OBEN. 1
Youtube
Nach Interesse durchsuchen - Entdecken Sie Videos, die Sie lieben werden, in Kategorien wie Musik, Unterhaltung, Nachrichten, Spiele und mehr. Alles bequem von Ihrer Couch aus.


            Con 55 actualizaciones, tres vulnerabilidades reportadas públicamente y exploits reportados públicamente para Adobe Reader, la actualización del martes de parches de esta semana requerirá tiempo y pruebas antes de la implementación.  Hay casos de prueba difíciles (lo estamos analizando, OLE) y las actualizaciones del kernel conducen a implementaciones riesgosas.  Concéntrese en las correcciones de IE y Adobe Reader, y tómese su tiempo con las actualizaciones (técnicamente complejas) de Exchange y Windows. 

Apropos Zeit, wenn Sie noch Windows 10 1909 haben, ist dies Ihr letzter Monat mit Sicherheitsupdates.

Zu den drei Schwachstellen, die diesen Monat öffentlich bekannt gegeben wurden, gehören:

  • CVE-2021-31204 - Wichtige Sicherheitsanfälligkeit in .NET und Visual Studio
  • CVE-2021-31207 Umgehen der Microsoft Exchange Server-Sicherheitsrolle
  • CVE-2021-31200 Sicherheitsanfälligkeit bezüglich Remotecodeausführung bei allgemeinen Dienstprogrammen Wichtig

Sie finden diese Informationen in dieser Infografik zusammengefasst.

Wichtige Testfälle

In diesem Monat wurden auf der Windows-Plattform keine Änderungen mit hohem Risiko gemeldet. Für diesen Patch-Zyklus haben wir unseren Testleitfaden in zwei Abschnitte unterteilt:

Microsoft Office

  • Das Hauptszenario besteht darin, ältere Dokumente (* .doc) mit Formen und Bildern in ein modernes Dokumentformat (* .docx) zu konvertieren. Die Änderung ist in wordconv.exe.
  • Testen Sie das Laden und Hinzufügen von Grafiken mit dem wichtigen Proof-Regime für Datei / Öffnen / Drucken / Speichern (FOPS).
  • Versuchen Sie für Sharepoint, einer TEST-Site Webparts hinzuzufügen, insbesondere DataFromWebPart

Windows-Desktop- und Serverplattformen

  • Bluetooth - Fremdschlüssel (insbesondere IrDA- und Mausverbindungen) erfordern einen Verbindungstest.
  • Schriftarten müssen getestet werden, insbesondere private Schriftarten (ein FOPS-Test wird wahrscheinlich ausreichen).
  • Versuchen Sie die Ordnerumleitung und beobachten Sie alle Probleme mit der E / A-Leistung.

Und hier ist der Testfall, der die Herzen aller Desktop- (und Server-) Ingenieure erfreuen sollte: Sie sollten diesen Monat die OLE-Automatisierung ausprobieren. Was bedeutet das? Grundsätzlich bedeutet dies, wichtige Geschäftslogik in kritischen intern entwickelten Anwendungen zu finden (und zu testen), die auf komplexen, mehrfachen und miteinander verbundenen Komponenten basieren, für die manchmal ein Remote-Service von einem Remote-Server erforderlich ist. sehr spezifische Version von Visual Basic 5.

Bekannte Probleme

Jeden Monat enthält Microsoft eine Liste bekannter Betriebssystem- und Plattformprobleme, die in diesem Aktualisierungszyklus enthalten sind. Hier sind einige wichtige Probleme mit den neuesten Versionen von Microsoft, einschließlich:

  • System- und Benutzerzertifikate können verloren gehen, wenn ein Gerät von Windows 10 1809 oder höher auf eine neuere Version von Windows 10 aktualisiert wird. Geräte sind nur betroffen, wenn sie bereits das neueste Update installiert haben. Das kumulative Update (LCU) wurde am 16. September 2020 oder höher veröffentlicht und anschließend von einem Installationsmedium oder einer Quelle, auf der die LCU am 10. Oktober 13 oder später nicht mehr installiert ist, auf eine spätere Version von Windows 2020 aktualisiert.
  • Microsoft Edge Legacy kann mit diesem Update auf Geräten mit Windows-Installationen entfernt werden, die auf benutzerdefinierten Offline-Medien oder einem benutzerdefinierten ISO-Image erstellt wurden. Es wird jedoch nicht automatisch durch das neue Microsoft Edge ersetzt.
  • Nach der Installation von KB4467684 startet der Clusterdienst möglicherweise nicht mit dem Fehler "2245 (NERR_PasswordTooShort)", wenn die Gruppenrichtlinie "Mindestkennwortlänge" auf mehr als 14 Zeichen festgelegt ist.

