14 Haziran’da yayınlanan Haziran Yaması Salı güncellemeleri, Windows, SQL Server, Microsoft Office ve Visual Studio’daki 55 güvenlik açığını giderir (bu ay oo Microsoft Exchange Server veya Adobe güncellemeleri olsa da). Ve önemli bir Windows bileşeninde sıfır gün güvenlik açığı, CVE-2022-30190, .NET, Office ve SQL Server güncellemeleri standart bir yayın planına dahil edilebilirken, Windows için “Şimdi Yama Yap” önerisine yol açtı.
Bu Salı Yaması güncellemelerini dağıtma riski hakkında daha fazla bilgi bulabilirsiniz. bu infografikte.
Bu Haziran yama döngüsüne dahil edilen çok sayıda değişiklik göz önüne alındığında, yüksek risk ve standart risk grupları için test senaryolarını dağıttım.
Bu yüksek riskli değişikliklerin işlevsellik değişiklikleri içermesi muhtemeldir, mevcut işlevleri kullanımdan kaldırabilir ve muhtemelen yeni test planları gerektirecektir. İmzalı sürücülerinizi fiziksel ve sanal makineler (BIOS ve UEFI) kullanarak ve tüm platformlarda (x86, 64-bit) test edin:
Bu yüksek riskli test döngülerinin her biri bir manuel kapatma, yeniden başlatma ve yeniden başlatma içermelidir. Aşağıdaki değişikliklerin işlevsel değişiklikleri içerdiği belgelenmemiştir, ancak yine de en azından “duman testi” genel dağıtımdan önce:
Bu standart test yönergelerine ek olarak, tüm temel uygulamaların kendi kendine onarım, kaldırma ve güncellemeyi içeren bir test rejiminden geçmesini öneririz. Bunun nedeni, bu ay Windows Installer’da (MSI) yapılan değişikliklerdir. Yeterli BT departmanı, uygulama portföylerinin güncelleme, onarım ve kaldırma işlevlerini test etmiyor. Kurulum, etkinleştirme, güncelleme, onarım ve ardından kaldırmanın temel uygulama yaşam döngüsü aşamalarını içeren Kalite Güvencesi (QA) sürecinin bir parçası olarak her bir uygulama paketine meydan okumak iyidir.
Bu aşamaları test etmemek, BT sistemlerini istenmeyen bir durumda bırakabilir – en azından bilinmeyen bir durum olacaktır.
Microsoft her ay, bu döngüden etkilenen işletim sistemi ve platformlarla ilgili bilinen sorunların bir listesini içerir. Bu ay, aşağıdakiler de dahil olmak üzere dikkate alınması gereken bazı karmaşık değişiklikler var:
Bildiğiniz gibi, Microsoft bir bant dışı güncelleme (OOB) geçen ay (19 Mayıs’ta). Bu güncelleştirme, aşağıdaki temel Windows Server tabanlı ağ özelliklerini etkiledi:
Bu OOB güncelleştirmesi tarafından giderilen güvenlik açıkları, yalnızca etki alanı denetleyicileri olarak çalışan sunucuları ve etki alanı denetleyicisi sunucularında kimlik doğrulaması yapan uygulama sunucularını etkiler. Masaüstü platformları etkilenmez. Bu önceki yama nedeniyle, Microsoft şunu önerdi: Bu Haziran güncellemesi, kimliği doğrulanmış istemcilerden ilk olarak etki alanı denetleyicisine (DC) kimlik doğrulama sertifikalarını ileten tüm ara sunuculara veya uygulama sunucularına yüklenecektir. Ardından bu güncellemeyi tüm DC rol bilgisayarlarına yükleyin. Veya önceden doldurun SertifikaEşlemeYöntemleri ile 0x1F belgede belirtildiği gibi kayıt defteri anahtarı bilgileri bölümü KB5014754 tüm DC’lerde. Sil SertifikaEşlemeYöntemleri kayıt defteri ayarı sadece 14 Haziran güncellemesinin tüm ara sunuculara veya uygulama sunucularına ve tüm DC’lere yüklenmesinden sonra.
Bunu anladın mı? Microsoft’un şimdiye kadar yayınladığı (şimdiye kadar) en ayrıntılı, siparişe özel talimat dizisinin, çok uzun bir teknik makalenin ortasında, derinlere gömüldüğünü, belirli bir ironi duygusuyla belirtmeliyim. Umarım herkes dikkat eder.
Bu ay daha az sayıda “yeni” yama yayınlamış olsak da, önceki aylardan çok sayıda güncellenmiş ve yeni yayınlanmış yama var, bunlardan bazıları:
Visual Studio güncellemeleri üzerinde güvenle çalışabileceğimizi düşünüyorum ve Endpoint Configuration Manager değişikliklerinin uygulanması biraz zaman alacak, ancak her iki değişikliğin de önemli test profilleri yok. DCOM değişiklikleri farklıdır — test edilmesi zordur ve genellikle bir işletme sahibinin yalnızca DCOM nesnelerinin kurulumunu/başlatılmasını değil, aynı zamanda iş mantığını ve istenen sonuçları doğrulamasını gerektirir. DCOM bağımlılıkları olan ve bir iş mantığı testinden geçen tüm uygulamaların tam listesine sahip olduğunuzdan emin olun, aksi takdirde hata ayıklaması çok zor sorun giderme senaryolarıyla bazı hoş olmayan sürprizlerle karşılaşabilirsiniz.
