أعلى. 1
يوتيوب
تصفح بالاهتمام - اكتشف مقاطع الفيديو التي ستحبها في فئات مثل الموسيقى والترفيه والأخبار والألعاب والمزيد. كل ذلك من راحة الأريكة الخاصة بك.


            Con 55 actualizaciones, tres vulnerabilidades reportadas públicamente y exploits reportados públicamente para Adobe Reader, la actualización del martes de parches de esta semana requerirá tiempo y pruebas antes de la implementación.  Hay casos de prueba difíciles (lo estamos analizando, OLE) y las actualizaciones del kernel conducen a implementaciones riesgosas.  Concéntrese en las correcciones de IE y Adobe Reader, y tómese su tiempo con las actualizaciones (técnicamente complejas) de Exchange y Windows. 

بالحديث عن قضاء وقتك ، إذا كان لا يزال لديك Windows 10 1909 ، فهذا هو الشهر الأخير من تحديثات الأمان.

تشمل نقاط الضعف الثلاثة التي تم الكشف عنها علنًا هذا الشهر ما يلي:

  • CVE-2021-31204 - الارتفاعات الرئيسية لـ .NET و Visual Studio لضعف الامتياز
  • CVE-2021-31207 تجاوز دور أمان Microsoft Exchange Server
  • CVE-2021-31200 الخدمات العامة ثغرة أمنية في تنفيذ التعليمات البرمجية عن بُعد

يمكنك العثور على هذه المعلومات ملخصة في هذا الرسم البياني.

حالات الاختبار الرئيسية

لم يتم الإبلاغ عن أي تغييرات عالية الخطورة على نظام Windows الأساسي هذا الشهر. بالنسبة لدورة التصحيح هذه ، قمنا بتقسيم دليل الاختبار إلى قسمين:

مايكروسوفت أوفيس

  • السيناريو الرئيسي الذي يجب تجربته هو تحويل المستندات القديمة (* .doc) التي تحتوي على أشكال وصور إلى تنسيق مستند حديث (* .docx). التغيير في wordconv.exe.
  • اختبر تحميل الرسومات وإضافتها باستخدام نظام تدقيق الملفات / الفتح / الطباعة / الحفظ (FOPS) المهم للغاية.
  • بالنسبة لـ Sharepoint ، حاول إضافة أجزاء ويب إلى موقع TEST ، وخاصة DataFromWebPart

منصات سطح مكتب Windows والخادم

  • Bluetooth - ستتطلب المفاتيح الخارجية (اتصالات IrDA والماوس على وجه الخصوص) اختبار اتصال.
  • يجب اختبار الخطوط ، خاصة الخطوط الخاصة (من المحتمل أن يكون اختبار FOPS كافياً).
  • حاول إعادة توجيه المجلد ولاحظ أي مشكلات في أداء الإدخال / الإخراج.

وإليك حالة الاختبار التي يجب أن تفرح قلوب جميع مهندسي سطح المكتب (والخادم): يجب أن تجرب أتمتة OLE هذا الشهر. ماذا يعني؟ يُترجم هذا بشكل أساسي إلى إيجاد (واختبار) منطق الأعمال الرئيسي في التطبيقات الهامة المطورة داخليًا والتي تستند إلى مكونات معقدة ومتعددة ومترابطة والتي تتطلب أحيانًا خدمة عن بُعد من خادم بعيد. إصدار محدد جدًا من Visual Basic 5.

مشاكل معروفة

تتضمن Microsoft كل شهر قائمة بمشكلات نظام التشغيل والنظام الأساسي المعروفة المضمنة في دورة التحديث هذه. فيما يلي بعض المشكلات الأساسية في أحدث الإصدارات من Microsoft ، بما في ذلك:

  • يمكن فقد شهادات النظام والمستخدم عند تحديث جهاز من Windows 10 1809 أو إصدار أحدث إلى إصدار أحدث من Windows 10. ستتأثر الأجهزة فقط إذا كانت قد قامت بالفعل بتثبيت آخر تحديث. تم إصدار التحديث التراكمي (LCU) في 16 سبتمبر 2020 أو ما بعده ثم قم بالترقية إلى إصدار أحدث من Windows 10 من أي وسائط أو مصدر تثبيت [الذي] لم يتم إصدار LCU في 13 أكتوبر 2020 أو ما بعده مضمن.
  • يمكن إزالة Microsoft Edge Legacy من خلال هذا التحديث على الأجهزة التي تحتوي على عمليات تثبيت Windows تم إنشاؤها من وسائط مخصصة غير متصلة بالإنترنت أو صورة ISO مخصصة ، ولكن لا يتم استبدالها تلقائيًا بـ Microsoft Edge الجديد.
  • بعد تثبيت KB4467684 ، قد تفشل خدمة الكتلة في البدء بالخطأ "2245 (NERR_PasswordTooShort)" إذا تم تعيين "الحد الأدنى لطول كلمة المرور" لنهج المجموعة إلى أكثر من 14 حرفًا.

يمكنك أيضًا العثور على ملخص المشكلات المعروفة لـ Microsoft لهذا الإصدار في صفحة واحدة.

تنقيحات مهمة

لم تصدر Microsoft (اعتبارًا من 14 مايو) أي إصلاحات عاجلة رئيسية لتحديث يوم الثلاثاء هذا.

التخفيفات والحلول

حتى الآن ، لا يبدو أن Microsoft قد أصدرت أي تخفيف أو حلول لإصدار أبريل هذا.

كل شهر ، نقسم دورة التحديث إلى مجموعات منتجات (على النحو المحدد بواسطة Microsoft) مع المجموعات الأساسية التالية:

  • المتصفحات (مايكروسوفت إنترنت إكسبلورر وإدج)؛
  • مايكروسوفت ويندوز (سطح المكتب والخادم) ؛
  • مايكروسوفت أوفيس (بما في ذلك على شبكة الإنترنت وتطبيقات تبادل)؛
  • منصات تطوير Microsoft (ASP.NET Core و .NET Core و Chakra Core) ؛
  • Adobe (Reader ، Yes Reader).

المتصفحات

عادت تحديثات المتصفح سارية المفعول. وهذه المرة ، الأمر شخصي. Holy Cow: 35 تحديثًا مهمًا لـ Edge (إصدار Chromium) وتحديث هام واحد لـ Internet Explorer 11 (IE11). قد تؤدي جميع الثغرات الأمنية المبلغ عنها إلى سيناريو تنفيذ التعليمات البرمجية عن بُعد. الجميع.

يجب أن تكون تحديثات Chromium سهلة التنفيذ نسبيًا بسبب فصل مشروع Chromium عن نظام تشغيل سطح المكتب. تحديث IE11 هو تحديث ثنائي كامل. يجب اختبار جميع التطبيقات القديمة باستخدام هذا الإصدار الجديد. أضف هذا التحديث إلى جهود نشر Patch Now.

مايكروسوفت ويندوز

أصدرت Microsoft ثلاثة تحديثات تعتبر ضرورية و 22 تعتبر مهمة لهذه الدورة. إصلاحات مهمة لمشكلات العنوان في Hyper-V ، والطريقة التي يتعامل بها Windows مع طلبات HTTP ، ومشكلات خادم أتمتة OLE. لا نرى حاجة ملحة لتصنيف هذه الثغرات الأمنية التي تم الإبلاغ عنها على أنها "تصحيح الآن" ونعتقد أن الاختبار سيكون مطلوبًا قبل النشر إلى الإنتاج. لزيادة هذه المخاوف ، أصدرت Microsoft بعض مشكلات واجهة المستخدم البسيطة مع هذا التحديث:

"قد يتسبب تحديث Windows في ظهور عناصر تحكم شريط التمرير فارغة على الشاشة وعدم عملها. تؤثر هذه المشكلة على تطبيقات 32 بت التي تعمل على الإصدار 10 بت من Windows 64 (WOW64) التي تنشئ أشرطة تمرير باستخدام شريط تمرير نافذة من الفئة الفائقة USER32.DLL. بالإضافة إلى ذلك ، قد تكون هناك زيادة في استخدام الذاكرة تصل إلى 4 جيجابايت في تطبيقات 64 بت عند إنشاء عنصر تحكم شريط التمرير. »

تغطي تحديثات الأمان لهذا الشهر المجالات الوظيفية الرئيسية التالية لنظام التشغيل Windows:

  • منصة Windows وأطر التطبيقات ؛
  • نواة ويندوز
  • محرك Microsoft Script ؛
  • منصة Windows Silicon.

التصحيح الأعلى تقييمًا هذا الشهر هو CVE-2021-31194 ، وهو ثغرة أمنية خطيرة في Microsoft OLE Automation Engine. سيكون من الصعب اختبار هذا التحديث لأنك ستحتاج إلى العثور على تطبيق مزود بخادم OLE ومقارنة النتائج بين الإصدارين. قدمت Microsoft أيضًا نصائح حول كيفية إزالة الوصول عن بُعد إلى قواعد بيانات JET ، والتي يمكنك العثور عليها هنا. أضف تحديثات Windows هذه إلى دورة الإصدار القياسية الخاصة بك مع التركيز على اختبار تطبيقات الأعمال الأساسية الخاصة بك لتبعيات OLE و JET و Hyper-V.

