. Имея это в виду, команда тестирования готовности предлагает сосредоточиться на процессах печати и резервного копирования/восстановления, чтобы убедиться, что этот цикл обновления не повлияет на них.
Впервые мы видим, что сторонний поставщик (не Adobe) добавлен в выпуск исправлений вторника с тремя незначительными обновлениями плагинов для Visual Studio для AutoDesk. Ожидайте, что в ближайшем будущем в обновления Microsoft будет добавлено больше таких поставщиков. Команда в Готовность создал полезный инфографика в котором описываются риски, связанные с каждым из обновлений.
Содержание статьи
Известные вопросы
Каждый месяц Microsoft включает список известных проблем, связанных с операционной системой и платформами в текущем цикле обновления.
- Устройства с установками Windows, созданными с пользовательского автономного носителя или пользовательского образа ISO, могут удалить Microsoft Edge Legacy с помощью этого обновления. Мы рекомендуем вам скачать новую Майкрософт Край. Пора.
- После установки обновлений, выпущенных 10 января 2023 г. или позже, профили киоск-устройств с включенным автоматическим входом в систему могут неправильно выполнять вход. Microsoft работает над проблемой.
- После установки этого или более поздних обновлений устройства Windows с некоторыми сторонними приложениями для настройки пользовательского интерфейса могут не запускаться. Эти приложения могут вызывать ошибки с explorer.exe, которые могут повторяться несколько раз в цикле. В настоящее время Microsoft проводит расследование; запланированное разрешение пока недоступно.
- После установки этого обновления на гостевые виртуальные машины (ВМ) под управлением Windows Server 2022 в некоторых версиях VMware ESXi Windows Server 2022 может не запускаться. Ага, это по-настоящему. И Microsoft, и VMWare работают над этой проблемой.
В настоящее время у нас нет никакой информации о расписании преждевременных обновлений от Microsoft как для Server 20222/VMWare, так и для стороннего пользовательского интерфейса. Эти проблемы являются серьезными, поэтому мы ожидаем ответа от Microsoft в ближайшее время.
Основные изменения
Следующие распространенные уязвимости и воздействия (CVE) были недавно пересмотрены в Руководстве по обновлению безопасности Microsoft:
Смягчения и обходные пути
Microsoft опубликовала эти меры по устранению уязвимостей для выпуска этого месяца:
- CVE-2023-32014, CVE-2023-32015, и CVE-2023-29363Windows Pragmatic General Multicast (PGM): Microsoft рекомендует проверьте, работает ли служба с именем Очередь сообщений и TCP-порт 1801 прослушивается на машине. Если эта функция не включена, целевая машина не уязвима.
- CVE-202332022: Функция обхода уязвимости службы безопасности Windows Server. Microsoft сообщает, что затронуты будут только кластеры Active Directory (AD).
Каждый месяц команда г. Готовность анализирует последние обновления исправлений вторника для разработки подробных и действенных руководств по тестированию. Это руководство основано на оценке большого портфеля приложений и подробном анализе исправлений Microsoft и их потенциального влияния на платформы Windows и установки приложений.
Учитывая большое количество изменений системного уровня, включенных в этот цикл, сценарии тестирования делятся на стандартные и высокорисковые профили.
Высокий риск
Подобно основным изменениям безопасности, связанным с тем, как SQL-запросы обрабатываются в настольных системах, Microsoft внесла фундаментальное обновление в то, как обрабатываются определенные API-интерфейсы рендеринга, с новым набором ограничений безопасности. Это ключевое требование к отдельные запросы драйвера принтера режима пользователя и ядра. Это не новые API или новые функции, а ужесточение существующих процедур обратного вызова API. Это большое изменение, которое потребует полного режима тестирования принтера, включая:
- Протестируйте все свои принтеры в режиме полного производственного тестирования (извините за это).
- Включите различные расширенные функции принтера (например, нанесение водяных знаков) и запустите тесты печати.
- Проверьте свою печать через соединения RDP и VPN.
Стандартный риск
Следующие изменения, включенные в обновление этого месяца, не рассматриваются как подверженные высокому риску непредвиденных результатов и не включают функциональные изменения:
- Создавайте, изменяйте, удаляйте папки и файлы в настройках групповой политики.
- Тест голосовой ввод (в Windows 11) или под диктовку (в Windows 10). Разговорный текст должен отображаться так, как ожидалось.
- Установите обновление Kerberos на один из тестовых контроллеров домена. После обновления аутентификация Kerberos по-прежнему должна быть успешной.
- Воспроизведите видео MPEG4 или используйте проводник Windows, чтобы открыть каталог, содержащий файл mpeg4. Не следует сообщать об ошибках кода выхода.
- После применения обновления удаленного рабочего стола к целевым рабочим станциям; создать подключение к удаленному рабочему столу между клиентом и сервером. Затем повторите этот процесс со шлюзом удаленных рабочих столов.
- Проверьте свою сеть/подключение к Интернету и подключение к Интернету с помощью таких приложений, как браузеры, обмен сообщениями (Teams/Slack), передача файлов (FTP) и потоковое видео (но не сообщайте свой пароль).
Теперь Microsoft запрещает избегать нехватки памяти и обрезать память варианты BCD, когда Безопасная загрузка включен. Кроме того, Microsoft блокирует загрузчики, нет был обновлен майским обновлением 2023 года.
Примечание: ваши возможности восстановления будут сильно ограничены, если только к образам для восстановления не будет применено это жизненно важное обновление от мая 2023 года. Для этого конкретного изменения процесса загрузки группа готовности рекомендует следующий режим тестирования.
- Обновленная целевая машина должна загрузиться, как и ожидалось, с включенными функциями безопасной загрузки и BitLocker. Вы не должны получить сообщение об ошибке загрузки или экран восстановления BitLocker.
- Обновленная целевая машина должна загружаться должным образом и не запускать восстановление BitLLocker, когда BitLocker включен на диске ОС, но безопасная загрузка отключена.
Обновите свой носитель для восстановления, как только режим тестирования завершится.
Все эти сценарии тестирования (как стандартные, так и с высоким риском) потребуют тщательного тестирования на уровне приложений перед общим развертыванием. Учитывая характер изменений, включенных в исправления этого месяца, группа готовности рекомендует выполнить следующие тесты перед развертыванием:
- Устанавливайте, обновляйте и удаляйте основную линейку бизнес-приложений.
- Проверьте драйверы принтера и подтвердите их сертификаты.
- Проверьте свои резервные копии и носители для восстановления.
Автоматическое тестирование поможет в этих сценариях (особенно платформа тестирования, которая предлагает «дельту» или сравнение между сборками. Однако для бизнес-приложений получение владельца приложения (выполнение УАТ) для проверки и утверждения результатов абсолютно необходимо.
Обновление жизненного цикла Windows
Этот раздел будет содержать важные изменения в обслуживании (и большинстве обновлений безопасности) для настольных и серверных платформ Windows.
Каждый месяц мы разбиваем цикл обновления на семейства продуктов (согласно определению Microsoft) со следующими основными группами:
- Браузеры (Microsoft IE и Edge);
- Microsoft Windows (как настольная, так и серверная);
- Microsoft Office;
- сервер Microsoft Exchange;
- Платформы разработки Майкрософт (ASP.NET Core, .NET Core и Chakra Core);
- Adobe (у нас есть гость: AutoDesk).
Браузеры
Microsoft выпустила четыре низкоприоритетных обновления для Edge и еще 14 исправлений, выпущенных для Хромовая платформа (на котором построен Edge). Мы не видели сообщений о публичном разоблачении или эксплойтах. Тем не менее, есть несколько незавершенных исправлений безопасности, которые не были полностью рассмотрены и опубликованы. Таким образом, мы можем увидеть обновление для проекта Chromium/Edge позже в этом месяце. Добавьте эти обновления в стандартный график выпуска исправлений.
Окна
В этом месяце Microsoft выпустила четыре критических обновления и 33 исправления, которые считаются важными для платформы Windows; они охватывают следующие ключевые компоненты:
- ПГМ Windows.
- Windows Hyper-V.
- Драйверы устройств Windows TPM, Crypto и Kerberos.
- Компоненты NTFS и SCSi.
- Ядро и видеокодеки.
Это умеренное обновление для настольных и серверных платформ Windows, и его следует рассматривать как долгожданный перерыв после недавних серьезных эксплойтов (как публично раскрытых, так и использованных). Как было отмечено в мае и включено в руководство этого месяца, основное внимание следует уделить тестированию процессы резервного копирования и восстановления. Добавьте это обновление в расписание выпуска «Исправление сейчас».
Microsoft Office
Microsoft выпускает одно критическое обновление для своей платформы Office с патчем для сервера SharePoint Enterprise. Остальные 11 обновлений затрагивают Microsoft Outlook, Excel и OneNote. Все это относительно незаметные уязвимости, которые могут затронуть пользователей Mac больше, чем пользователей Windows. Добавьте эти обновления Office в стандартный график выпуска.
Сервер Microsoft Exchange
Microsoft выпустила два обновления для Microsoft Exchange Server (CVE-2023-28310 и CVE-2023-32031) оба оценены как важные. Эти уязвимости безопасности требуют внутренней аутентификации и имеют официальные/подтвержденные исправления от Microsoft. Сообщений об эксплойтах или публичного раскрытия информации по любой проблеме не поступало. Несмотря на то, что обновление Exchange Server немного утомительно, вы можете добавить эти два обновления в свой стандартный график выпуска на этот месяц.
Платформы разработки Майкрософт
В июне выпущено множество исправлений для платформы разработки Microsoft, включая одно критическое обновление для .NET, 22 обновления, оцененных как важные для Visual Studio, одно (низко оцененное) обновление для инструмента Sysinternals и умеренное (как необычно!) обновление до более старых неподдерживаемых версий .NET. На первый взгляд, наша команда думала, что это будет большое обновление с большим профилем тестирования. После некоторого изучения это больше похоже на «корпоративную гигиену» для Microsoft с очисткой от небольших исправлений для их основных инструментов разработки.
Добавьте эти обновления в стандартное расписание выпусков для разработчиков.
Adobe Reader (у нас есть гость: AutoDesk)
В этом месяце нет обновлений от Adobe for Reader или Acrobat. Но, как назло (или невезение), у нас есть еще одна «А», о которой нужно беспокоиться. Внедрение Microsoft поддержки внешних CNA (Центр нумерации CVE) в январе разрешили включать сторонние приложения в обновления Microsoft. Раньше Microsoft включала только Adobe. Этот месяц меняет все это с введением трех CVE для AutoDesk.
Эти три обнаруженные уязвимости (CVE-2023-27911, CVE-2023-27910 и CVE-2023-27909), хотя и разработаны Autodesk, на самом деле являются плагинами для (более старой, неподдерживаемой) версии Microsoft Visual Studio. Вот почему эти три проблемы были включены в выпуск обновлений во вторник этого месяца. Добавьте эти обновления в свой стандартный график выпуска сторонних обновлений. Если раньше у вас его не было, то теперь есть.
Удачного исправления.
Авторское право © 2023 IDG Communications, Inc.