Sie finden auch die Microsoft Known Issues Summary für diese Version auf einer Seite.

Wichtige Überarbeitungen

Microsoft hat (ab dem 14. Mai) keine wichtigen Hotfixes für dieses Dienstag-Update veröffentlicht.

Schadensbegrenzungen und Lösungen

Bisher scheint Microsoft keine Schadensbegrenzung oder Problemumgehungen für diese April-Version veröffentlicht zu haben.

Jeden Monat unterteilen wir den Aktualisierungszyklus in Produktfamilien (wie von Microsoft definiert) mit den folgenden grundlegenden Gruppierungen:

  • Browser (Microsoft IE und Edge);
  • Microsoft Windows (Desktop und Server);
  • Microsoft Office (einschließlich Web- und Exchange-Anwendungen);
  • Microsoft-Entwicklungsplattformen (ASP.NET Core, .NET Core und Chakra Core);
  • Adobe (Reader, ja Reader).

Browser

Browser-Updates sind wieder in Kraft. Und diesmal ist es persönlich. Heilige Kuh: 35 wichtige Updates für Edge (die Chromium-Version) und ein kritisches Update für Internet Explorer 11 (IE11). Alle gemeldeten Sicherheitslücken können zu einem Remote-Code-Ausführungsszenario führen. Alle.

Chromium-Updates sollten aufgrund der Trennung des Chromium-Projekts vom Desktop-Betriebssystem relativ einfach zu implementieren sein. Das IE11-Update ist ein vollständiges binäres Update. Alle älteren Anwendungen müssen mit dieser neuen Version getestet werden. Fügen Sie dieses Update zu Ihren Patch Now-Veröffentlichungsbemühungen hinzu.

Microsoft Windows

Microsoft hat drei Updates veröffentlicht, die als kritisch und 22 als wichtig für diesen Zyklus angesehen werden. Die kritischen Korrekturen beheben Probleme in Hyper-V, die Art und Weise, wie Windows HTTP-Anforderungen verarbeitet, und Probleme mit OLE-Automatisierungsservern. Wir sehen keine dringende Notwendigkeit, diese gemeldeten Sicherheitslücken als "Patch Now" zu klassifizieren, und wir glauben, dass Tests vor der Bereitstellung für die Produktion erforderlich sein werden. Um diese Bedenken zu verstärken, hat Microsoft mit diesem Update einige kleinere Probleme mit der Benutzeroberfläche veröffentlicht:

„Das Windows May-Update kann dazu führen, dass die Steuerelemente der Bildlaufleiste auf dem Bildschirm leer erscheinen und nicht funktionieren. Dieses Problem betrifft 32-Bit-Anwendungen unter 10-Bit-Windows 64 (WOW64), die mithilfe der Superklasse USER32.DLL der Bildlaufleiste für Fenster Bildlaufleisten erstellen. Darüber hinaus kann die Speichernutzung in 4-Bit-Anwendungen um bis zu 64 GB steigen, wenn Sie ein Steuerelement für die Bildlaufleiste erstellen. »

Die Sicherheitsupdates dieses Monats decken die folgenden Hauptfunktionsbereiche von Windows ab:

  • Windows-Plattform- und Anwendungsframeworks;
  • Windows-Kernel;
  • Microsoft Script Engine;
  • Windows Silicon-Plattform.

Der Patch mit der höchsten Bewertung in diesem Monat ist CVE-2021-31194, eine kritische Sicherheitsanfälligkeit in Microsoft OLE Automation Engine. Dieses Update ist schwer zu testen, da Sie eine Anwendung mit einem OLE-Server suchen und die Ergebnisse zwischen den beiden Versionen vergleichen müssen. Microsoft hat auch Tipps zum Entfernen des Remotezugriffs auf JET-Datenbanken bereitgestellt, die Sie hier finden. Fügen Sie diese Windows-Updates zu Ihrem Standard-Release-Zyklus hinzu, wobei Sie sich darauf konzentrieren, Ihre Kerngeschäftsanwendungen auf OLE-, JET- und Hyper-V-Abhängigkeiten zu testen.

Microsoft Office

Die Korrekturen und Aktualisierungen der Microsoft Office Productivity Platform in diesem Monat wirken sich auf die folgenden Basisversionen aus:

  • Office 2013 (Client): SP1 - 15.0.4569.1506;
  • SharePoint 2013 (Server): SP1 - 15.0.4569.1506 und 15.0.4571.1502;
  • Office 2016 (Client): RTM - 16.0.4266.1001;
  • SharePoint 2016 (Server): RTM - 16.0.4351.1000.

