微软本周推出了 50 个更新,以修复 Windows 和 Office 生态系统中的漏洞。 好消息是本月没有 Adobe 或 Exchange Server 更新。 坏消息是有六个零日漏洞的修复程序,包括对 Windows 核心 Web 呈现 (MSHTML) 组件的重要更新。 我们已将本月的 Windows 更新添加到我们的“立即补丁”计划中,而 Microsoft Office 和开发平台更新可以在其标准发布机制下部署。 更新还包括对 Microsoft Hyper-V、加密库和 Windows DCOM 的更改,所有这些都需要在部署前进行一些测试。
您可以在我们的信息图中找到这些信息的总结。
关键测试场景
本月没有报告 Windows 平台的高风险更改。 对于这个补丁周期,我们将测试指南分为两部分:
[ 进一步阅读:加速 Windows 10 的 17 种方法 ]
微软针对 DCOM 服务器如何通过 RPC 与其客户端通信发布了“高风险”更新。 最大的变化是 RPC 身份验证安全级别——检查以确保每个调用都正确注册,至少具有 RPC_C_AUTHN_LEVEL_PKT_INTEGRITY 级别的安全性。
对于在 Microsoft Base DSS 加密提供程序上使用 CryptImportKey 函数和依赖项的任何应用,请确认没有问题。
由于 Windows 10 处理错误日志的方式发生了变化,请验证事件跟踪是否正常工作以及您的常用日志文件路径是否仍然有效。
对 Microsoft OLE 和 DCOM 组件的更改在技术上最具挑战性,需要最专业的业务才能进行调试和部署。 DCOM 服务不易构建且难以维护。 因此,它们并不是大多数企业内部开发的首选。
如果您的 IT 团队中有 DCOM 服务器(或服务),则意味着它必须存在——并且某些核心业务元素将依赖于它。 为了管理这个 6 月更新的风险,我建议您准备好包含 DCOM 组件的应用程序列表,准备好两个构建(更新前和更新后)以进行并排比较,并有足够的时间来充分 如果需要,测试和更新您的代码库。
已知的问题
每个月,Microsoft 都会包含一份与此更新周期中包含的操作系统和平台相关的已知问题列表。 以下是与 Microsoft 最新版本相关的几个关键问题,包括:
与上个月一样,将设备从 Windows 10 版本 1809 或更高版本更新到更高版本的 Windows 10 时,系统和用户证书可能会丢失。微软没有发布任何进一步的建议,只是转向更高版本的 Windows 10。
生成不正确的注音假名文本的日语输入法编辑器 (IME) 存在问题。 这些问题在 Microsoft 更新中很常见。 IME 非常复杂,多年来一直是 Microsoft 的一个问题。 预计今年晚些时候会更新这个日语字符问题。
在相关问题中,安装 KB4493509 后,安装了某些亚洲语言包的设备可能会看到错误“0x800f0982 – PSFX_E_MATCHING_COMPONENT_NOT_FOUND”。 要解决此问题,您需要卸载并重新安装您的语言包。
有许多关于 ESU 系统无法完成上个月的 Windows 更新的报告。 如果您运行的是旧系统,则必须购买 ESU 密钥。 最重要的是,您必须激活它(对于某些人来说,这是一个关键的缺失步骤)。 您可以在线找到有关激活 ESU 更新密钥的更多信息。
您还可以在单个页面中找到 Microsoft 对此版本的已知问题的摘要。
主要修订
截至目前这个 6 月周期,对之前发布的更新有两个主要更新:
CVE-2020-0835:这是 Windows 10 中 Windows Defender 反恶意软件功能的更新。Windows Defender 每月更新一次,通常每次都会生成一个新的 CVE 条目。 因此,对 Defender CVE 条目的更新是不寻常的(而不是仅仅为每个月创建一个新的 CVE 条目)。 此更新(幸运的是)是针对相关文档的。 不需要采取进一步行动。
CVE-2021-28455:此修订涉及有关 Microsoft Red Jet 数据库的另一个文档更新。 此更新(很遗憾)将 Microsoft Access 2013 和 2016 添加到受影响的列表中。 如果您使用 Jet“Red”数据库(检查您的中间件),您将不得不测试和更新您的系统。
作为对 Windows Defender 更新的额外说明,考虑到本月发生的所有事情(六次公开攻击!),我强烈建议您确保 Defender 是最新的。 Microsoft 发布了一些关于如何检查和强制执行 Windows Defender 合规性的附加文档。 为什么现在不这样做呢? 它是免费的,而且 Defender 非常好。
缓解措施和解决方法
到目前为止,Microsoft 似乎没有针对这个 6 月版本发布任何缓解措施或解决方法。
每个月,我们都会将更新周期分解为具有以下基本分组的产品系列(由 Microsoft 定义):
浏览器(Internet Explorer 和 Edge);
Microsoft Windows(台式机和服务器);
微软办公软件;
微软交易所;
Microsoft 开发平台(ASP.NET Core、.NET Core 和 Chakra Core);
Adobe(退休???)
