Geçen haftanın Salı Yaması 73 güncelleme ile başladı, ancak (şimdiye kadar) üç revizyon ve geç bir ekleme ile sona erdi (CVE-2022-30138) bu ay ele alınan toplam 77 güvenlik açığı için. Nisan ayında yayınlanan geniş güncelleme seti ile karşılaştırıldığında, özellikle üç sıfır gün ve önemli sunucu ve kimlik doğrulama alanlarındaki birkaç çok ciddi kusur nedeniyle, Windows’a yama uygulanmasında daha büyük bir aciliyet görüyoruz. Değişim nedeniyle de dikkat gerektirecektir yeni sunucu güncelleme teknolojisi.
Bu ay Microsoft tarayıcıları ve Adobe Reader için güncelleme yapılmadı. Ve Windows 10 20H2 (sizi neredeyse hiç tanımıyorduk) artık desteklenmiyor.
Bu Salı Yaması güncellemelerini dağıtmanın riskleri hakkında daha fazla bilgiyi şurada bulabilirsiniz: bu faydalı infografik, ve MSRC Merkezi, güvenlik güncellemelerini nasıl ele aldığına dair iyi bir genel bakış yayınladı burada.
Bu Mayıs yama döngüsüne dahil edilen çok sayıda değişiklik göz önüne alındığında, test senaryolarını yüksek riskli ve standart risk gruplarına ayırdım:
Yüksek risk: Bu değişikliklerin işlevsellik değişiklikleri içermesi muhtemeldir, mevcut işlevleri kullanımdan kaldırabilir ve muhtemelen yeni test planları oluşturulmasını gerektirecektir:
Aşağıdaki değişikliklerin işlevsel değişiklikleri içerdiği belgelenmemiştir, ancak yine de en azından “duman testi” Mayıs yamalarının genel dağıtımından önce:
Bu ayın testleri, test kaynaklarınızda birkaç yeniden başlatma gerektirecek ve hem (BIOS/UEFI) sanal hem de fiziksel makineleri içermelidir.
Microsoft, bu güncelleştirme döngüsüne dahil olan işletim sistemini ve platformları etkileyen bilinen sorunların bir listesini içerir:
Microsoft, bu sürüm için son düzeltmeleri ve güncellemeleri tartışırken oyununu gerçekten yükseltti. öne çıkanları güncelle video.
Bu ay Nisan ayına kıyasla çok daha az yama listesi olmasına rağmen, Microsoft aşağıdakileri içeren üç revizyon yayınladı:
Mayıs ayı için Microsoft, ciddi bir Windows ağ dosya sistemi güvenlik açığı için önemli bir azaltıcı önlem yayınladı:
Her ay, güncelleme döngüsünü aşağıdaki temel gruplamalarla ürün ailelerine (Microsoft tarafından tanımlandığı şekilde) ayırırız:
Microsoft, bu ay eski (IE) veya Chromium (Edge) tarayıcılarında herhangi bir güncelleme yayınlamadı. Microsoft’u son on yılda rahatsız eden kritik sorunların sayısında düşüş eğilimi görüyoruz. Benim düşüncem, Chromium projesine geçişin hem geliştirme ekibi hem de kullanıcılar için kesin bir “süper artı artı kazan-kazan” olduğu yönünde.
Eski tarayıcılardan bahsetmişken, buna hazırlanmamız gerekiyor. IE’nin emekliliği haziran ortasında geliyor. “Hazırlan” derken kutlamayı kastediyorum – elbette, eski uygulamaların eski IE oluşturma motoruna açık bağımlılıkları olmadığından emin olduktan sonra. Lütfen tarayıcı dağıtım programınıza “IE’nin kullanımdan kaldırılışını kutlayın”ı ekleyin. Kullanıcılarınız anlayacaktır.
