Patch tisdag: Två nolldagarsbrister i Windows kräver omedelbar uppmärksamhet

Patch tisdag: Två nolldagarsbrister i Windows kräver omedelbar uppmärksamhet

Microsofts December Patch Tuesday-uppdatering levererar 59 korrigeringar, inklusive två nolldagarsfixar (CVE-2022-44698 och CVE-2022-44710) som kräver omedelbar uppmärksamhet på Windows-plattformen. Detta är en nätverkscentrerad uppgradering (TCP/IP och RDP) som kommer att kräva betydande tester med fokus på ODBC-anslutningar, Hyper-V-system, Kerberos-autentisering och utskrift (lokal och fjärr).

Microsoft har också släppt en akut out-of-band-uppdatering (CVE-2022-37966) för att lösa allvarliga Kerberos-autentiseringsproblem. (Readiness-teamet har tillhandahållit en användbar infografik som beskriver riskerna förknippade med var och en av dessa uppdateringar.)

Och Windows Hot-Patching för virtuella Azure-maskiner (VM) är nu tillgängligt.

Kända problem

Varje månad inkluderar Microsoft en lista över kända problem relaterade till operativsystemet och plattformarna som ingår i den uppdateringscykeln.

Som förberedelse för denna månads uppdatering för Windows 10- och 11-system rekommenderar vi att du kör en bedömning av alla applikationspaket och kontrollerar om det finns ett beroende av SQLSRV32.DLL-systemfilen. Om du behöver inspektera ett specifikt system, öppna en kommandotolk och kör kommandot "tasklist /m sqlsrv32.dll". Detta bör lista alla processer som är beroende av den här filen.

viktiga ändringar

Microsoft har bara släppt en snabbkorrigering denna månad, utan ytterligare snabbkorrigeringar för tidigare patchar eller uppdateringar.

Begränsning och lösningar

Även om flera dokumentationsuppdateringar och vanliga frågor har lagts till i den här versionen, har Microsoft bara släppt en begränsning:

testguide

Varje månad granskar beredskapsteamet de senaste uppdateringarna och ger testvägledning. Detta råd är baserat på utvärdering av en bred applikationsportfölj och detaljerad analys av Microsofts patchar och deras potentiella inverkan på Windows-plattformar och applikationsinstallationer.

Med tanke på det stora antalet förändringar som ingår i denna cykel, delade jag in testfallen i högrisk- och standardriskgrupper.

Hög risk: Den här månaden har Microsoft inte registrerat några högriskfunktionsändringar. Det betyder att du inte har gjort några större ändringar i kärn-API:erna eller funktionaliteten hos någon av kärnkomponenterna eller applikationerna som ingår i Windows-skrivbords- och serverekosystemen.

Mer generellt, med tanke på den här uppdateringens breda karaktär (Office och Windows), föreslår vi att du testar följande Windows-funktioner och -komponenter:

Utöver dessa ändringar och testkrav har jag inkluderat några av de svårare testscenarionerna för den här uppdateringen:

Efter förra månadens Kerberos-autentiseringsuppdatering rapporterades flera autentiseringsrelaterade problem, särskilt med fjärrskrivbordsanslutningar. Microsoft har beskrivit följande scenarier och relaterade problem som åtgärdats den här månaden:

Alla dessa scenarier kräver omfattande tester innan en allmän version av decemberuppdateringen.

Om inget annat anges måste vi nu anta att varje Patch Tuesday-uppdatering kommer att kräva testning av grundläggande utskriftsfunktioner, inklusive:

Windows livscykeluppdatering

Det här avsnittet innehåller viktiga underhållsändringar (och de flesta säkerhetsuppdateringar) för Windows-skrivbords- och serverplattformar. Eftersom det här är en uppdatering för slutet av året finns det en hel del "End of Service"-ändringar, inklusive:

Varje månad delar vi upp releasecykeln i produktfamiljer (enligt definitionen av Microsoft) med följande grundläggande grupperingar:

webbläsare

Efter en välkommen trend med icke-kritiska uppdateringar till Microsofts webbläsare, erbjuder den här uppdateringen bara tre (CVE-2022-44668, CVE-2022-44708 och CVE-2022-41115), som alla anses viktiga. Dessa uppdateringar påverkar webbläsaren Microsoft Chromium och bör ha liten eller marginell inverkan på dina applikationer. Lägg till dessa uppdateringar till ditt standardprogram för utgivning av patch.

fönstren

Microsoft släppte patchar till Windows-ekosystemet denna månad som adresserar tre kritiska uppdateringar (CVE-2022-44676, CVE-2022-44670 och CVE-2022-41076), med 24 klassade som viktiga och två måttliga. Tyvärr har vi den här månaden dessa två nolldagar som påverkar Windows med rapporter om att CVE-2022-44698 exploateras i naturen och att CVE-2022-44710 har läckt ut offentligt. Vi har tagit fram specifika testrekommendationer och noterar att det finns rapporterade problem med Kerberos-, Hyper-V- och ODBC-anslutningar.

Lägg till den här uppdateringen till ditt "Patch Now"-släppschema.

Microsoft Office

Microsoft har korrigerat två kritiska sårbarheter i SharePoint Server (CVE-202244693 och CVE-2022-44690) som är relativt lätta att utnyttja och inte kräver någon användarinteraktion. De återstående två sårbarheterna påverkar Microsoft Visio (CVE-2022-44696 och CVE-2022-44695) och är diskreta ändringar med låg inverkan. Om du inte är värd för dina egna SharePoint-servrar (varför?), lägg till dessa uppdateringar från Microsoft till ditt standardutgivningsschema.

Microsoft Exchange Server

Microsoft har inte släppt några säkerhetsuppdateringar, korrigeringar eller begränsningar för Microsoft Exchange Server. Puh!

Microsofts utvecklingsplattformar

Microsoft fixade två kritiska sårbarheter i Microsoft .NET (CVE-2022-41089) och PowerShell (CVE-2022-41076) denna månad. Även om båda säkerhetsproblemen klassificeras som kritiska kräver de lokal administratörsåtkomst och anses vara svåra och komplicerade att utnyttja. Mark Russinovichs Sysmon behöver också en uppdatering med sårbarhet för utökad behörighet CVE-2022-44704 och alla versioner av Visual Studio som stöds kommer att patchas. Lägg till dessa uppdateringar till ditt standardutgivningsschema för utvecklare.

Adobe Reader (fortfarande tillgänglig, men inte denna månad)

Adobe har släppt tre kategori 3-uppdateringar (motsvarande Microsoft Important Notice) för Illustrator, Experience Manager och Campaign (Classic). Det finns inga Adobe Reader-uppdateringar denna månad.

Copyright © 2022 IDG Communications, Inc.