Wir haben diesen Monat eine leichte Fahrt mit den Office-Korrekturen. Es gibt keine Schwachstellen, die als kritisch eingestuft wurden, und nur 17, die als wichtig eingestuft wurden. Wenn Sie weiterhin JET-Datenbanken verwenden, müssen Sie sicherstellen, dass Sie den Remotezugriff mit diesem Support-Hinweis von Microsoft entfernt haben. Fügen Sie diese relativ kleinen Korrekturen zu Ihrem Standard-Office-Aktualisierungsprogramm hinzu.

Microsoft Exchange

Nach dem Aktualisieren von Adobe Reader (siehe unten) müssen Sie einige Zeit mit dem neuesten Microsoft Exchange Server-Update verbringen. Mit drei Updates, die als Major eingestuft wurden, und nur einem Patch, der als Moderat veröffentlicht wurde, ist dieser Update-Zyklus mit schwerwiegenden Problemen mit Spoofing und Sicherheitsumgehung verbunden.

Microsoft hat den folgenden Hinweis zur technischen Herausforderung beim Aktualisieren Ihres Exchange-Servers veröffentlicht: „Wenn Sie versuchen, dieses Sicherheitsupdate manuell zu installieren, indem Sie auf die Update-Datei (.MSP) doppelklicken, um es im normalen Modus auszuführen (d. H. nein als Administrator), einige Dateien werden nicht korrekt aktualisiert. Wenn dieses Problem auftritt, erhalten Sie keine Fehlermeldung oder einen Hinweis darauf, dass das Sicherheitsupdate nicht ordnungsgemäß installiert wurde. Outlook Web Access (OWA) und das Exchange-Kontrollfeld (ECP) funktionieren jedoch möglicherweise nicht mehr. »

Nehmen Sie sich Zeit, diese Probleme sind nicht dringend (wie im letzten Monat). Wir hören immer noch Probleme beim Aktualisieren des Exchange-Servers, und obwohl wir keine Kompatibilitäts- oder Funktionsprobleme mit diesem Exchange-Update erwarten würden, erfordert die korrekte Logistik mit diesem Mai-Update möglicherweise Aufmerksamkeit. Fügen Sie dieses Exchange Server-Update zu Ihrem regulären Patch-Release-Programm hinzu.

Microsoft-Entwicklungsplattformen

Microsoft hat fünf Entwickler-Tool-Updates veröffentlicht, die alle als wichtig erachtet wurden und sich auf Visual Studio und Microsoft .NET auswirken (das von der Visual Studio-Pipeline abhängig ist). Die folgenden spezifischen Produktgruppen werden diesen Monat aktualisiert:

  • Visual Studio Code Remote - Containererweiterung;
  • Microsoft Visual Studio 2019;
  • .NET 5.0 und .NET Core 3.1.

Das Update der Visual Studios-Containerkomponente (CVE-2021-31204) erfordert aufgrund des öffentlichen Berichts über diese Sicherheitsanfälligkeit bezüglich Remotecodeausführung in diesem Monat wahrscheinlich die größte Aufmerksamkeit. Die verbleibenden vier Probleme erfordern Benutzerinteraktion und lokalen Zugriff auf das Zielsystem (daher der wichtige Hinweis von Microsoft). Fügen Sie diese Updates Ihrem Standard-Release-Zyklus für Entwicklungsupdates hinzu.

Adobe (dieser Monat ist Reader, Adobe Reader)

Obwohl Microsoft keinen Adobe-Patch in den Veröffentlichungszyklus aufgenommen hat, gab es im neuesten Adobe-Patch-Update einen wichtigen Patch für Adobe Reader. Adobe hat berichtet, dass die Sicherheitsanfälligkeit CVE-2021-28550 in freier Wildbahn ausgenutzt wurde. Leider betrifft dies das Zero-Day-Problem von Adobe, das alle Microsoft-Geräte mit einer Sicherheitsanfälligkeit bezüglich Remotecodeausführung betrifft, die zu einem vollständigen Zugriff auf das gefährdete System führen kann.

Fügen Sie das Adobe Reader-Update zu Ihrem "Patch Now" -Starter hinzu. Und ja, ich dachte wirklich, wir könnten diesen Abschnitt entfernen. Vielleicht nächstes Mal.

<p>Copyright © 2021 IDG Communications, Inc.</p>
Teilen Sie es
A %d Blogger wie folgt aus: