TOPP. 1
Youtube
Bläddra efter intresse - Upptäck videor du kommer att älska i kategorier som musik, underhållning, nyheter, spel och mer. Allt från soffans komfort.


            Con 55 actualizaciones, tres vulnerabilidades reportadas públicamente y exploits reportados públicamente para Adobe Reader, la actualización del martes de parches de esta semana requerirá tiempo y pruebas antes de la implementación.  Hay casos de prueba difíciles (lo estamos analizando, OLE) y las actualizaciones del kernel conducen a implementaciones riesgosas.  Concéntrese en las correcciones de IE y Adobe Reader, y tómese su tiempo con las actualizaciones (técnicamente complejas) de Exchange y Windows. 

På tal om att ta dig tid, om du fortfarande har Windows 10 1909, så är det din sista månad med säkerhetsuppdateringar.

De tre sårbarheterna som offentliggjordes denna månad inkluderar:

  • CVE-2021-31204 - Större säkerhetsproblem i .NET och Visual Studio
  • CVE-2021-31207 kringgår säkerhetsrollen för Microsoft Exchange Server
  • CVE-2021-31200 Vanliga säkerhetsproblem med fjärrkörning av kod. Viktigt

Du hittar informationen sammanfattad i denna infografik.

Viktiga testfall

Inga högriskförändringar rapporterades på Windows-plattformen den här månaden. För denna patchcykel har vi delat upp vår testguide i två avsnitt:

Microsoft Office

  • Huvudscenariot att försöka är att konvertera äldre dokument (* .doc) som innehåller former och bilder till det moderna dokumentformatet (* .docx). Ändringen sker i wordconv.exe.
  • Testa att ladda och lägga till grafik med det viktiga testreglaget för File / Open / Print / Save (FOPS).
  • För Sharepoint, försök att lägga till webbdelar till en TEST-webbplats, särskilt DataFromWebPart

Windows skrivbords- och serverplattformar

  • Bluetooth - främmande nycklar (särskilt IrDA och musanslutningar) kräver ett anslutningstest.
  • Teckensnitt måste testas, särskilt privata teckensnitt (ett FOPS-test räcker förmodligen).
  • Prova mappomdirigering och observera eventuella problem med I / O-prestanda.

Och här är testfallet som skulle glädja hjärtan hos alla skrivbordstekniker (och server): Du bör prova OLE-automatisering den här månaden. Vad betyder det? I grund och botten översätts detta till att hitta (och testa) viktig affärslogik i kritiska internt utvecklade applikationer som är baserade på komplexa, flera och inbördes relaterade komponenter som ibland kräver fjärrtjänst från en fjärrserver. mycket specifik version av Visual Basic 5.

Kända problem

Varje månad innehåller Microsoft en lista över kända operativsystem och plattformsproblem som ingår i den här uppdateringscykeln. Här är några viktiga problem med de senaste versionerna från Microsoft, inklusive:

  • System- och användarcertifikat kan gå förlorade när du uppdaterar en enhet från Windows 10 1809 eller senare till en nyare version av Windows 10. Enheter påverkas bara om de redan har installerat den senaste uppdateringen. Kumulativ uppdatering (LCU) släpptes 16 september 2020 eller senare och uppgraderar sedan till en senare version av Windows 10 från alla installationsmedier eller källor [som] inte har LCU släppt 13 oktober 2020 eller senare inbyggt.
  • Microsoft Edge Legacy kan tas bort med den här uppdateringen på enheter med Windows-installationer som skapats från anpassade offlinemedier eller en anpassad ISO-avbild, men den ersätts inte automatiskt av nya Microsoft Edge.
  • Efter installation av KB4467684 kan klustertjänsten misslyckas med att börja med felet "2245 (NERR_PasswordTooShort)" om grupprincipen "Minsta lösenordslängd" är inställd på mer än 14 tecken.

Du kan också hitta Microsoft Kända problemöversikt för den här versionen på en sida.

Viktiga revideringar

Microsoft har inte släppt (den 14 maj) några större snabbkorrigeringar för denna tisdaguppdatering.

Lättnader och lösningar

Hittills verkar det inte som om Microsoft har släppt några begränsningar eller lösningar för denna april-release.

Varje månad delar vi uppdateringscykeln i produktfamiljer (som definierats av Microsoft) med följande grundläggande grupperingar:

  • Webbläsare (Microsoft IE och Edge);
  • Microsoft Windows (skrivbord och server);
  • Microsoft Office (inklusive webb- och Exchange-applikationer);
  • Microsofts utvecklingsplattformar (ASP.NET Core, .NET Core och Chakra Core);
  • Adobe (Reader, ja Reader).

webbläsare

Webbläsaruppdateringar är tillbaka i kraft. Och den här gången är det personligt. Holy cow: 35 kritiska uppdateringar för Edge (Chromium-versionen) och en kritisk uppdatering för Internet Explorer 11 (IE11). Alla rapporterade sårbarheter kan leda till ett fjärrkörningsscenario. Allt.

Kromuppdateringar bör vara relativt enkla att implementera på grund av att Chromium-projektet skiljer sig från skrivbordsoperativsystemet. IE11-uppdateringen är en fullständig binäruppdatering. Alla äldre applikationer måste testas med den här nya versionen. Lägg till den här uppdateringen i ditt Patch Now-publiceringsarbete.

Microsoft Windows

Microsoft har släppt tre uppdateringar som anses vara kritiska och 22 anses vara viktiga för denna cykel. De kritiska korrigeringarna löser problem i Hyper-V, hur Windows hanterar HTTP-förfrågningar och OLE-automationsserverproblem. Vi ser inte ett brådskande behov av att klassificera dessa rapporterade sårbarheter som "Patch Now" och vi tror att testning kommer att krävas före distribution till produktion. För att öka dessa problem har Microsoft släppt några mindre användargränssnittsproblem med den här uppdateringen:

”Windows maj-uppdateringen kan orsaka att rullningsknapparna visas tomma på skärmen och inte fungerar. Det här problemet påverkar 32-bitarsapplikationer som körs på 10-bitars Windows 64 (WOW64) som skapar rullningslister med hjälp av en superklass USER32.DLL-fönster. Dessutom kan minnesanvändningen öka med upp till 4 GB i 64-bitarsapplikationer när du skapar en rullningskontroll. »

Den här månadens säkerhetsuppdateringar täcker följande huvudfunktionsområden i Windows:

  • Windows-plattformar och applikationsramar;
  • Windows-kärna;
  • Microsoft Script Engine;
  • Windows Silicon-plattform.

Den högst rankade korrigeringsfilen denna månad är CVE-2021-31194, en kritisk sårbarhet i Microsoft OLE Automation Engine. Den här uppdateringen kommer att vara svår att testa eftersom du måste hitta en applikation med en OLE-server och jämföra resultaten mellan de två versionerna. Microsoft har också gett tips om hur du tar bort fjärråtkomst till JET-databaser, som du hittar här. Lägg till dessa Windows-uppdateringar i din standardutgivningscykel med fokus på att testa dina kärnverksamhetsapplikationer för OLE-, JET- och Hyper-V-beroenden.

Microsoft Office

Den här månadens korrigeringar och uppdateringar av Microsoft Office Productivity Platform påverkar följande basversioner:

  • Office 2013 (klient): SP1 - 15.0.4569.1506;
  • SharePoint 2013 (server): SP1 - 15.0.4569.1506 och 15.0.4571.1502;
  • Office 2016 (klient): RTM - 16.0.4266.1001;
  • SharePoint 2016 (server): RTM - 16.0.4351.1000.

Vi har en enkel resa den här månaden med Office-korrigeringar. Det finns inga sårbarheter som är kritiska och endast 17 som viktiga. Om du fortfarande använder JET-databaser måste du se till att du har tagit bort fjärråtkomst med denna supportnot från Microsoft. Lägg till dessa relativt små korrigeringar i ditt vanliga Office-uppdateringsprogram.

Microsoft Exchange

Efter uppdatering av Adobe Reader (se nedan) måste du spendera lite tid på den senaste uppdateringen av Microsoft Exchange Server. Med tre uppdateringar klassificerade Major och endast en patch släppt som Moderate, är den här uppdateringscykeln associerad med allvarliga spoofing och säkerhetsbypassproblem.

Microsoft har släppt följande anmärkning om den tekniska utmaningen att uppdatera din Exchange-server, som inkluderar: ”När du försöker installera denna säkerhetsuppdatering manuellt genom att dubbelklicka på uppdateringsfilen (.MSP) för att köra den i normalt läge (det vill säga nej som administratör), vissa filer uppdateras inte korrekt. När detta problem uppstår får du inte ett felmeddelande eller någon indikation på att säkerhetsuppdateringen inte installerades korrekt. Outlook Web Access (OWA) och Exchange Control Panel (ECP) kan dock sluta fungera. »

Ta dig tid, dessa frågor är inte brådskande (som förra månaden). Vi hör fortfarande och har problem med att uppdatera Exchange-servern, och även om vi inte förväntar oss några kompatibilitets- eller funktionsproblem med denna Exchange-uppdatering, kan rätt logistik med denna maj-uppdatering kräva uppmärksamhet. Lägg till den här Exchange Server-uppdateringen i din vanliga patch release-regim.

Microsofts utvecklingsplattformar

Microsoft har släppt fem uppdateringsverktygsuppdateringar, som alla ansågs betydande, vilket påverkar Visual Studio och Microsoft .NET (som är beroende av Visual Studio-pipelinen). Följande specifika produktgrupper uppdateras denna månad:

  • Visual Studio Code Remote - Container Extension;
  • Microsoft Visual Studio 2019;
  • .NET 5.0 och .NET Core 3.1.

Visual Studios Container-komponentuppdatering (CVE-2021-31204) kommer sannolikt att kräva mest uppmärksamhet den här månaden på grund av den offentliga rapporten om denna sårbarhet för fjärrkörning av kod. De återstående fyra problemen kräver användarinteraktion och lokal åtkomst till målsystemet (därav den viktiga anteckningen från Microsoft). Lägg till dessa uppdateringar i din standardutgivningscykel för utvecklingsuppdatering.

Adobe (den här månaden är Reader, Adobe Reader)

Även om Microsoft inte inkluderade en Adobe-patch i sin release-cykel, fanns det en kritisk patch för Adobe Reader i den senaste Adobe-patchuppdateringen. Adobe har rapporterat att CVE-2021-28550-sårbarheten har utnyttjats i naturen. Tyvärr gör detta Adobes nolldagsproblem som påverkar alla Microsoft-enheter med en sårbarhet för fjärrkörning av kod som kan leda till full åtkomst till det komprometterade systemet.

Lägg till Adobe Reader-uppdateringen i startprogrammet "Patch Now". Och ja, jag trodde verkligen att vi kunde ta bort det här avsnittet. Kanske nästa gång.

<p>Copyright © 2021 IDG Communications, Inc.</p>
Dela detta
A %d bloggare så här: