Vier Null
Von Greg Lambert, Mitwirkender, Computerworld |
Greg Lambert bewertet die Risiken für bestehende Anwendungen und Umgebungen im monatlichen Patch-Dienstag-Zyklus.
Mit dem Patch Tuesday-Update dieses Monats hat Microsoft 130 Sicherheitslücken behoben, zwei Sicherheitshinweise veröffentlicht und vier wichtige CVE-Revisionen hinzugefügt. Außerdem müssen wir vier Zero-Days für Windows verwalten (CVE-2023-32046, CVE-2023-32049, CVE-2023-36874 und CVE-2023-36884), wodurch die Windows-Plattform in einen „Jetzt-Patch“-Plan überführt wird.
Da wir keine Adobe-, Exchange- oder Browser-Updates haben, sollte es in diesem Monat einfacher sein, sich auf das Testen von Microsoft Office und Windows zu konzentrieren. Lesen Sie unbedingt Storm 0978 von Microsoft sorgfältig durch, da es spezifische, umsetzbare Anleitungen zum Umgang mit der schwerwiegenden HTML-Sicherheitslücke in Microsoft Office (CVE-2022-38023) bietet.
Das Readiness-Team hat diese hilfreiche Infografik erstellt, um die mit den einzelnen Updates verbundenen Risiken zu skizzieren.
Microsoft listet jeden Monat bekannte Probleme auf, die sich auf das Betriebssystem und die Plattformen beziehen, die im neuesten Update-Zyklus enthalten sind.
Microsoft hat zwei große Überarbeitungen veröffentlicht:
Microsoft hat für diese Version die folgenden Schwachstellen-bezogenen Abhilfemaßnahmen veröffentlicht:
Jeden Monat stellt das Readiness-Team detaillierte, umsetzbare Testanleitungen für die neuesten Updates bereit. Diese Anleitung basiert auf der Bewertung eines großen Anwendungsportfolios und einer detaillierten Analyse der Microsoft-Patches und ihrer potenziellen Auswirkungen auf die Windows-Plattformen und Anwendungsinstallationen.
Wenn Sie interne Web- oder Anwendungsserver im Einsatz haben, lohnt es sich, das HTTP3-Protokoll zu testen – insbesondere mit Microsoft Edge. Zusätzlich zu diesem Update zur Protokollverarbeitung hat Microsoft eine erhebliche Anzahl von Änderungen und Aktualisierungen am Netzwerkstapel vorgenommen, die die folgenden Tests erforderten:
Angesichts der großen Anzahl von Änderungen auf Systemebene in diesem Monat habe ich die Testszenarien in Standard- und Hochrisikoprofile unterteilt.
Angesichts der Tatsache, dass dieses Update Korrekturen für vier (manche sagen fünf) Zero-Day-Fehler enthält, haben wir in diesem Monat zwei Haupttreiber für Veränderungen: wichtige Funktionsänderungen in Kernsystemen und die dringende Notwendigkeit, Updates bereitzustellen. Microsoft hat dokumentiert, dass zwei Kernbereiche mit erheblichen Funktionsänderungen aktualisiert wurden, darunter Drucken und der lokale Netzwerkstapel (mit Schwerpunkt auf Routing). Daher sollten vor der allgemeinen Bereitstellung folgende Tests durchgeführt werden:
Die folgenden Änderungen wurden diesen Monat aufgenommen und wurden weder als hohes Risiko (mit unerwarteten Ergebnissen) eingestuft, noch beinhalten sie funktionale Änderungen.
Alle diese Testszenarien erfordern vor einer allgemeinen Bereitstellung umfangreiche Tests auf Anwendungsebene. Angesichts der Änderungen, die in den Patches dieses Monats enthalten sind, empfiehlt das Readiness-Team, dass die folgenden Tests vor der allgemeinen Bereitstellung durchgeführt werden:
Aufgrund der Änderung in OLE und der Art und Weise, wie Microsoft mit CVE-2023-36884 umgegangen ist, kann es in diesem Monat etwas schwierig sein, Ihre Microsoft Office-Automatisierung/-Skripte und die Integration mit Anwendungen von Drittanbietern zu testen. Wir empfehlen einen vollständigen Test der Excel-Makros (sofern sie OLE/COM/DCOM verwenden) und aller VBS-Skripte, die Word enthalten.
