由于 Adobe Reader 有 55 个更新、三个公开报告的漏洞和报告的公开漏洞,本周的补丁星期二更新将需要一些时间和测试才能部署。 有一些艰难的测试场景(我们正在看着你,OLE)和内核更新使得部署有风险。 专注于 IE 和 Adobe Reader 补丁 — 慢慢来(技术上具有挑战性的)Exchange 和 Windows 更新。
说到慢慢来,如果您仍然使用 Windows 10 1909,那么这是您最后一个月的安全更新。
本月公开披露的三个漏洞包括:
[相关:Windows 11 Insider Previews:最新版本有什么? ]
CVE-2021-31204 – .NET 和 Visual Studio 特权提升漏洞重要
CVE-2021-31207 – Microsoft Exchange Server 安全功能绕过
CVE-2021-31200 – Common Utilities 远程代码执行漏洞重要
您可以在这张信息图中找到这些信息的总结。
关键测试场景
本月没有报告 Windows 平台的高风险更改。 对于这个补丁周期,我们将测试指南分为两部分:
微软办公软件
要测试的主要场景是将包含形状和图片的旧文档 (*.doc) 转换为现代文档格式 (*.docx)。 更改在 wordconv.exe 中。
使用所有重要的文件/打开/打印/保存 (FOPS) 测试机制测试加载和添加图表。
对于 Sharepoint,测试将 Web 部件添加到测试站点,特别是 DataFromWebPart
Windows 桌面和服务器平台
[‘IT 有一个新的’It Crowd’:加入 CIO Tech Talk 社区]
蓝牙:外部加密狗(尤其是 IrDA 连接和鼠标)需要进行连接测试。
字体需要测试,尤其是私有字体(FOPS 测试可能就足够了)。
测试文件夹重定向,注意任何 I/O 性能问题。
下面是应该让所有桌面(和服务器)工程师高兴的测试场景:您需要在本月测试 OLE 自动化。 这是什么意思? 粗略地说,它转化为在核心、内部开发的关键业务应用程序中查找(和测试)关键业务逻辑,这些应用程序依赖于复杂、多个、相互依赖的组件,这些组件有时需要来自一个鲜为人知的服务器的远程服务,该服务器仍在运行一个非常、 非常具体的 Visual Basic 5 版本。
已知的问题
每个月,Microsoft 都会包含一份与此更新周期中包含的操作系统和平台相关的已知问题列表。 以下是与 Microsoft 最新版本相关的几个关键问题,包括:
将设备从 Windows 10 1809 或更高版本更新到更新版本的 Windows 10 时,系统和用户证书可能会丢失。只有当设备已经安装了 2020 年 9 月 16 日或之后发布的任何最新累积更新 (LCU) 时,设备才会受到影响 然后继续从没有集成 2020 年 10 月 13 日或之后发布的 LCU 的媒体或安装源更新到更高版本的 Windows 10。
具有从自定义离线媒体或自定义 ISO 映像创建的 Windows 安装的设备可能已通过此更新删除旧版 Microsoft Edge,但不会自动替换为新的 Microsoft Edge。
安装 KB4467684 后,如果组策略“最小密码长度”配置为大于 14 个字符,集群服务可能无法启动并出现错误“2245 (NERR_PasswordTooShort)”。
您还可以在单个页面中找到 Microsoft 对此版本的已知问题的摘要。
主要修订
Microsoft 尚未(截至 5 月 14 日)发布此更新星期二版本的任何重大修订。
缓解措施和解决方法
到目前为止,Microsoft 似乎并未发布针对该 4 月版本的任何缓解措施或变通方法。
每个月,我们都会将更新周期分解为具有以下基本分组的产品系列(由 Microsoft 定义):
浏览器(Microsoft IE 和 Edge);
Microsoft Windows(台式机和服务器);
Microsoft Office(包括 Web Apps 和 Exchange);
Microsoft 开发平台(ASP.NET Core、.NET Core 和 Chakra Core);
Adobe(Reader,是的 Reader)。
浏览器
浏览器更新卷土重来。 而且,这次是个人的。 天哪:Edge(Chromium 版本)的 35 个重要更新和 Internet Explorer 11 (IE11) 的一个重要更新。 所有报告的漏洞都可能导致远程代码执行场景。 他们全部。
由于 Chromium 项目与桌面操作系统分离,因此 Chromium 更新应该相对容易部署。 IE11 更新是二进制文件的完整刷新。 任何遗留应用程序都需要针对这个新版本进行测试。 将此更新添加到您的 Patch Now 发布工作中。
微软Windows
