Обновление Microsoft Patch вторник этого месяца устраняет 84 уязвимости и одну уязвимость нулевого дня, затрагивающую Microsoft Exchange, которые на данный момент остаются неустраненными. Обновления Windows сосредоточены на сетевых компонентах и компонентах безопасности Microsoft, а обновление для COM и OLE db трудно проверить. И браузеры Microsoft получают 18 обновлений, ничего критического или срочного.
Таким образом, в этом месяце основное внимание уделяется Microsoft Exchange и реализации мер по смягчению последствий, а не обновлению серверов, на следующей неделе. Вы можете найти дополнительную информацию о рисках, связанных с внедрением этих обновлений Patch Tuesday, в этой инфографике.
Microsoft продолжает совершенствовать как свои отчеты об уязвимостях, так и уведомления с помощью новой RSS-ленты, а Adobe последовала их примеру, улучшив отчеты и документацию по выпускам. Напоминаем, что поддержка Windows 10 21H1 заканчивается в декабре.
Основные сценарии тестирования
Учитывая большое количество изменений, включенных в этом месяце, я разделил тестовые случаи на группы высокого и стандартного риска:
Высокий риск: В октябре Microsoft не зафиксировала каких-либо изменений функций с высоким уровнем риска. Это означает, что вы не вносили каких-либо серьезных изменений в основные API-интерфейсы или функции каких-либо основных компонентов или приложений, включенных в экосистемы настольных компьютеров и серверов Windows.
В целом, учитывая широкий характер этого обновления (Office и Windows), мы предлагаем протестировать следующие функции и компоненты Windows:
- Для обновления GDI (GDIPLUS.DLL) требуются тесты EMF, 16-разрядные и 32-разрядные файлы палитр (открытие, печать и создание).
- Диспетчер приложений Microsoft для настольных ПК был обновлен и потребует как подготовки, так и отмены подготовки приложения (требуется пробная установка и удаление).
- Система Windows CLFS была обновлена, и теперь требуется краткий тест создания, чтения, обновления и удаления файлов журналов.
Помимо этих тестовых изменений и требований, я включил некоторые из более сложных тестовых сценариев:
- OLE DB. Почтенный Microsoft OLE DB был обновлен и требует, чтобы все приложения, зависящие от SQL Server 2012 или ADO.NET, были полностью протестированы перед развертыванием. Этот компонент Microsoft COM (OLE DB) отделяет данные от логики приложения с помощью набора подключений, которые обращаются к источнику данных, сеансам, командам SQL и данным набора строк.
- Перемещение учетных данных, ключей шифрования и сертификатов. Дополнительные сведения о перемещении учетных данных см. в публикации Джима Тирни Microsoft и в этом прекрасном введении в перемещение учетных данных.
- Зашифрованные VPN-подключения: в этом месяце Microsoft обновила компоненты IKEv2 и L2TP/IPsec. Тесты с удаленными подключениями должны занимать более восьми часов. Если у вас возникли проблемы с этим обновлением, Microsoft выпустила руководство по устранению неполадок L2TP/IPSec VPN.
Если не указано иное, теперь мы должны предположить, что каждое обновление «Вторник исправлений» потребует тестирования основных функций печати, в том числе:
- печать с напрямую подключенных принтеров;
- большие задания на печать с серверов (особенно если они также являются контроллерами домена);
- удаленная печать (используя RDP и VPN).
Известные вопросы
Каждый месяц Microsoft включает список известных проблем, связанных с операционной системой и платформами, включенными в этот цикл обновления.
- На устройствах с установками Windows, созданными с пользовательского автономного носителя или пользовательского образа ISO, устаревшая версия Microsoft Edge может быть удалена этим обновлением, но не будет автоматически заменена новой версией Microsoft Edge. Для устранения этой проблемы потребуется полная/новая установка Microsoft Edge.
- Microsoft SharePoint: это обновление может повлиять на некоторые сценарии рабочего процесса SharePoint 2010. Оно также создает теги событий «6ksbk» в журналах единой системы ведения журналов SharePoint (ULS).
Сообщаемая проблема с последним обновлением стека обслуживания Microsoft (SSU) KB5018410 заключается в том, что предпочтения групповой политики могут не работать. Microsoft работает над исправлением; Тем временем компания выпустила следующие меры по смягчению последствий:
Если это подстановочный знак
используется либо в местоположении, либо в месте назначения, удаление завершающего символа "" (обратная косая черта, без кавычек) из места назначения может обеспечить успешное копирование. Важные исправления
На сегодняшний день Microsoft не выпустила каких-либо серьезных изменений в свои рекомендации по безопасности.
- Смягчение и обходные пути
- В этом вторнике октябрьского обновления есть два решения и четыре обходных пути, в том числе:
CVE-2022-41803: повышение прав кода Visual Studio. Microsoft выпустила быстрое исправление для этой уязвимости в системе безопасности, в котором говорится: «Создайте папку C:ProgramDatajupyterkernels и настройте ее так, чтобы только текущий пользователь мог писать».
CVE-2022-22041: повышение прав диспетчера очереди печати Windows. Совет по обходному пути, опубликованный Microsoft для устранения этой уязвимости, состоит в том, чтобы остановить службу диспетчера очереди печати на целевом компьютере с помощью следующих команд PowerShell: «Stop-Service -Name Spooler -Force и Set-Service -Name Spooler -StartupType disabled». Это остановит локальную очередь печати на машине и все службы печати, используемые этой системой.
- Microsoft также отметила, что указанные ниже сетевые уязвимости не затрагивают эти системы, если IPv6 отключен, и их можно устранить с помощью следующей команды PowerShell: «Get-Service Ikeext:».
- Каждый месяц мы разбиваем цикл выпуска на семейства продуктов (согласно определению Microsoft) со следующими основными группами:
- Браузеры (Microsoft IE и Edge);
- Microsoft Windows (настольная и серверная);
- Microsoft Office;
- Microsoft Exchange;
Платформы разработки Microsoft (ASP.NET Core, .NET Core и Chakra Core);
Adobe (на пенсии???, может быть, в следующем году).
браузеров
Microsoft выпустила 18 обновлений для Edge (Chromium). Только CVE-2022-41035 относится именно к браузеру, а остальные относятся к Chromium. Вы можете найти примечание к выпуску этого месяца здесь. Это некритические, автоматические исправления для последнего браузера Microsoft; они могут быть добавлены к вашему стандартному графику публикаций.
- окна
- Microsoft предоставляет исправления для 10 критических уязвимостей и 57 важных уязвимостей, которые охватывают следующие группы функций платформы Windows:
- Сети Windows (DNS, TLS, удаленный доступ и стек TCP/IP);
- Криптография (расширения IKE и Kerberos);
- Печать (снова);
Microsoft COM и OLE DB;
Удаленный рабочий стол (Диспетчер подключений и API).
Сообщается, что уязвимость объекта COM+ (CVE-2022-41033) используется в реальных условиях. Это усложняет задачу командам по развертыванию исправлений и обновлений. Тестирование COM-объектов часто затруднено из-за необходимой бизнес-логики, содержащейся в приложении. Кроме того, выяснить, какие приложения зависят от этой функции, непросто. Это особенно касается приложений, разработанных внутри компании, или для бизнес-направления из-за критичности бизнеса. Мы рекомендуем вам оценить, изолировать и протестировать ключевые бизнес-приложения, которые имеют зависимости COM и OLE dB, до общего развертывания октябрьского обновления. Добавьте это обновление Windows в свою программу «Исправление сейчас».
С другой стороны, Microsoft выпустила еще одно видео об обновлении Windows 11.
"DisableSupportDiagnostics"=dword:00000001;
Перезагрузите вашу систему.
Учитывая эти изменения и автоматические обновления, мы предлагаем добавить эти исправления Office в стандартный график выпуска.
Сервер Microsoft Exchange
Мы должны были начать обновления Microsoft Exchange в этом месяце. Критические уязвимости удаленного выполнения pcode (CVE-2022-41082 и CVE-2022-41040) в Exchange были зарегистрированы как эксплуатируемые в дикой природе и не были исправлены этим обновлением для системы безопасности. Патчи доступны и являются официальными от Microsoft. Однако эти два обновления Microsoft Exchange Server не устраняют уязвимости полностью.
Блог команды Microsoft Exchange подробно объясняет этот момент в середине примечания к выпуску:
«Октябрьские SU за 2022 г. не содержат исправлений для уязвимостей нулевого дня, о которых сообщалось публично 29 сентября 2022 г. (CVE-2022-41040 и CVE-2022-41082). Пожалуйста, обратитесь к этому сообщению в блоге, чтобы применить меры по устранению этих уязвимостей. Мы выпустит обновления для CVE-2022-41040 и CVE-2022-41082, когда они будут готовы».
Корпорация Майкрософт выпустила руководство по устранению этих серьезных проблем с безопасностью Exchange, которое охватывает:
Мы рекомендуем вам внедрить средства защиты URL и PowerShell для всех ваших серверов Exchange. Следите за этим пространством, так как на следующей неделе мы увидим обновление от Microsoft.
Платформы разработки Microsoft
Microsoft выпустила четыре обновления (все считаются важными) для Visual Studio и .NET. Хотя все четыре уязвимости (CVE-2022-41032, CVE-2022-41032, CVE-2022-41034 и CVE-2022-41083) имеют стандартные записи в Microsoft Security Update Guide (MSUG), команда Visual Studio также опубликовала их. 17.3 Примечания к патчу. (И, как и в случае с Windows 11, у нас даже есть видео.) Эти четыре обновления представляют собой дискретные обновления платформы разработки с низким уровнем риска. Добавьте их в свой стандартный график выпуска релизов для разработчиков.
Adobe (действительно только Reader)
Adobe Reader был обновлен (APSB22-46) для устранения шести уязвимостей, связанных с памятью. В этом выпуске Adobe также обновила документацию по выпуску, включив в нее известные проблемы и запланированные примечания к выпуску. Эти примечания относятся как к Windows, так и к MacOS, а также к обеим версиям Reader (DC и Continuous). Шесть обнаруженных уязвимостей имеют самый низкий рейтинг Adobe — 3, для которых Adobe предлагает следующие рекомендации по исправлению: «Adobe рекомендует администраторам устанавливать обновление по своему усмотрению».
Мы согласны: добавьте эти обновления Adobe Reader в свой стандартный график развертывания исправлений. © 2022 IDG Communications, Inc.