这是来自 Microsoft 的一个相对较轻的补丁星期二更新,尽管 Windows 平台中的两个重大漏洞(CVE-2021-38631 和 CVE-2021-41371)已被披露,这两个漏洞都与远程桌面协议处理有关,并且正在给一些紧迫性 应用 Windows 更新。 我们还有另一个具有技术挑战性的 Microsoft Exchange Server 更新需要管理。
请密切关注本月的服务堆栈更新 (SSU),因为它可能会影响您的应用程序安装方式(特别关注卸载过程)。 微软已经表示下个月不会有 C 补丁周期发布,这意味着 12 月的补丁星期二发布应该是清淡的。 您可以通过此信息图找到有关部署这些周二补丁更新的风险的更多信息。
关键测试场景
本月没有报告 Windows 平台的高风险更改。 但是,有一个报告的功能更改和一个附加功能:
[相关:Windows 11 Insider Previews:最新版本有什么? ]
您将不得不再次测试您的打印机。 首先尝试使用记事本,然后使用 Adobe Reader (PDF) 并包含图像(PNG、JPG、BMP)。 如果您有 V3 打印机驱动程序,则测试尤为重要。
如果您的业务线应用程序正在使用 COM(或天堂禁止 DCOM),您将需要进行完整的老化测试。 COM STA 线程模型的变化可能导致困难的故障排除场景。
使用 Microsoft 电影和电视应用程序播放 MP4 视频并检查音频问题。
您可能没有使用 Internet Explorer (IE),但应用程序可能依赖于 IE 组件 (IEFRAME.DLL)。 针对此关键依赖项评估您的应用程序组合,然后测试 Office 组件集成问题和选项卡式浏览。
此外,请查看 Microsoft Timeline,因为对您的数据管理方式进行了细微更改。
本月最大的问题(或工程任务)是需要验证您的应用程序是否正确安装、修复、更新和卸载。 检查您的 Windows Installer 日志(0 表示成功)。 我认为这是一项艰巨的工作,因为我们通常专注于应用程序安装; 这次我们要看看应用程序是如何卸载的。 卸载应用程序后,目标机器应该是干净的,错误日志为空,并且没有应用程序损坏。 正确执行此操作将使下一个 MSI 安装程序更新顺利运行。
已知的问题
每个月,Microsoft 都会包含一份与此更新周期中包含的操作系统和平台相关的已知问题列表。 以下是与 Microsoft 最新版本相关的几个关键问题,包括:
安装 2021 年 6 月 21 日(KB5003690)更新后,部分设备无法安装新的更新,例如 2021 年 7 月 6 日(KB5004945)或之后的更新。 您将收到错误消息“PSFX_E_MATCHING_BINARY_MISSING”。 有关详细信息和解决方法,请参阅 KB5005322。
某些 Windows 10 LTSC 系统在安装 KB4493509 后遇到问题。 安装了某些亚洲语言包的设备可能会收到错误“0x800f0982 – PSFX_E_MATCHING_COMPONENT_NOT_FOUND”。 微软目前正在努力修复。
Windows 打印客户端在连接到 Windows 打印服务器上共享的远程打印机时可能会遇到以下错误:0x000006e4 (RPC_S_CANNOT_SUPPORT)、0x0000007c (ERROR_INVALID_LEVEL)、0x00000709 (ERROR_INVALID_PRINTER_NAME)。 微软正在处理这个问题。 我们预计在 12 月的 B 版本(星期二补丁)之前可能会有一个 OOB 更新来解决这些问题。 这里的好消息是,大多数这些报告的打印机问题都与公司环境有关(例如,打印机服务器与域控制器相结合); 大多数家庭用户不会受到安全问题或打印问题的影响。
安装本月的 Microsoft 更新后,使用智能卡身份验证时,使用远程桌面连接到不受信任域中的设备可能无法通过身份验证。 您可能会收到提示“您的凭据无效”。 使用已知问题回滚 (KIR) 解决了这个问题——这有点令人兴奋。 Microsoft 现在允许托管代码的策略驱动执行路径。 如果您遇到问题,您可以回滚受影响文件的执行路径,将那段代码恢复到“打补丁前”状态。 要成功地做到这一点,您需要确保您拥有适用于您的平台的正确策略文件。 您可以在此处找到每个 Windows 版本的相关策略文件:
视窗服务器 2022
Windows 10 版本 2004
Windows 10,版本 20H2
Windows 10,版本 21H1
查看是否存在影响目标平台的已知问题的最佳方法之一是在 Microsoft 安全更新指南站点或本月安全更新的摘要页面上检查用于下载补丁数据的许多配置选项。
主要修订
本月没有重大修订(甚至文档更新)。
缓解措施和解决方法
截至 11 月 12 日,Microsoft 尚未发布与本月更新周期相关的任何缓解措施或解决方法。
每个月,我们都会将更新周期分解为具有以下基本分组的产品系列(由 Microsoft 定义):
浏览器(Microsoft IE 和 Edge);
Microsoft Windows(台式机和服务器);
微软办公软件;
微软交易所;
Microsoft 开发平台(ASP.NET Core、.NET Core 和 Chakra Core);
Adobe(退休???,还没有)。
浏览器
Microsoft 发布了 Microsoft Edge 的一个重要更新。 这个补丁的核心是 Chromium 代码更新,但它会影响 Edge 的 IE 模式的运行方式。 此更新对企业的潜在影响很小,因此请将此相对简单的更新添加到您的常规发布计划中。
视窗
Microsoft Windows 平台收到 28 个更新,其中三个被评为关键,其余补丁被评为重要。 最令人担忧的是两个公开报告的远程桌面协议 (RDP) 问题(CVE-2021-38631 和 CVE-2021-41371)。 在过去的一年里,Microsoft 一直在广泛研究 RDP 协议,并在每个补丁星期二发布重大更新。 我一直对 RDP 持怀疑态度,尽管 Microsoft 提供了一些指导和工具来保护您的远程桌面。 鉴于最近的供应链问题,以及缺乏完全集成的 RDP 替代方案,我认为尽早修补是我们最好的选择。 将这些更新添加到您的 Windows“立即修补”计划中。
微软办公软件
微软发布了四个更新,所有更新都被评为重要更新。 这些漏洞影响 Access、Word 和 Excel,需要对目标系统进行本地访问和用户交互。 不幸的是,一个与 Excel 相关的问题 (CVE-2021-42292) 已被报告为已被利用(尽管已被 Microsoft 注册为概念验证)。 尽管这些与 Office 相关的安全问题不是“可蠕虫感染的”,但公开报道的远程代码执行漏洞利用显着增加了企业客户的风险。 将这些更新添加到您的“立即修补”发布计划中。
微软交换服务器
微软本月发布了 Exchange Server 的三个重要更新(CVE-2021-1349、CVE-2021-42305、CVE-2021-42321)。 所有三个更新都链接回单个知识库 (KB) 文章 KB5007049。 这些更新将需要重新启动服务器,这很可能会导致安装失败或破坏 Exchange 服务器(“破坏”就像没有远程登录一样)。 此更新存在许多与手动安装和 UAC 问题相关的已知问题。 在任何生产部署之前彻底测试此更新。
微软开发平台
这个月的更新比往常有趣一点。 我们对 Visual Studio 进行了两次更新(都被评为重要),这可能会导致特权提升场景。 不同寻常的是,微软从 8 月到本月的 11 月更新中添加了一个开源项目漏洞。 OpenSSL 加密框架中的严重评级问题 (CVE-2021-3711) 由 Microsoft Visual Studio 使用,因此被认为对 Visual Studio 用户构成重大风险。 这是微软的一个伟大呼吁,真正体现了它对这些类型的开源项目的承诺。 将这些更新添加到您的常规开发人员推出计划中。
Adobe(真的只是阅读器)
本月,Adobe 发布了三个评级较低的问题,影响其 RoboHelp (APSB21-87)、InCopy (APSB21-110) 和 Creative Cloud 桌面 (APSB21-111) 应用程序。 尽管 Adobe Reader 没有更新,但由于 Windows 打印系统发生了变化,我们强烈建议您测试打印 PDF。 此外,安装本月的更新后,您可能需要检查自动更新功能是否仍在 Adobe Reader 中运行。
