微软本周的补丁星期二发布对 Windows 生态系统来说是一个重要的补丁; 它包括 117 个补丁,用于处理四个公开报告的漏洞和四个被利用的漏洞。 好消息:本月的 Microsoft Office 和开发平台 (Visual Studio) 补丁相对简单,可以以最小的风险添加到您的标准补丁发布计划中,并且没有浏览器更新。 唉,我们有一个非常严重的打印机问题 (CVE-2021-34527),它被越界发布 (OOB),并且在过去几天至少更新了两次。 这意味着您需要立即关注 Windows 更新,并将所有 Windows 桌面补丁添加到您的“立即补丁”计划中。
本周有多个更新,我们预计未来几天会有更多关于后台打印程序漏洞的更新。 不幸的是,由于需要对核心系统和内核进行更改,这个范围广泛的系列补丁需要进行大量测试。 有关更多信息,您可以查看 Windows 10 运行状况仪表板。 您还可以在此信息图中找到有关部署这些星期二补丁的风险的更多信息。
[相关:为企业提供的 Windows 11 服务]
关键测试场景
没有报告 Windows 平台的高风险更改。 但是,本月报告了一项功能更改和一项附加功能:
测试您的打印机,以潜在地停止所有必要的后台处理程序服务。
验证通过 LOB 应用程序打印是否按预期工作。
测试是否可以下载和打开 Word 和 PowerPoint 文件。
测试脚本,尤其是 JavaScript,是否按预期工作。
我认为随着五个内核更新和特别关注服务器补丁 CVE-2021-34458,本月,] 将需要进行完整的 LOB 应用程序测试。
已知的问题
每个月,Microsoft 都会包含一份与最新更新周期中包含的操作系统和平台相关的已知问题列表。 我提到了一些与最新 Microsoft 版本相关的关键问题,包括:
具有从自定义离线媒体或自定义 ISO 映像创建的 Windows 安装的设备可能已通过此更新删除 Microsoft Edge Legacy,但不会自动替换为新的 Microsoft Edge。 为避免此问题,请务必先将 2021 年 3 月 29 日或之后发布的 SSU 整合到自定义离线媒体或 ISO 映像中,然后再整合 LCU。
ESU 更新(Windows 7 和 Server 2008):安装此更新并重新启动设备后,您可能会收到错误消息“无法配置 Windows 更新”。 如果您尚未激活 ESU MAK 附加密钥,您可能会收到此通知。 有关激活的更多信息,您可以在这篇 Microsoft 博客文章中找到更多信息。
以前的补丁已解决的问题
6 月更新:在 Windows 8.1 或 Windows Server 2012 R2 上安装 KB5003671 或 KB5003681 后,访问远程设备上的事件日志的应用程序可能无法连接。 如果本地或远程尚未安装 2021 年 6 月 8 日或之后发布的更新,则可能会出现此问题。 受影响的应用程序正在使用某些旧版事件日志记录 API。 尝试连接时可能会收到错误消息。 去年六月,显然有一个已知问题是设计使然。
主要修订
在 7 月更新周期的这一点上,对之前发布的更新进行了三项重大更新:
CVE-2021-31940 和 CVE-2021-31941:这些对过去更新的修订是与 MAC 桌面软件可用性相关的信息更新。 如果您是 Windows 用户,则无需进一步操作。
CVE-2020-17049:Microsoft 正在发布安全更新以部署此漏洞的实施阶段。 Active Directory 域控制器现在能够执行模式。 此时,将忽略 PerformTicketSignature 注册表项设置,并且无法覆盖强制模式。 现在你知道了。
缓解措施和解决方法
截至目前,Microsoft 似乎并未针对这个 7 月版本发布任何缓解措施或解决方法。
[ 2023 年 CIO 100 奖:提名征集开始。 今天提交。 ]
每个月,我们都会将更新周期分解为具有以下基本分组的产品系列(由 Microsoft 定义):
浏览器(Microsoft IE 和 Edge)。
Microsoft Windows(台式机和服务器)。
微软办公软件。
微软交换。
Microsoft 开发平台(ASP.NET Core、.NET Core 和 Chakra Core)。