Salı günü bu Yama için Microsoft, ciddi bir Windows güvenlik açığı için önemli bir azaltma yayınladı:
Bu değişikliği yapmak, hedef sunucunun yeniden başlatılmasını gerektirecektir.
Her ay, güncelleme döngüsünü aşağıdaki temel gruplamalarla ürün ailelerine (Microsoft tarafından tanımlandığı şekilde) ayırırız:
Microsoft tarayıcı portföyünün tamamında giderek daha az kritik güncelleştirmenin hoş karşılandığını görüyoruz. Bu döngü için Microsoft, beş güncelleme için Krom Edge’in sürümü. Bunların tümü, aşağıdaki bildirilen güvenlik açıklarını dağıtmak ve çözmek için düşük risk taşır:
Tarayıcıyla ilgili güvenlik sorunlarının bu düşüş eğiliminde önemli bir faktör, Internet Explorer’ın (IE) düşüşü ve artık kullanımdan kaldırılmasıdır. IE, bu Temmuz itibariyle artık resmi olarak desteklenmemektedir. Microsoft’un tarayıcılarının geleceği Edge, Microsoft’a göre. Microsoft bize Internet Explorer’ın kullanımdan kaldırılmasıyla ilgili bir video özeti sağladı. Bu Chromium/Edge tarayıcı güncellemelerini standart uygulama yayın planınıza ekleyin.
Bu ayın 55 Yama Salı güncellemesinden 33’üyle, özellikle Microsoft Tarayıcılar, Office ve geliştirme platformları (.NET) için düşük riskli, düşük profilli güncellemeler göz önüne alındığında, Windows platformu birincil odak noktasıdır. Windows güncellemeleri, aşağıdakiler dahil olmak üzere geniş bir işlevsellik tabanını kapsar: NTFS, Windows ağ iletişimi, codec bileşenleri (medya) kitaplıkları ve Hyper-V ve docker bileşenleri. Daha önce de belirtildiği gibi, test edilmesi ve sorun gidermesi en zor olan çekirdek güncellemeleri ve yerel güvenlik alt sistemi olacaktır (LSASS). Microsoft, bir halka tabanlı dağıtım Öncelikle erken testlerde alınması gereken temel altyapı değişikliklerinin sayısı nedeniyle bu ayın güncellemeleri için iyi çalışacak olan yaklaşım. (Microsoft, bu ay Windows 11 platformunda yapılan değişikliklerle ilgili bir video daha yayınladı, bulundu burada.)
Microsoft, yaygın olarak kullanılan Windows’u düzeltti Follina MSDT sıfır gün güvenlik açığı olarak rapor edildi CVE-2022-30190, diğer üç kritik güncellemeyi veren (CVE-2022-30136, CVE-2022-3063 ve CVE-2020-30139) “Şimdi Yama Yap” önerisine yol açar.
Microsoft, Microsoft Office platformunda (SharePoint, Excel ve Office Core temel kitaplığı) yedi güncelleştirme yayımladı ve bunların tümü önemli olarak derecelendirildi. SharePoint sunucu güncellemeleri nispeten düşük risklidir, ancak sunucunun yeniden başlatılmasını gerektirir. Başlangıçta endişeliydik RCE Excel’deki güvenlik açığı, ancak inceleme sırasında Uzaktan Kod Yürütme’deki “uzaktan” saldırganın konumuna atıfta bulunduğu görülüyor. Bu Excel güvenlik açığı, daha çok bir Rasgele Kod Yürütme güvenlik açığıdır; Kullanıcı etkileşimi ve yerel bir hedef sisteme erişim gerektirdiği göz önüne alındığında, çok daha düşük bir risktir. Bu düşük profilli Office güncelleştirmelerini standart yama dağıtım programınıza ekleyin.
biz bir SQL sunucusu güncellemesi bu ay, ancak Haziran ayı için Microsoft Exchange Server güncellemesi yok. Bu iyi haber.
Microsoft, nispeten düşük riskli (CVE-2022-30184) .NET ve Visual Studio platformuna güncelleme. Mac kullanıyorsanız ( Kodun Mac sürümü), Microsoft, güncellemenizi önerir. Mac Visual Studio 2022 (hala önizleme aşamasında) mümkün olan en kısa sürede. Temmuz ayından itibaren (evet, gelecek ay) Visual Studio 2019’un Mac sürümü artık desteklenmeyecektir. Ve evet, bir sonraki sürüm yayınlandığında aynı ayda yama desteğini kaybetmek zor. Bu tek .NET güncellemesini standart geliştirme yaması yayın planınıza ekleyin.
Bu döngü için Adobe Reader veya Acrobat güncellemesi yok. Adobe yayınladı güvenlik bülteni diğer (Acrobat veya PDF ile ilgili olmayan) uygulamaları için – tümü Adobe tarafından en düşük seviye 3 olarak derecelendirilmiştir. Önümüzdeki haftalarda matbaacılarla ilgili çok çalışma olacak, bu yüzden bu hoş bir rahatlama.