Windows platformu bu ay altı kritik güncelleme ve önemli olarak derecelendirilen 56 yama aldı. Ne yazık ki, bizim de üç tane sıfırıncı gün açığımız var:
Bu sıfır gün sorunlarına ek olarak, ilgilenmeniz gereken üç sorun daha var:
Ciddi istismarların sayısı ve Mayıs’taki üç sıfır gün göz önüne alındığında, bu ayın Windows güncellemesini “Şimdi Yama” programınıza ekleyin.
Microsoft, Microsoft Office platformu (Excel, SharePoint) için tümü önemli olarak derecelendirilen yalnızca dört güncelleştirme yayınladı. Tüm bu güncellemelerin istismar edilmesi zordur (hem kullanıcı etkileşimi hem de hedef sisteme yerel erişim gerektirir) ve yalnızca 32 bit platformları etkiler. Bu düşük profilli, düşük riskli Office güncelleştirmelerini standart yayın programınıza ekleyin.
Microsoft, Exchange Server için tek bir güncelleme yayınladı (CVE-2022-21978) önemli olarak derecelendirildi ve istismar edilmesi oldukça zor görünüyor. Bu ayrıcalık yükselmesi güvenlik açığı, sunucuya tam olarak kimliği doğrulanmış erişim gerektirir ve şimdiye kadar herhangi bir kamuya ifşa veya kötüye kullanım raporu olmamıştır.
Daha da önemlisi, bu ay Microsoft yeni bir Microsoft Exchange sunucularını güncelleme yöntemi bu şimdi şunları içerir:
Bu, Exchange yöneticilerinin sunucu sistemlerini yönetici olmayan bir bağlamda güncelleyerek kötü bir sunucu durumuna yol açması sorununu çözme girişimidir. Yeni EXE formatı, komut satırı kurulumlarına ve daha iyi kurulum günlüğüne izin verir. Microsoft, aşağıdaki EXE komut satırı örneğini faydalı bir şekilde yayımladı:
“Setup.exe /IAcceptExchangeServerLicenseTerms_DiagnosticDataON /PrepareAllDomains”
Not, Microsoft, yeni EXE yükleme biçimini kullanmadan önce %Temp% ortam değişkenine sahip olmanızı önerir. Exchange’i güncellemek için EXE kullanmanın yeni yöntemini izlerseniz, yine de aylık olarak (ayrı olarak) dağıtmanız gerekeceğini unutmayın. SSU sunucularınızın güncel olduğundan emin olmak için güncelleme yapın. Bu güncellemeyi (veya EXE’yi) standart yayın programınıza ekleyin ve tüm güncellemeler tamamlandığında tam bir yeniden başlatmanın gerçekleştirilmesini sağlayın.
Microsoft geliştirme platformları
Microsoft, önemli olarak derecelendirilen beş güncelleme ve düşük dereceli tek bir yama yayınladı. Tüm bu yamalar Visual Studio’yu ve .NET çerçevesini etkiler. Bildirilen bu güvenlik açıklarını gidermek için Visual Studio örneklerinizi güncelleyeceğiniz için, aşağıdakileri okumanızı öneririz. Visual Studio Nisan güncelleme kılavuzu.
Güvenlik açısından ele alınan belirli konular hakkında daha fazla bilgi edinmek için, Mayıs 2022 .NET güncellemesi blog gönderisi yararlı olacaktır. Bunu not ederek.NET 5.0 artık desteğin sonuna ulaştı ve .NET 7’ye yükseltmeden önce, uyumluluk veya “değişiklikleri kırmak“Bunun ele alınması gerekiyor. Bu orta riskli güncellemeleri standart güncelleme programınıza ekleyin.
Adobe (gerçekten sadece Reader)
Bir eğilim görebileceğimizi düşündüm. Bu ay için Adobe Reader güncellemesi yok. Bununla birlikte, Adobe burada bulunan diğer ürünler için bir dizi güncelleme yayınladı: APSB22-21. Bakalım Haziran’da ne olacak – belki emekli olabiliriz ikisi birden Adobe Reader ve IE.