Hier sind die wichtigen Änderungen bei der Wartung (und den meisten Sicherheitsupdates) für Windows-Desktop- und Serverplattformen.
Jeden Monat unterteilen wir den Update-Zyklus in Produktfamilien (wie von Microsoft definiert) mit den folgenden grundlegenden Gruppierungen:
Kaum zu glauben, aber in diesem Update-Zyklus gibt es keine Browser-Updates. Und wir sehen auch nichts in der Pipeline für eine Veröffentlichung in der Mitte des Zyklus. Dies ist eine große Veränderung und eine enorme Verbesserung gegenüber den Tagen großer, komplexer und dringender Browser-Updates. Gehen Sie zu Microsoft!
Microsoft hat acht wichtige Updates und 95 Patches veröffentlicht, die als wichtig für die Windows-Plattform eingestuft wurden und die folgenden Schlüsselkomponenten abdecken:
Wie im Abschnitt „Microsoft Office“ oben erwähnt, sollten wir uns in diesem Monat auf die sofortige Lösung von CVE-2023-36884 konzentrieren. Obwohl es von Microsoft als wichtig eingestuft wurde (leider widersprüchlich), sind wir der Meinung, dass es als dringend behandelt werden sollte, da es sowohl öffentlich bekannt gegeben als auch ausgenutzt wurde. In Verbindung mit dem anderen Windows Zero-Day (CVE-2023-32046) wird dadurch die gesamte Windows-Updategruppe in den „Patch Now“-Plan für unsere Kunden aufgenommen. Sobald das Geschrei aufhört, können Sie sich etwas Zeit nehmen und sich das Windows 11-Release-Video ansehen. wir finden es beruhigend.
Wir müssen über Microsoft Office reden. Obwohl es zwei als kritisch eingestufte Updates für SharePoint (CVE-2023-33157 und CVE-2023-33160) und 14 von Microsoft als wichtig eingestufte Updates gibt, ist der Elefant im Raum CVE-2023-36884 (Sicherheitslücke in Office und HTML RCE). Diese Sicherheitslücke wurde sowohl öffentlich bekannt gegeben als auch als ausgenutzt dokumentiert. Offiziell gehört dieses Update zur Windows-Gruppe, aber wir glauben, dass die wahren Auswirkungen darin liegen, wie Microsoft Office mit HTML-Daten umgeht (Übertragung/Speicherung/Berechnung). CVE-2023-36884 wirkt sich direkt auf Office aus und Ihr Testsystem sollte dies widerspiegeln.
Fügen Sie diese Office-Updates zu Ihrem Standard-Release-Zeitplan hinzu. Beachten Sie dabei, dass Ihr Office-Patch-Testregime mit Ihrem Windows-Update-Release-Zeitplan gekoppelt werden muss.
Zu unserem großen Glück gibt es diesen Monat keine Updates für Microsoft Exchange Server.
Im Vergleich zu den sehr schwerwiegenden (und zahlreichen) Exploits in Office und Windows in diesem Monat gibt es nur fünf Updates, die Visual Studio, ASP.NET und eine kleinere Komponente von Mono (die plattformübergreifende C#-Implementierung) betreffen. Alle diese Patches werden von Microsoft als wichtig eingestuft und sollten Ihrem Standard-Releaseplan für Entwickler hinzugefügt werden.
Eine weitere gute Nachricht: Dieses Update enthält keine Updates von Adobe oder anderen Drittanbietern.
Greg Lambert ist ein Evangelist für Application Readiness, den Spezialisten für Online-Bewertung und Anwendungskonvertierung. Greg ist Mitbegründer von ChangeBASE und jetzt CEO von Application Readiness und verfügt über umfangreiche Erfahrung mit Anwendungspaketierungstechnologie und deren Bereitstellung.
Copyright © 2023 IDG Communications, Inc.
Bekannte ProblemeWichtige ÜberarbeitungenAbhilfemaßnahmen und ProblemumgehungenTestanleitungHohes RisikoStandardrisikoWindows-Lebenszyklus-UpdateBrowserWindowsMicrosoft OfficeMicrosoft Exchange ServerMicrosoft-EntwicklungsplattformenAdobe Reader (immer noch hier, nur nicht diesen Monat)