مايكروسوفت أوفيس

تؤثر إصلاحات وتحديثات النظام الأساسي للإنتاجية من Microsoft Office لهذا الشهر على الإصدارات الأساسية التالية:

  • Office 2013 (العميل): SP1 - 15.0.4569.1506 ؛
  • SharePoint 2013 (الخادم): SP1 - 15.0.4569.1506 و 15.0.4571.1502 ؛
  • مكتب 2016 (العميل): RTM - 16.0.4266.1001 ؛
  • SharePoint 2016 (الخادم): RTM - 16.0.4351.1000.

لدينا رحلة سهلة هذا الشهر مع إصلاحات Office. لا توجد ثغرات تم تصنيفها على أنها حرجة و 17 فقط مصنفة على أنها مهمة إذا كنت لا تزال تستخدم قواعد بيانات JET ، فستحتاج إلى التأكد من أنك قد أزلت الوصول عن بُعد باستخدام مذكرة الدعم هذه من Microsoft. أضف هذه الإصلاحات البسيطة نسبيًا إلى برنامج تحديث Office القياسي.

مايكروسوفت تبادل

بعد تحديث Adobe Reader (انظر أدناه) ، ستحتاج إلى قضاء بعض الوقت في تحديث Microsoft Exchange Server الأخير. مع وجود ثلاثة تحديثات مصنفة رئيسية وتصحيح واحد فقط تم إصداره على أنه متوسط ​​، ترتبط دورة التحديث هذه بمشكلات انتحال خطيرة وتجاوز الأمان.

أصدرت Microsoft الملاحظة التالية حول التحدي التقني لتحديث خادم Exchange ، والذي يتضمن: "عند محاولة تثبيت هذا التحديث الأمني ​​يدويًا بالنقر نقرًا مزدوجًا فوق ملف التحديث (.MSP) لتشغيله في الوضع العادي (أي ، لا كمسؤول) ، لم يتم تحديث بعض الملفات بشكل صحيح. عند حدوث هذه المشكلة ، لا تتلقى رسالة خطأ أو أي إشارة إلى عدم تثبيت التحديث الأمني ​​بشكل صحيح. ومع ذلك ، قد يتوقف Outlook Web Access (OWA) ولوحة تحكم Exchange (ECP) عن العمل. »

خذ وقتك ، فهذه القضايا ليست ملحة (مثل الشهر الماضي). ما زلنا نسمع ونواجه مشكلات في تحديث خادم Exchange ، وعلى الرغم من أننا لا نتوقع أي مشكلات تتعلق بالتوافق أو الوظائف مع تحديث Exchange هذا ، فقد تتطلب الخدمات اللوجستية الصحيحة مع تحديث مايو هذا الانتباه. أضف تحديث Exchange Server هذا إلى نظام إصدار التصحيح العادي.

منصات تطوير مايكروسوفت

أصدرت Microsoft خمسة تحديثات لأدوات المطورين ، واعتبرت جميعها مهمة ، مما يؤثر على Visual Studio و Microsoft .NET (التي تعتمد على خط أنابيب Visual Studio). يتم تحديث مجموعات المنتجات المحددة التالية هذا الشهر:

  • Visual Studio Code Remote - تمديد الحاوية ؛
  • Microsoft Visual Studio 2019 ؛
  • NET 5.0 و .NET Core 3.1.

من المحتمل أن يتطلب تحديث مكون Visual Studios Container (CVE-2021-31204) أكبر قدر من الاهتمام هذا الشهر ، بسبب التقرير العام عن الثغرة الأمنية في تنفيذ التعليمات البرمجية عن بُعد. تتطلب المشكلات الأربع المتبقية تفاعل المستخدم والوصول المحلي إلى النظام المستهدف (ومن هنا جاءت الملاحظة المهمة من Microsoft). أضف هذه التحديثات إلى دورة إصدار تحديث التطوير القياسي.

Adobe (هذا الشهر هو Reader و Adobe Reader)

على الرغم من أن Microsoft لم تقم بتضمين تصحيح Adobe في دورة الإصدار الخاصة بها ، إلا أنه كان هناك تصحيح مهم لبرنامج Adobe Reader في آخر تحديث لبرنامج Adobe patch. ذكرت شركة Adobe أنه تم استغلال الثغرة الأمنية CVE-2021-28550 في البرية. لسوء الحظ ، فإن هذا يجعل مشكلة يوم الصفر في Adobe تؤثر على جميع أجهزة Microsoft التي تعاني من ثغرة أمنية في تنفيذ التعليمات البرمجية عن بُعد والتي قد تؤدي إلى الوصول الكامل إلى النظام المخترق.

أضف تحديث Adobe Reader إلى مشغل "Patch Now" الخاص بك. ونعم ، اعتقدت حقًا أنه يمكننا إزالة هذا القسم. ربما في المرة القادمة.

<p>Copyright © 2021 IDG Communications, Inc.</p>
شارك هذا
A %d بلوغويروس ليس غوستا إستو: