10 月为 Windows 生态系统带来了四个零日漏洞和 74 个更新,包括需要立即关注的难以测试的内核更新 (CVE-2021-40449) 和需要技术技能和尽职调查的 Exchange Server 更新(以及 重启)。 十月补丁星期二的测试配置文件涵盖 Windows 错误处理、AppX、Hyper-V 和 Microsoft Word。 我们建议为 Windows 使用 Patch Now 计划,然后根据您的正常发布模式暂存剩余的补丁组。
您可以在此信息图中找到有关部署这些周二补丁更新的风险的更多信息。
关键测试场景
没有报告 Windows 平台的高风险更改。 但是,有一个报告的功能更改和添加的附加功能:
[ 进一步阅读:加速 Windows 10 的 17 种方法 ]
与往常一样,确认使用物理打印机和虚拟打印机进行打印是否符合预期。 确认打印机驱动程序没有问题。 我们建议评估哪些打印机驱动程序软件仍在使用 32 位代码进行应用程序管理。
测试您的非英语网站,寻找泰语、老挝语、韩语和阿拉伯语中损坏或不均匀的字符。
Active Directory 功能 BanndIP 已更新。 我们建议为主动和被动网络流量验证 AD 授权。 你可以在这里找到更多。
Microsoft 已经更新了媒体编解码器,因此测试大型图像和视频文件应该是测试计划的一部分。
STORPORT.SYS 组件已于本月更新,因此请检查依赖此 Windows 功能的应用程序。
我认为现在可以肯定地说,Microsoft AppX 格式并没有像预期的那样在企业中得到广泛采用。 即便如此,本次 10 月更新中包含对 Microsoft AppX 容器和部署工具的重大升级。 如果您的应用程序有企业 Microsoft“商店”,我们建议安装/卸载您的 AppX 应用程序及其关联的运行时。
关于较少使用的 Windows 功能的主题,Microsoft NTFS 文件系统已更新以包含对符号链接的修复(有助于 UNIX 迁移)。 如果您正在进行大型 UNIX 迁移,您可能希望在部署此更新之前稍微暂停一下并测试一些大型(和并行)文件传输。
已知的问题
每个月,Microsoft 都会包含一份与更新周期中包含的操作系统和平台相关的已知问题列表。 我提到了一些与 Microsoft 最新版本相关的关键问题,包括:
具有从自定义离线媒体或自定义 ISO 映像创建的 Windows 安装的设备可能已通过此更新删除 Microsoft Edge Legacy,但不会自动替换为新的 Microsoft Edge。 只有在未首先安装 2021 年 3 月 29 日或之后发布的独立服务堆栈更新 (SSU) 的情况下通过将此更新整合到映像中来创建自定义离线媒体或 ISO 映像时,才会遇到此问题。
主要修订
在为这个 7 月的更新周期撰写本文时,对之前发布的更新有两个主要更新:
[ 2023 年 CIO 100 奖:提名征集开始。 今天提交。 ]
CVE-2021-38624:Windows 密钥存储提供程序安全功能绕过漏洞。 这是微软第三次尝试修补这个 Windows 关键存储组件,不幸的是需要进行重大升级。 本月受影响的系统包括 Windows 11; Microsoft 强烈建议立即采取措施更新系统。
CVE-2021-33781:Azure AD 安全功能绕过漏洞。 同样,另外三分之一尝试解决此问题。 但是,对于此 Azure AD 问题,这些最新更改的信息性更强(更正 CVE 标题和文档),并包括更新的受影响系统列表以包括 Windows 11。此处无需进一步操作。
缓解措施和解决方法
CVE-2021-40444:Microsoft 正在调查 MSHTML 中影响 Windows 的远程代码执行漏洞的报告。 该公司知道有针对性的攻击试图通过使用特制的 Microsoft Office 文档来利用此漏洞。 攻击者可以制作一个恶意的 ActiveX 控件,供托管浏览器呈现引擎的 Microsoft Office 文档使用。
每个月,我们都会将更新周期分解为具有以下基本分组的产品系列(由 Microsoft 定义):
浏览器(Microsoft IE 和 Edge);
Microsoft Windows(台式机和服务器);
微软办公软件;
微软交易所;
Microsoft 开发平台(ASP.NET Core、.NET Core 和 Chakra Core);
Adobe(退休???,还没有)。
浏览器
微软在本周期发布了 33 个基于 Chromium 的 Edge 浏览器更新。 鉴于 Chromium 没有深入集成到桌面或服务器操作系统中,因此不太可能发生潜在的冲突或依赖性问题。 您可以在此处找到有关 Chromium 项目的更新周期和发行说明的更多信息。
然而,本月更新了 Internet Explorer (IE) 的关键组件之一 (IEFRAME.DLL)。 第三方应用程序和内部开发的软件可能依赖于此密钥库。 对于这个特定的更新,看起来微软已经改变了浏览器选项卡的处理方式,特别是它们的创建方式。 如果您在测试中收到“Invalid Pointer Bad Ref Count”(或类似的)错误,这很可能与核心 Internet Explorer 系统库 (DLL) 的更新有关。 将这两组浏览器更新添加到您的常规更新计划中。
视窗
本月,微软发布了四个针对 Windows 生态系统的重要更新,以及另外 45 个被评为重要的补丁。 不幸的是,Windows 内核的更新 CVE-2021-40449 已被报告为已被利用。 这将对 Windows 核心系统的难以测试的低级别更新与缓解或修补的紧迫性结合起来。 我们在上面的部分中包含了测试指南,其中涵盖了本月的许多 Windows 更改。 但是,测试内核更新非常困难。 彻底测试您的核心应用程序,分批或分阶段发布您的更新,并将此更新添加到您的 Patch Now 计划中。
微软办公软件
Microsoft 发布了 16 个 Microsoft Office 和 Microsoft SharePoint 更新,其中一个被评为关键 (CVE-2021-40486) 影响 Microsoft Word,其余补丁影响 Excel 和 SharePoint。 Word 安全问题虽然很严重,但尚未公开披露,也没有关于在野利用的报告。 注意:SharePoint 更新后需要重新启动。 我们建议将这些添加到您的常规补丁发布计划中。
微软交换服务器
不幸的是,Microsoft Exchange Server 更新在 10 月份回归。 Exchange Server 有四个补丁(2016 和 219),都被评为重要。 但是,根据漏洞评级系统 CVSS,CVE-2021-36970 的基本评级为 9.0。 这真的很高(意味着严重)并且通常会保证 Microsoft 的关键评级。 然而,由于漏洞“范围”的限制,潜在的损害大大降低。
Microsoft 已发布更新的文档,详细说明与本月的 Exchange Server 补丁相关的许多已知问题,其中手动应用 MSP 文件无法正确安装所有必需的文件。 此外,错误应用此更新可能会使您的 Exchange 服务器处于禁用状态。 此问题适用于以下 10 月更新:
CVE-2021-26427 | Microsoft Exchange Server 远程代码执行漏洞
CVE-2021-34453 | Microsoft Exchange Server 拒绝服务漏洞
CVE-2021-41348 | Microsoft Exchange Server 特权提升漏洞
CVE-2021-41350 | Microsoft Exchange 服务器欺骗漏洞
在使用用户帐户控制 (UAC) 应用更新时,此安装问题是一个特别值得关注的问题,而在您使用 Microsoft Update 时不会发生。 否则,请注意此 Exchange 更新将需要重新启动服务器; 我们建议将此更新添加到您的定期更新计划中。
微软开发平台
微软本月发布了三个 Visual Studio 更新和一个 .NET 5.0 补丁。 所有这些都被微软评为重要,最坏的情况可能导致信息泄露或“拒绝服务”(特定于应用程序和本地化)。 Visual Studio 更新非常简单,应该包含在您的标准开发发布周期中。
Adobe(真的只是阅读器)
Adobe 为其核心 Reader 产品组发布了四个更新,其中包含安全公告 APSB1221-104。 其中两个更新(CWE-416 和 CWE-787)被 Adobe 评为关键更新。 虽然这两者的 CVSS 分数都是 7.8(对于 PDF 阅读器来说已经相当高了),但它们并不需要紧急更新。 将这些添加到您的定期更新计划中。