Adobe(退休了?)。
浏览器
严格来说,7 月补丁星期二没有浏览器更新。 然而,微软去年 6 月发布了其 Edge 浏览器的更新,解决了两个可能导致特权提升场景的漏洞。 由于这些更新是 Chromium 项目的一部分,因此它们于 6 月 24 日作为 Edge 稳定频道(版本 91.0.864.59)的一部分发布。 我们没有发现这些更新对任何 Chromium 浏览器或相关控件有任何影响。
如果您允许 Microsoft Edge 自动更新,则此时无需执行进一步操作。 你可以在此处的 Microsoft Edge Security 更新页面上阅读有关这些版本的更多信息。
视窗
在我们开始讨论本月的 Windows 更新之前,请将所有这些 Windows 更新添加到您的“立即修补”计划中。 这是微软的一次大更新,仅 Windows 桌面就有 90 个补丁。 其中九个补丁被评为关键补丁——所有这些补丁都与 Windows 中的远程桌面功能有关。
不幸的是,此更新中解决的四个漏洞已被公开披露(包括 CVE-2021-34527),另外四个漏洞已被报告在野外被利用。 其中两个被利用的问题与 Windows 内核特权提升方案有关。 鉴于打印机假脱机程序“危机”的紧迫性和快速部署这些更新的需要,这使得测试更新变得困难。 此更新会出现问题。
而且,我们尚未完成 7 月的 Windows 更新。 事实上,微软刚刚发布了其先前更新补丁的更新,其中 CVE-2021-33481 和 CVE-2021-34527 昨天获得了重大修订。 您可以在此处找到的 Microsoft 安全博客上阅读有关打印后台处理程序问题的更多信息。 目前的建议是关闭服务器的假脱机程序服务。 对于看似非常严重的问题,这是一剂强效药物。
将此 Windows 更新添加到您的“立即修补”计划中,并为更紧急的更新做好准备。
微软办公软件
与本月桌面和服务器环境发生的情况相比,Microsoft Office 更新显得相对温和。 微软发布了 10 个补丁,影响所有当前支持的 Office 版本,其中九个被微软评为重要,一个被微软评为中等。 这些更新会影响具有 Word、Excel 和 Sharepoint 安全漏洞的常见嫌疑人,从而导致潜在的欺骗或特权提升问题。 将这些 Microsoft Office 更新添加到您的标准补丁计划中。
微软交换服务器
虽然我们没有像过去几个月那样看到对 Microsoft Exchange 的担忧(和紧迫性),但 Microsoft 发布了六个被评为重要的更新和一个被评为严重的更新 (CVE-2021-34473)。 此关键更新解决了不需要用户干预的低复杂性、基于网络的攻击。 而且,这是 Microsoft 第二次尝试解决此漏洞(第一次尝试是在 4 月),该漏洞可能导致在目标服务器上执行任意代码。 鉴于这种担忧,我们已将 7 月份的 Microsoft Exchange 更新添加到“立即修补”计划中。
微软开发平台
微软已经发布了五个更新,都被评为对 Microsoft Visual Studio 开发平台很重要。 本月还包括一个与 Open Enclave SDK 相关的 GitHub 公告 (CVE-2021-33767)。 所有这些更新都应该对各自的平台产生最小的影响,并且可以添加到标准开发更新机制中。
土坯
微软本月没有发布任何(额外的)Adobe 生态系统更新。 但是,鉴于 OOB 打印机更新的重要性和紧迫性,应注意与打印机和打印相关的所有其他补丁。 本月 Adobe 发布了 (APSB21-51) 10 个重要更新和另外两个对所有受支持的 Adobe Reader 版本(Acrobat DC、Reader DC、Reader 2020、Acrobat 2017 和 Acrobat 2017)的重要更新。 鉴于这些补丁解决了报告的漏洞,包括低复杂性、远程代码执行、“无用户”,我们建议您将这些 Adobe Reader 更新添加到您的“立即补丁”计划中。
我还想补充一点,本月的更新与以前的 Flash 相关更新一样,将强制从目标系统中删除 Flash。 执行此更新将从计算机中删除 Adobe Flash。
