Con 55 actualizaciones, tres vulnerabilidades reportadas públicamente y exploits reportados públicamente para Adobe Reader, la actualización del martes de parches de esta semana requerirá tiempo y pruebas antes de la implementación. Hay casos de prueba difíciles (lo estamos analizando, OLE) y las actualizaciones del kernel conducen a implementaciones riesgosas. Concéntrese en las correcciones de IE y Adobe Reader, y tómese su tiempo con las actualizaciones (técnicamente complejas) de Exchange y Windows.
På tal om att ta dig tid, om du fortfarande har Windows 10 1909, är detta din sista månad med säkerhetsuppdateringar. De tre sårbarheterna som offentliggjordes denna månad inkluderar:
- CVE-2021-31204 - Viktig sårbarhet för ökad behörighet i .NET och Visual Studio
- CVE-2021-31207 Microsoft Exchange Server Säkerhetsfunktion Bypass
- CVE-2021-31200 Fjärrkodexekveringssårbarhet i Common Utilities Viktigt
Du kan hitta denna information sammanfattad i denna infografik.
Viktiga testfall
Det rapporterades inga högriskförändringar till Windows-plattformen denna månad. För den här patchcykeln har vi delat upp vår testguide i två avsnitt:
Microsoft Office
- Huvudscenariot att försöka är att konvertera äldre dokument (*.doc) som innehåller former och bilder till det moderna dokumentformatet (*.docx). Ändringen finns i wordconv.exe.
- Testa att ladda och lägga till grafik, med den mycket viktiga testmetoden File/Open/Print/Save (FOPS).
- För Sharepoint, försök att lägga till webbdelar till en TEST-webbplats, särskilt DataFromWebPart
Windows skrivbord och serverplattformar
- Bluetooth: Externa donglar (i synnerhet IrDA- och musanslutningar) kräver ett anslutningstest.
- Källor kommer att behöva testas, särskilt privata källor (ett FOPS-test kommer förmodligen att räcka).
- Testa mappomdirigering och se efter eventuella I/O-prestandaproblem.
Och här är testfallet som borde värma hjärtat hos alla skrivbords- (och server)ingenjörer: Du borde prova OLE-automatisering den här månaden. Vad betyder det? I grund och botten översätts detta till att hitta (och testa) nyckelaffärslogik i internt utvecklade kritiska applikationer som förlitar sig på komplexa, flera sammanhängande komponenter som ibland kräver fjärrservice från en fjärrserver. mycket specifik version av Visual Basic 5.
Kända problem
Varje månad inkluderar Microsoft en lista över kända operativsystem- och plattformsproblem som ingår i den här uppdateringscykeln. Nedan är några viktiga problem med de senaste versionerna från Microsoft, inklusive:
- System- och användarcertifikat kan gå förlorade när du uppgraderar en enhet från Windows 10 1809 eller senare till en nyare version av Windows 10. Enheter kommer bara att påverkas om de redan har installerat den senaste uppdateringen. Kumulativ uppdatering (LCU) som släpptes den 16 september 2020 eller senare, och sedan uppgradera till en senare version av Windows 10 från någon installationsmedia eller källa har inte LCU släppt den 13 oktober 2020 eller senare inbyggd.
- Microsoft Edge Legacy kan tas bort med den här uppdateringen på enheter med Windows-installationer skapade från anpassade offlinemedia eller en anpassad ISO-avbild, men den ersätts inte automatiskt av den nya Microsoft Edge.
- Efter installation av KB4467684 kan klustertjänsten misslyckas med att starta med felet "2245 (NERR_PasswordTooShort)" om grupppolicyn "Minsta lösenordslängd" är inställd på mer än 14 tecken.
Du kan också hitta Microsofts sammanfattning av kända problem för den här versionen på en sida.
viktiga ändringar
Microsoft har inte (per den 14 maj) släppt några större snabbkorrigeringar för denna tisdagsuppdatering.
Begränsningar och lösningar
Än så länge verkar det inte som om Microsoft har släppt några begränsningar eller lösningar för denna aprilversion. Varje månad delar vi upp uppdateringscykeln i produktfamiljer (enligt definitionen av Microsoft) med följande grundläggande grupperingar:
- Webbläsare (Microsoft IE och Edge);
- Microsoft Windows (skrivbord och server);
- Microsoft Office (inklusive webb- och Exchange-applikationer);
- Microsofts utvecklingsplattformar (ASP.NET Core, .NET Core och Chakra Core);
- Adobe (Reader, ja Reader).
webbläsare
Webbläsaruppdateringar är tillbaka i kraft. Och den här gången är det personligt. Holy cow: 35 kritiska uppdateringar för Edge (Chromium-versionen) och en kritisk uppdatering för Internet Explorer 11 (IE11). Alla rapporterade sårbarheter kan leda till ett scenario för fjärrkörning av kod. Allt. Chromium-uppdateringar bör vara relativt enkla att implementera på grund av separationen av Chromium-projektet från skrivbordsoperativsystemet. IE11-uppdateringen är en fullständig binär uppdatering. Alla äldre applikationer måste testas med den här nya versionen. Lägg till den här uppdateringen till din Patch Now-publiceringssatsning.
Microsoft Windows
Microsoft har släppt tre uppdateringar som anses vara kritiska och 22 anses viktiga för denna cykel. Kritiska korrigeringar åtgärdar problem i Hyper-V, hur Windows hanterar HTTP-förfrågningar och OLE Automation-serverproblem. Vi ser inget brådskande behov av att klassificera dessa rapporterade sårbarheter som "Hotfix Now" och tror att testning kommer att bli nödvändig innan distribution till produktion. Utöver dessa farhågor har Microsoft publicerat några mindre gränssnittsproblem med den här uppdateringen: "Windows May Update kan göra att rullningslistens kontroller visas tomma på skärmen och inte fungerar. Det här problemet påverkar 32-bitarsapplikationer som körs på 10-bitars Windows 64 (WOW64) som skapar rullningslister med en USER32.DLL fönsterrullningslist superklass. Dessutom kan det bli en ökning av minnesanvändningen på upp till 4 GB i 64-bitars applikationer när du skapar en rullningslist. " Den här månadens säkerhetsuppdateringar täcker följande huvudfunktioner i Windows:
- Windows-plattform och applikationsramverk;
- Kernel Windows;
- Microsoft Script Engine;
- Windows Silicon Platform.
Den här månadens högst rankade patch är CVE-2021-31194, en allvarlig sårbarhet i Microsoft OLE Automation Engine. Den här uppdateringen kommer att vara svår att testa eftersom du måste hitta en applikation med en OLE-server och jämföra resultaten mellan de två versionerna. Microsoft har också gett råd om hur du tar bort fjärråtkomst till JET-databaser, som du hittar här. Lägg till dessa Windows-uppdateringar till din standardversionscykel med fokus på att testa dina kärnverksamhetsapplikationer för OLE-, JET- och Hyper-V-beroenden.
Microsoft Office
Den här månadens Microsoft Office Productivity Platform-fixar och uppdateringar påverkar följande basversioner:
- Office 2013 (kund): SP1 - 15.0.4569.1506;
- SharePoint 2013 (server): SP1 - 15.0.4569.1506 y 15.0.4571.1502;
- Office 2016 (kund): RTM - 16.0.4266.1001;
- SharePoint 2016 (server): RTM - 16.0.4351.1000.
Vi har en enkel resa den här månaden med Office-fixar. Det finns inga sårbarheter klassade som kritiska och endast 17 klassade som viktiga. Om du fortfarande använder JET-databaser måste du se till att du har tagit bort fjärråtkomst med denna supportnotis från Microsoft. Lägg till dessa relativt små korrigeringar till ditt vanliga Office-uppdateringsschema.
Microsoft Exchange
Efter att ha uppdaterat Adobe Reader (se nedan) måste du lägga lite tid på den senaste Microsoft Exchange Server-uppdateringen. Med tre uppdateringar klassade som Major och endast en patch släppt som Moderate, är denna uppdateringscykel förknippad med allvarliga problem med nätfiske och säkerhetsbypass. Microsoft har släppt följande anteckning om den tekniska utmaningen med att uppdatera din Exchange-server, som inkluderar: "När du försöker installera den här säkerhetsuppdateringen manuellt genom att dubbelklicka på uppdateringsfilen (.MSP) för att köra den i normalt läge (det vill säga, inte som administratör ), uppdateras vissa filer inte korrekt. När det här problemet uppstår får du inget felmeddelande eller någon indikation på att säkerhetsuppdateringen inte installerades korrekt. Men Outlook Web Access (OWA) och kontrollpanelen Exchange Control (ECP) kan sluta fungera." Ta dig tid, dessa problem är inte brådskande (som förra månaden). Vi lyssnar fortfarande och upplever problem med att uppdatera Exchange-servern och även om vi inte förväntar oss några kompatibilitets- eller funktionsproblem med den här Exchange-uppdateringen, kan det krävas uppmärksamhet för att få rätt logistik med den här majuppdateringen. Lägg till den här Exchange Server-uppdateringen till din vanliga program för utgivning av patch.
Microsofts utvecklingsplattformar
Microsoft har släppt fem uppdateringar av utvecklarverktyg, som alla ansågs vara viktiga, och påverkar Visual Studio och Microsoft .NET (som har ett gränssnittsberoende med Visual Studio). Följande specifika produktgrupper uppdateras denna månad:
- Visual Studio Code Remote - Container Extension;
- Microsoft Visual Studio 2019;
- .NET 5.0 och .NET Core 3.1.
Uppdateringen av Visual Studios Container-komponenten (CVE-2021-31204) kommer sannolikt att kräva mest uppmärksamhet denna månad, på grund av den offentliga rapporteringen av denna sårbarhet för fjärrkörning av kod. De återstående fyra frågorna kräver användarinteraktion och lokal åtkomst till målsystemet (därav det viktiga meddelandet från Microsoft). Lägg till dessa uppdateringar till din standardutgivningscykel för utvecklingsuppdatering.
Adobe (denna månad är det Reader, Adobe Reader)
Även om Microsoft inte inkluderade en Adobe-patch i sin utgivningscykel, fanns det en viktig patch för Adobe Reader i den senaste Adobe-patchuppdateringen. Adobe har rapporterat att sårbarheten CVE-2021-28550 har utnyttjats i naturen. Tyvärr gör detta Adobes problem till en nolldag som påverkar alla Microsoft-enheter med en sårbarhet för fjärrkörning av kod som kan resultera i full åtkomst till det komprometterade systemet. Lägg till Adobe Reader-uppdateringen till startprogrammet "Patcha nu". Och ja, jag trodde verkligen att vi kunde ta bort det här avsnittet. Kanske nästa gång.
<p>Copyright © 2021 IDG Communications, Inc.</p>