本月,微软推出了一个相对较轻的补丁星期二,为其 Windows、Office 和开发平台推出了 44 个补丁。
由于活跃的漏洞利用和公开披露,8 月的重点是 Windows 打印更新(CVE-2021-34481 和 CVE-2021-36936)。 不幸的是,这些关键和紧急的 Windows 补丁与许多难以测试的 Windows 网络堆栈、NTFS 文件系统和核心图形系统组件 (GDI) 更新配对。 我们建议您紧急修补 Windows 系统,然后根据标准发布时间表测试和部署您的 Office、浏览器和开发补丁。
本月我们包括了一些针对 Windows、Office 和 .NET 的关键测试场景。 支持针对这些版本的更集中的测试机制。
[相关:Windows 11 Insider Previews:最新版本有什么? ]
尽管在考虑企业更新影响时我们通常不必担心 Azure,但本月微软解决了 Azure AD Connect 的一个漏洞 (CVE-2021-36949)。 除了此更新之外,Microsoft 还发布了详细的技术步骤,可以进一步强化您的系统。
您可以在此信息图中找到有关部署这些周二补丁发布的风险的更多信息。
关键测试场景
本月没有报告 Windows 平台的高风险更改。 但是,有一个报告的功能更改和一个附加功能:
测试您的打印机,以潜在地停止所有必要的后台处理程序服务。
在远程桌面会话中测试启动和更改。
测试使用蓝牙传输文件和连接蓝牙输入设备。
在 Microsoft Edge 的循环内部和外部以 IE 模式使用 JavaScript 代码进行测试。
测试插拔“即插即用”设备,例如坞站和 USB 输入设备。
微软.NET
使用 ASP.NET Core WebSockets Echo Server 在 ASP.NET Core 中进行测试。 您可以在 Microsoft 的这篇文章中阅读有关 WebSockets Server 的更多信息。
测试在 .NET 基础内执行安全/管理的应用程序和代码。
微软办公软件
本月的安全修复与 Office (Word) 代码处理 3D 对象的方式有关。 微软为 Word 提供了一些简短的测试建议,其中包括:
[ 2023 年 CIO 100 奖:提名征集开始。 今天提交。 ]
测试将各种格式的 3D 模型插入 Word、PowerPoint 和 Excel。
测试 3D 动画(调整大小和旋转)
已知的问题
每个月,Microsoft 都会包含一份与此更新周期中包含的操作系统和平台相关的已知问题列表。 以下是与最新版本相关的几个关键问题,包括:
安装此(8 月)更新后,备份软件中经常使用的加密文件系统 (EFS) API OpenEncryptedFileRaw (A/W) 在备份到 Windows Server 2008 SP2 设备或从 Windows Server 2008 SP2 设备备份时将不起作用。
如果您尚未激活 ESU MAK 密钥,则 ESU 更新到 Windows 7 和 Server 2008 仍可能会导致问题。 您可以在此处找到有关如何激活 MAK 密钥的更多信息。
Microsoft 已经解决了 7 月份报告的与 Windows Server 2012 (KB5004294) 相关的问题之一,其中第三方应用程序不再按预期运行。
使用“黄金映像”进行桌面部署的企业部署需要考虑的一个问题是,最近(7 月)的更新可能会删除旧版 Microsoft Edge 浏览器,而不是用新的 Microsoft Edge 取而代之。 这是 2021 年 3 月 29 日或之后的所有 Microsoft 服务堆栈更新的一个特殊问题。 为避免此问题,微软建议:“请务必先将 2021 年 3 月 29 日或之后发布的 SSU 集成到自定义离线媒体或 ISO 映像中,然后再集成 LCU。” 您可以在此处阅读更多相关信息。
主要修订
在撰写本文时],对之前发布的更新有四项主要更新:
CVE-2021-34481 — Windows 后台打印程序远程代码执行漏洞。 这是受影响操作系统的重大更新,也是此安全问题严重性的升级。 此更新需要在部署前进行进一步测试。
CVE-2021-36934 — Windows 特权提升漏洞。 这是一个惯犯,现在是第五次更新。 这里有很多事情要做; 您可以在 KB5005357 中找到更多信息。
CVE-2020-0765 — 远程桌面连接管理器信息泄露。 这是一个信息更新,用于宣布远程桌面连接管理器 2.82 的发布。 无需采取进一步行动。
昨天刚刚添加:
CVE-2021-26423 | .NET Core 和 Visual Studio 拒绝服务漏洞。 此更新版本很重要,因为它解决了 PowerShell 中依赖 .NET 核心的漏洞。 这意味着您的开发/脚本平台需要多加注意。 您可以在此处阅读有关 GITHub 的更多信息。
缓解措施和解决方法
截至目前,Microsoft 似乎并未针对这个 8 月的发布周期发布任何缓解措施或解决方法。
每个月,我们都会将更新周期分解为具有以下基本分组的产品系列(由 Microsoft 定义):
浏览器(Microsoft IE 和 Edge);
Microsoft Windows(台式机和服务器);
微软办公软件;
微软交易所;
Microsoft 开发平台(ASP.NET Core、.NET Core 和 Chakra Core);
Adobe(退休?…还没有!)
浏览器
上周,微软发布了 Microsoft Chromium 浏览器 Edge 的七个更新,主要处理“释放后使用”内存问题。 这些漏洞似乎没有任何紧急问题需要解决,并且大多数情况下的测试配置文件预计是最小的。 你可以在 Microsoft Edge Security 更新页面上阅读有关这些版本的更多信息。 微软本月没有发布任何旧版桌面浏览器 (IE11) 的更新,因此此周期不需要采取进一步行动。
视窗
虽然数量大大减少,但 8 月的补丁周期对 Windows 平台来说是相当具有挑战性的。 我们看到了对 Windows 内核、核心图形引擎、网络堆栈和脚本组件的七个重要更新。 添加到此补丁队列的是 20 个被 Microsoft 评为重要的更新,它们更新本地文件系统、错误记录媒体编解码器和 Windows 更新过程本身。 单独而言,这些更新值得在部署到企业系统之前进行重要测试。
这里的重点与其说是更新过程,不如说是解决本月零日打印相关问题的迫切要求。 如果您这个月必须专注于一件事,打印和漏洞 CVE-2021-34481 和 CVE-2021-36936 应该会让您忙个不停。 我认为本月紧急和关键更新的一个方面是 Microsoft 从根本上改变了打印机的安装和管理方式(我们认为是更好的)。
您可以在下面以及 Microsoft 的“指向和打印”博客文章和知识库文章 KB5005652 中找到更多信息,其中详细说明,
“在非提升用户以前能够添加或更新打印机的情况下,此更改可能会影响 Windows 打印客户端。但是,我们坚信安全风险证明此更改是合理的”
我的感觉是,这些(与打印相关的)安全问题以及解决这些问题所需的相关更改将持续一段时间。 我怀疑新要求的管理权限会对打印机管理软件产生有害影响,不应低估。 这里最好的情况是我们有大量的打印机和软件更新可以在短期内测试和部署。 我认为我们更有可能看到打印机供应商必须解决其管理工具中的一些严重错误。 将这些 Windows 更新添加到您的“立即修补”计划中。
如果您选择每季度更新一次 Windows 系统(您属于受监管行业),那么在应用 8 月更新时,Microsoft 服务堆栈更新 (SSU) 可能对您来说是个问题。 在应用本月更新之前,必须安装所有 7 月 SSU 更新(以及 5 月发布的先前更新)。 这是所有 Windows 10 20H1/H2 系统的“必做”。
微软办公软件
这是微软 Office 更新又一个清淡的月份,只有三个更新(Office、Word 和 SharePoint),所有这些更新都被微软评为 8 月份的重要更新。 最重要的是,没有 Exchange 服务器更新,所有三个报告的 Office 漏洞都不包括预览攻击向量。 如果您在安装 SharePoint 更新后收到“c42q8”、“c42ra”或“c42rh”错误消息,Microsoft 已发布说明,详细说明某些 SharePoint 工作流受到的影响(即它们停止工作)。
我们每个月处理的问题之一是 Office 更新如何影响系统重启。 以下是 Office 更新可能如何影响您的系统的快速摘要:
大多数客户端产品的更新都可以卸载。 无法卸载服务器更新。
对于客户端更新,如果应用程序在更新期间正在使用,则需要重新启动才能完成安装。
服务器更新总是需要重启。
将这些 8 月 Microsoft Office 更新添加到您的标准发布计划中。
微软交换服务器
这个月我们的处境非常好; 我们没有任何 Exchange Server 更新。
微软开发平台
与其他平台组非常相似,8 月的周二更新(仅)为我们带来了三个次要更新(CVE-2021-26423、CVE-2021-34532 和 CVE-2021-34485,所有这些都被评为重要并适用于 ASP.NET 和 .NET 环境:将这些相对低风险的开发更新添加到您的标准平台发布计划中。
土坯
微软本月未发布针对任何 Adobe 产品的 Windows 特定更新。 我一直在想我们可以取消这部分内容,因为 Flash 和 Shockwave 现在已成为(糟糕的)回忆。 但是,我预计由于当前的打印问题,我们将在下个月看到与 Adobe Reader 和 PDF 转换器/生成器相关的另一个更新。 关注此空间。 我还想补充一点,本月的更新与之前的更新一样,将强制从目标机器上删除 Flash。 执行此更新将从计算机中删除 Adobe Flash。 有关详细信息,请参阅有关 Adobe Flash Player 支持终止的更新。