Microsoft 在此周期中发布了三个被评为关键的更新和 22 个被评为重要的更新。 关键补丁解决了 Hyper-V 中的问题、Windows 如何处理 HTTP 请求以及 OLE 自动化服务器问题。 我们认为没有迫切需要将这些报告的漏洞评级为“立即修补”,我们认为在生产部署之前需要进行一些测试。 除了这些担忧之外,Microsoft 还发布了此更新的一些小 UI 问题:
“5 月 Windows 更新可能会导致滚动条控件在屏幕上显示为空白且无法正常工作。此问题会影响在 64 位 Windows 10 (WOW64) 上运行的 32 位应用程序,这些应用程序使用 USER32.DLL SCROLLBAR 的超类创建滚动条 窗口类。此外,当您创建滚动条控件时,在 64 位应用程序中可能会增加最多 4 GB 的内存使用量。”
本月的安全更新涵盖以下核心 Windows 功能领域:
Windows 应用程序平台和框架;
视窗内核;
微软脚本引擎;
Windows 硅平台。
本月获得最高评分的补丁是 CVE-2021-31194——Microsoft OLE 自动化引擎中的一个严重漏洞。 此更新将很难测试,因为您需要找到带有 OLE 服务器的应用程序并比较两个构建的结果。 Microsoft 还提供了一些关于删除对 JET 数据库的远程访问的指导,可在此处找到。 将这些 Windows 更新添加到您的标准发布周期中,重点测试您的核心业务应用程序的 OLE、JET 和 Hyper-V 依赖项。
微软办公软件
本月 Microsoft Office 生产力平台的补丁和更新影响以下基准版本:
Office 2013(客户端):SP1 – 15.0.4569.1506;
SharePoint 2013(服务器):SP1 – 15.0.4569.1506 和 15.0.4571.1502;
Office 2016(客户端):RTM – 16.0.4266.1001;
SharePoint 2016(服务器):RTM – 16.0.4351.1000。
本月我们可以轻松使用 Office 补丁。 没有严重的漏洞,只有 17 个被评为重要。 如果您仍在使用 JET 数据库,则需要确保已使用 Microsoft 的此支持说明删除了远程访问。 将这些相对较小的修补程序添加到您的标准 Office 更新计划中。
微软交换
更新 Adobe Reader(见下文)后,您需要花一些时间使用 Microsoft 最新的 Exchange 服务器更新。 三个更新被评为重要,一个补丁发布为中等,此更新周期伴随着一些严重的欺骗和安全绕过问题。
Microsoft 发布了以下关于更新 Exchange 服务器的技术挑战的说明,包括:“当您尝试通过双击更新文件 (.MSP) 以在正常模式下运行它来手动安装此安全更新时(即,不 作为管理员),某些文件未正确更新。发生此问题时,您不会收到错误消息或任何指示未正确安装安全更新的信息。但是,Outlook Web Access (OWA) 和 Exchange 控制面板 (ECP) 可能会停止工作。”
慢慢来,这些问题不是时效性的(就像上个月一样)。 我们仍然听到并遇到 Exchange 服务器更新问题,虽然我们预计此 Exchange 更新不会出现兼容性或功能问题,但要正确处理此 5 月更新可能需要一些思考。 将此 Exchange Server 更新添加到您的常规补丁发布机制中。
微软开发平台
Microsoft 已经发布了五个开发工具更新——都被评为重要——影响 Visual Studio 和 Microsoft .NET(它与 Visual Studio 有相互链接的依赖关系)。 本月修补了以下特定产品组:
Visual Studio Code Remote – 容器扩展;
微软 Visual Studio 2019;
.NET 5.0 和 .NET 核心 3.1。
由于此远程代码执行漏洞的公开报告,Visual Studios 容器组件 (CVE-2021-31204) 的更新可能是本月最需要关注的问题。 其余四个问题需要用户交互和对目标系统的本地访问(因此,Microsoft 的重要评级)。 将这些更新添加到您的标准开发更新发布周期中。
Adobe(这个月是 Reader,Adobe Reader)
虽然微软没有在其发布周期中包含 Adobe 补丁,但在 Adobe 最新的补丁更新中有一个针对 Adobe Reader 的重要补丁。 Adobe 报告称,漏洞 CVE-2021-28550 已在野外被利用。 不幸的是,这使得 Adobe 问题成为零日问题,影响所有具有远程代码执行漏洞的 Microsoft 设备,该漏洞可能导致对受感染系统的完全访问。
将 Adobe Reader 更新添加到您的“立即修补”发布计划中。 是的,我确实认为我们可以取消这一部分。 下次吧。
