上周的补丁星期二以 73 个更新开始,但最终(到目前为止)进行了三个修订和一个后期添加 (CVE-2022-30138),本月共解决了 77 个漏洞。 与 4 月份发布的大量更新相比,我们看到修补 Windows 的紧迫性更大——尤其是在关键服务器和身份验证区域存在三个零日漏洞和几个非常严重的漏洞。 由于新的服务器更新技术,Exchange 也需要注意。
本月没有针对 Microsoft 浏览器和 Adobe Reader 的更新。 Windows 10 20H2(我们几乎不知道你们)现在不再支持。
您可以在此有用的信息图中找到有关部署这些星期二补丁更新的风险的更多信息,并且 MSRC 中心已在此处发布了有关其如何处理安全更新的良好概述。
[ 进一步阅读:加速 Windows 10 的 17 种方法 ]
关键测试场景
鉴于这个 5 月的补丁周期包含大量更改,我将测试场景分为高风险组和标准风险组:
高风险:这些更改可能包括功能更改,可能会弃用现有功能,并且可能需要创建新的测试计划:
测试您的企业 CA 证书(新的和更新的)。 您的域服务器 KDC 将自动验证此更新中包含的新扩展。 寻找失败的验证!
此更新包括对驱动程序签名的更改,现在包括时间戳检查和验证码签名。 签名的驱动程序应该加载。 未签名的驱动程序不应该。 检查您的应用程序测试运行是否有失败的驱动程序加载。 也包括对已签名的 EXE 和 DLL 的检查。
以下更改未记录为包括功能更改,但在普遍部署 May 补丁之前仍需要至少进行“冒烟测试”:
使用 RRAS 服务器时测试您的 VPN 客户端:包括连接、断开连接(使用所有协议:PPP/PPTP/SSTP/IKEv2)。
测试您的 EMF 文件是否按预期打开。
测试您的 Windows 通讯簿 (WAB) 应用程序依赖项。
测试 BitLocker:在启用和禁用 BitLocker 的情况下启动/停止计算机。
验证您的凭据是否可通过 VPN 访问(请参阅 Microsoft Credential Manager)。
测试您的 V4 打印机驱动程序(尤其是在 CVE-2022-30138 之后到来的情况下)。
本月的测试将需要多次重新启动您的测试资源,并且应该包括 (BIOS/UEFI) 虚拟机和物理机。
[ 2023 年 CIO 100 奖:提名征集开始。 今天提交。 ]
已知的问题
Microsoft 包括影响此更新周期中包含的操作系统和平台的已知问题列表:
安装本月更新后,使用某些 GPU 的 Windows 设备可能会导致应用程序意外关闭,或在使用 Direct3D 版本 9 的应用程序中生成异常代码(模块 d3d9on12.dll 中的 0xc0000094)。微软已发布 KIR 组策略更新来解决此问题 以下 GPO 设置的问题:适用于 Windows 10 版本 2004、Windows 10 版本 20H2、Windows 10 版本 21H1 和 Windows 10 版本 21H2 的下载。
安装 2022 年 1 月 11 日或之后发布的更新后,使用 Microsoft .NET Framework 获取或设置 Active Directory 林信任信息的应用程序可能会失败或生成访问冲突 (0xc0000005) 错误。 似乎依赖于 System.DirectoryServices API 的应用程序受到了影响。
微软在通过有用的更新亮点视频讨论此版本的最新修复和更新时,确实提高了游戏水平。
主要修订
尽管与 4 月份相比,本月的补丁列表大大减少,但微软发布了三个修订版,包括:
CVE-2022-1096:Chromium:V8 中的 CVE-2022-1096 类型混淆。 此 3 月补丁已更新,包括对最新版本的 Visual Studio (2022) 的支持,以允许更新 webview2 内容的呈现。 不需要采取进一步行动。
CVE-2022-24513:Visual Studio 特权提升漏洞。 这个 4 月补丁已更新为包括所有支持的 Visual Studio 版本(15.9 到 17.1)。 不幸的是,此更新可能需要您的开发团队进行一些应用程序测试,因为它会影响 webview2 内容的呈现方式。
CVE-2022-30138:Windows 后台打印程序特权提升漏洞。 这只是信息更改。 不需要采取进一步行动。
缓解措施和解决方法
5 月,Microsoft 发布了一个针对严重 Windows 网络文件系统漏洞的关键缓解措施:
CVE-2022-26937:Windows 网络文件系统远程代码执行漏洞。 您可以通过禁用 NFSV2 和 NFSV3 来减轻攻击。 以下 PowerShell 命令将禁用这些版本:“PS C:\Set-NfsServerConfiguration -EnableNFSV2 $false -EnableNFSV3 $false。” 一旦完成。 您将需要重新启动 NFS 服务器(或者最好重新启动机器)。 要确认 NFS 服务器已正确更新,请使用 PowerShell 命令“PS C:\Get-NfsServerConfiguration”。
每个月,我们都会将更新周期分解为具有以下基本分组的产品系列(由 Microsoft 定义):
浏览器(Microsoft IE 和 Edge);
Microsoft Windows(台式机和服务器);
微软办公软件;
微软交易所;
Microsoft 开发平台(ASP.NET Core、.NET Core 和 Chakra Core);
Adobe(退休???,也许明年)。
浏览器
微软本月未发布其旧版 (IE) 或 Chromium (Edge) 浏览器的任何更新。 我们看到过去十年来困扰 Microsoft 的关键问题数量呈下降趋势。 我的感觉是,转移到 Chromium 项目对开发团队和用户来说无疑是“超级双赢”。
说到旧版浏览器,我们需要为 6 月中旬 IE 的退役做好准备。 我所说的“准备”是指庆祝——当然,在我们确保遗留应用程序不明确依赖于旧的 IE 渲染引擎之后。 请将“庆祝 IE 退役”添加到您的浏览器部署计划中。 你的用户会理解的。
视窗
Windows 平台本月收到 6 个重要更新和 56 个重要补丁。 不幸的是,我们也有三个零日漏洞:
CVE-2022-22713:Microsoft 的 Hyper-V 虚拟化平台中这个公开披露的漏洞需要攻击者成功利用内部竞争条件来导致潜在的拒绝服务场景。 这是一个严重的漏洞,但需要链接多个漏洞才能成功。
CVE-2022-26925:公开披露和报告为在野利用,此 LSA 身份验证问题是一个真正令人担忧的问题。 打补丁很容易,但测试配置文件很大,因此很难快速部署。 除了测试您的域身份验证之外,还要确保备份(和恢复)功能按预期工作。 我们强烈建议您查看有关此持续问题的最新 Microsoft 支持说明。
CVE-2022-29972:Redshift ODBC 驱动程序中的这个公开披露的漏洞非常特定于 Synapse 应用程序。 但是,如果你接触过任何 Azure Synapse RBAC 角色,则部署此更新是重中之重。