浏览器
似乎我们现在又回到了对 Microsoft 浏览器进行最少更新的惯常节奏,因为我们只有对 Microsoft Chromium 项目 (CVE-2021-33741) 的一次更新。 此浏览器更新已被 Microsoft 评为重要更新,因为它只会导致提升权限的安全问题并需要用户交互。 我发现 Microsoft Chromium 发行说明页面是补丁相关文档的更好来源,而不是使用 Microsoft 安全门户来获得有关这些浏览器更新的更好情报。 鉴于 Chrome 在 Windows 桌面上的安装方式的性质,我们预计更新的影响很小。 将此浏览器更新添加到您的标准发布计划中。
微软 Windows 10
本月,微软发布了 27 个 Windows 生态系统更新,其中三个被评为关键,其余被评为重要。 与前几个月相比,这是一个相对较低的数字。 但是,(这很重要)我很确定我们从未见过如此多的漏洞被公开利用或公开披露。 本月有六个确认被利用,包括:CVE-2021-31955、CVE-2021-31956、CVE-2021-33739、CVE-2021-33742、CVE-2021-31199 和 CVE-2021-31201。
雪上加霜的是,两个问题也被公开披露,包括 CVE-2021-33739 和 CVE-2021-31968。 这很多——尤其是一个月。 我最关心的一个补丁是 CVE-2021-33742。 它被评为关键,因为它可能导致在目标系统上执行任意代码并影响 Windows (MSHTML) 的核心元素。 一旦 Internet Explorer (IE) 发布,此 Web 呈现组件就成为攻击者经常(也是最喜欢)的目标。 几乎所有(很多很多)影响 IE 的安全问题和相应的补丁都与 MSHTML 组件如何与 Windows 子系统 (Win32) 或更糟糕的 Microsoft 脚本对象交互有关。
对该组件的攻击可能导致深入访问受感染的系统并且难以调试。 即使本月我们没有所有公开披露或确认的漏洞利用,我仍会将此 Windows 更新添加到“Patch Now”发布计划中。
微软办公软件
与上个月非常相似,Microsoft 在此发布周期中发布了 11 个被评为重要的更新和一个被评为关键的更新。 同样,我们看到 Microsoft SharePoint 的更新是主要焦点,关键补丁 CVE-2021-31963。 与本月有关 Windows 更新的一些非常令人担忧的新闻相比,这些 Office 补丁的利用相对复杂,并且不会暴露 Outlook 预览窗格等高度易受攻击的向量以进行攻击。
在过去的几天里,对这些补丁进行了大量的信息更新,似乎 SharePoint Server 的组合更新可能存在问题; Microsoft 发布了以下错误,“DataFormWebPart 可能会被访问外部 URL 阻止并在 SharePoint 统一日志记录系统 (ULS) 日志中生成‘8scdc’事件标记。” 您可以通过 KB 5004210 找到有关此问题的更多信息。
计划重新启动您的 SharePoint 服务器并将这些 Office 更新添加到您的标准发布计划中。
微软交换
此周期没有对 Microsoft Exchange 的更新。 与过去几个月相比,这是一个令人欣慰的解脱,在过去几个月里,关键更新需要具有企业范围影响的紧急补丁。
微软开发平台
对于 Microsoft 开发平台(.NET 和 Visual Studio)的更新来说,这是一个轻松的月份,只有两个更新被评为重要:
CVE-2021-31938:一种复杂且难以完成的攻击,在使用 Kubernetes 工具扩展时需要本地访问和用户交互。
CVE-2021-31957:此 ASP.NET 漏洞稍微严重一些(它影响服务器,而不是工具扩展)。 也就是说,它仍然是一个复杂的攻击,已被微软完全解决。
将 Visual Studio 更新添加到您的标准开发人员发布计划中。 由于更多地暴露在 Internet 上,我会将 ASP.NET 更新添加到您的优先发布计划中。
