Chociaż wracamy do comiesięcznych aktualizacji przeglądarek po krótkiej przerwie w zeszłym miesiącu — żaden z listopadowych problemów z bezpieczeństwem przeglądarek nie jest podatny na robaki i nie widzieliśmy niczego, co wymagałoby powrotu do pilnego cyklu aktualizacji przeglądarki. Platforma Windows cieszy się tym razem największą uwagą, ale żaden pojedynczy problem nie wymaga natychmiastowego wdrożenia — chociaż niektóre starsze systemy mogą wymagać pełnego testowania aplikacji intensywnie korzystających z grafiki, które opierają się na starszej technologii konwersji grafiki/mediów. A pakiet Microsoft Office i powiązane platformy programistyczne otrzymują kilka łat o niższej ocenie, z zaleceniami dotyczącymi standardowego systemu wdrażania.
Zamieściliśmy pomocną infografikę, która w tym miesiącu wygląda nieco krzywo, ponieważ cała uwaga powinna być skupiona na komponentach systemu Windows.
Współpracując z firmą Microsoft, opracowaliśmy system, który odpytuje aktualizacje firmy Microsoft i dopasowuje wszelkie zmiany plików (delty) wydawane co miesiąc do naszej biblioteki testowej. Rezultatem jest macierz testowa „gorącego punktu”, która napędza nasz proces testowania portfela. W tym miesiącu nasza analiza wtorkowego wydania łatki wygenerowała następujące scenariusze testowe:
Przetestuj połączenie za pośrednictwem Podłączania pulpitu zdalnego i sieci VPN i potwierdź, że operacje kopiowania/wklejania między urządzeniami i podłączonymi urządzeniami powiodły się.
Testuj aplikacje, które renderują duże okna na urządzeniach z procesorem GPU.
Upewnij się, że pliki EMF są odtwarzane zgodnie z oczekiwaniami i że pliki EMF można pomyślnie przekonwertować na pliki EMF+.
Testuj aplikacje JScript, które używają rekurencyjnych wywołań funkcji.
Co miesiąc firma Microsoft udostępnia listę znanych problemów związanych z systemem operacyjnym i platformami uwzględnionymi w tym cyklu aktualizacji. Oto kilka kluczowych kwestii związanych z najnowszymi kompilacjami firmy Microsoft:
Microsoft SharePoint (2016 i 2019): Podczas próby ręcznego zainstalowania tej aktualizacji zabezpieczeń przez dwukrotne kliknięcie pliku aktualizacji (.msp) w celu uruchomienia go w trybie normalnym (czyli nie jako administrator), niektóre pliki nie są poprawnie aktualizowane . Aby dokończyć instalację i upewnić się, że aktualizacja została poprawnie zastosowana, firma Microsoft udostępnia tutaj szczegółowe informacje na temat obejścia problemu.
Windows 10 (1909 i nowsze): Certyfikaty systemu i użytkownika mogą zostać utracone podczas aktualizacji urządzenia z systemu Windows 10 w wersji 1809 lub nowszej do nowszej wersji systemu Windows 10. Aby uzyskać więcej informacji o problemach, obejściach i aktualnie rozwiązanych problemach , zobacz KB4564002.
Windows 10 (2004 i nowsze): niektóre japońskie znaki Katakana o połowie szerokości i pełnej szerokości ze znakiem spółgłoski nie są interpretowane jako ten sam znak. W tej chwili nie ma opublikowanych poprawek ani obejścia.
Windows ESU: Po zainstalowaniu tej aktualizacji i ponownym uruchomieniu urządzenia może pojawić się błąd „Nie można skonfigurować aktualizacji systemu Windows. Cofanie zmian. Nie wyłączaj komputera.' Microsoft pracuje nad tym. Proponuję poczekać do przyszłego tygodnia przed wdrożeniami na dużą skalę w starszych systemach.
Podsumowanie znanych problemów firmy Microsoft dotyczące tego wydania można znaleźć na jednej stronie.
W tym miesiącu mamy jedną główną poprawkę z powodów związanych z dokumentacją opublikowaną przez firmę Microsoft:
CVE-2020-16943: Odpowiednie platformy docelowe zostały zaktualizowane pod kątem tej luki do Microsoft Dynamics. Nie są wymagane żadne (dalsze) działania.
Firma Microsoft opublikowała niewielką liczbę obejść i strategii łagodzących, które mają zastosowanie do luk w zabezpieczeniach (CVE) rozwiązanych w tym miesiącu, w tym:
CVE-2020-17049: Firma Microsoft opublikowała dodatkowe kroki w celu złagodzenia skutków luki w infrastrukturze Windows Kerberos związanej z kluczem rejestru: HKEY_LOCAL_MACHINESystemCurrentControlSetServicesKdc
CVE-2020-17052: Firma Microsoft opublikowała zalecane rozwiązanie problemu tej luki w składniku MS Script (używanym we wszystkich przeglądarkach firmy Microsoft), która wpływa na ograniczanie przepustowości sieci. Więcej informacji znajduje się w sekcji Przeglądarka (poniżej).
Co miesiąc dzielimy cykl aktualizacji na rodziny produktów (zgodnie z definicją firmy Microsoft) z następującymi podstawowymi grupami:
Przeglądarki (Microsoft IE i Edge)
Microsoft Windows (zarówno komputerowy, jak i serwerowy)
Microsoft Office (w tym aplikacje internetowe i Exchange)
Platformy programistyczne Microsoft (ASP.NET Core, .NET Core i Chakra Core)
Adobe Flash Player
Firma Microsoft wydała pięć aktualizacji dla platform przeglądarek, z których cztery zostały ocenione jako krytyczne, a pozostała aktualizacja została oceniona przez firmę Microsoft jako ważna. Te aktualizacje przeglądarki są zgrupowane w grupy funkcjonalne:
Przeglądarki Microsoft: problemy z uszkodzeniem pamięci (CVE-2020-17053, CVE-2020-17058);
Aparat skryptów firmy Microsoft (CVE-2020-17052);
Aparat skryptowy Microsoft Chakra (CVE-2020-17048, CVE-2020-17054),
Jedna z poprawek przeglądarki (CVE-2020-17052) zawiera zalecane łagodzenie tej luki, które obejmuje:
„Aby wyeliminować tę lukę, można by zdefiniować i zastosować w organizacji politykę ograniczania dla subskrypcji EWSMax o wartości zerowej. Uniemożliwi to serwerowi Exchange wysyłanie powiadomień EWS, a aplikacje klienckie, które korzystają z powiadomień EWS, nie będą działać normalnie”.
Więcej informacji o technologii ograniczania przepustowości sieci firmy Microsoft i sposobie stosowania odpowiednich zasad można znaleźć tutaj. Wszystkie te aktualizacje przeglądarki dotyczą trudnych do wykorzystania, złożonych scenariuszy bezpieczeństwa, które wymagają interakcji użytkownika w celu złamania systemu docelowego. Biorąc pod uwagę, że te luki nie zostały zgłoszone jako publicznie wykorzystane lub ujawnione, zalecamy dodanie tych poprawek przeglądarki do standardowego harmonogramu wdrażania poprawek.
Firma Microsoft wydała 12 aktualizacji krytycznych i 54 poprawki ocenione jako ważne dla tego cyklu aktualizacji. Te listopadowe aktualizacje systemu Windows obejmują następujące obszary:
Windows Defender (CVE-2020-17090);
Jądro Windows (CVE-2020-17087, CVE-2020-17035);
Windows NDIS (CVE-2020-17088);
Stos aktualizacji systemu Windows (CVE-2020-17070 — CVE-2020-17088);
Portfel Windows (CVE-2020-16999, CVE-2020-17037);
składnik graficzny firmy Microsoft;
Wspólny sterownik systemu plików dziennika (CVE-2020-17088);
Biblioteka kodeków Microsoft Windows.
Wszystkie krytyczne aktualizacje dotyczą rozwiązywania problemów z aparatem i kodekiem firmy Microsoft. Chociaż te zgłoszone luki w zabezpieczeniach wymagają lokalnego dostępu, w zaatakowanym systemie możliwa jest pełna kontrola i wykonanie dowolnego kodu. Te ataki (skoncentrowane na kodekach) są stosunkowo łatwe do wykorzystania i mogą prowadzić do scenariusza zdalnego wykonania kodu (RCE) z pełną kontrolą nad systemem docelowym. Historycznie największe problemy z aktualizacjami stosu Windows GDI (grafika) wynikały z kiepskich praktyk pakowania aplikacji; dostawcy i/lub integratorzy systemów umieścili w swoich pakietach podstawowe biblioteki systemowe (DLL) — co sprawia, że aktualizacje, takie jak aktualizacje GDI i jądra systemu Windows w tym miesiącu, są naprawdę kłopotliwe. Na szczęście ta praktyka została zmniejszona dzięki lepszym MSI dostawców i lepszym praktykom pakowania. Przed wdrożeniem tej aktualizacji upewnij się, że pakiety aplikacji są „czyste” (nie zawierają GDI.DLL ani Win32K.sys) — w przeciwnym razie możesz napotkać trudne scenariusze rozwiązywania problemów z bardzo złożonymi aplikacjami.
Dodaj tę aktualizację do standardowego harmonogramu aktualizacji pulpitu.
Firma Microsoft rozesłała w tym miesiącu 22 aktualizacje platformy Microsoft Office (w tym Exchange Server i Microsoft Dynamics), które obejmują następujące grupy aplikacji lub funkcji:
Microsoft Teams (CVE-2020-17091);
Microsoft Office SharePoint (CVE-2020-17015 - CVE-2020-17017);
Kod wspólny/wspólny firmy Microsoft (CVE-2020-17062 - CVE-2020-17067).
Dwadzieścia jeden z tych aktualizacji jest ocenianych przez firmę Microsoft jako ważne, a ostatnia (SharePoint) otrzymuje niską ocenę. Myślę, że powodem, dla którego te załatane luki są oceniane przez Microsoft niżej, jest to, że do złamania docelowej platformy wymagany jest dostęp lokalny lub wektor ataku (metoda dostępu) jest bardzo złożony. Są to trudne do wykorzystania luki, które wymagają interakcji użytkownika. Te poprawki dotyczą programów Word, Excel i Access, dlatego warto przetestować aplikacje opracowane wewnętrznie, zwłaszcza te z makrami lub JScript. Bez pośpiechu; Dodaj te aktualizacje pakietu Office do standardowego wdrożenia.
Firma Microsoft wydała trzy aktualizacje programu Visual Studio, wszystkie ocenione jako ważne. Wszystkie te luki wymagają lokalnego dostępu do systemu docelowego i są stosunkowo trudne do wykorzystania. Oprócz aktualizacji programu Visual Studio firma Microsoft wydała 15 poprawek do linii Azure Sphere. Grupowanie funkcjonalne dla aktualizacji platformy programistycznej Microsoft w tym miesiącu wygląda tak:
Azure DevOps (CVE-2020-1325)
Visual Studio (CVE-2020-17100, CVE-2020-17104)
Błękitna Kula (CVE-2020-16981-CVE-2020-16994
Oferta zabezpieczeń Azure Sphere jest dość nowa i najprawdopodobniej nie będzie znaczącym składnikiem wdrożeń w przedsiębiorstwach. Możesz przeczytać więcej o Azure Sphere. Dlatego skupiając się tylko na aktualizacjach programu Visual Studio, zalecamy dodanie aktualizacji w tym miesiącu do standardowego harmonogramu wydań „Rozwój”.
Firma Microsoft nie wydała w tym miesiącu żadnych aktualizacji (ani bitów „zabicia”) dla żadnego z produktów Adobe (Flash jest pierwszym, który przychodzi na myśl) w tym miesiącu. To powiedziawszy, widziałem teraz usunięcie Flasha (poprzez automatyczną dezinstalację udostępnioną przez aktualizację). Nic złego się nie stało. Tego powinieneś się spodziewać po usunięciu Flasha z systemu. Westchnienie.
Być może zainteresuje Cię perspektywa zarządzania poprawkami, którą obecnie stosujemy. Microsoft zaktualizował swoją dokumentację wydania poprawki o wiele nowych danych, wszystkie opublikowane online i dostępne za pośrednictwem interfejsów API. Zaczęliśmy używać tych nowych danych do tworzenia testowych sekcji „hotspotów”, które szczegółowo opisują, jakie poprawki będą miały wpływ na daną funkcję lub składnik systemu Windows lub zamierzony produkt firmy Microsoft.
Współpracując z Microsoft nad procesem łatania, widzieliśmy, jak poważnie Microsoft traktuje te aktualizacje właściwie (hej, to tylko miliard użytkowników, prawda?). Skupiamy się i nadal będziemy koncentrować na „Co dzieje się z aplikacjami?” W przyszłym miesiącu zobaczysz dodatkowe dane na temat wpływu każdej aktualizacji na poziom funkcji oraz szczegółowe informacje na temat naszych doświadczeń z każdą grupą aktualizacji. Więcej informacji na temat nowego formatu dokumentacji można znaleźć w tym poście w blogu firmy Microsoft.
