Die Patch-Tuesday-Updates im Juni konzentrieren sich auf Windows und Office

Jun 25, 2023

Von Greg Lambert, Mitwirkender, Computerworld |

Greg Lambert bewertet die Risiken für bestehende Anwendungen und Umgebungen im monatlichen Patch-Dienstag-Zyklus.

Microsoft hat am Patch-Dienstag 73 Updates für seine Windows-, Office- und Visual Studio-Plattformen veröffentlicht, von denen sich viele mit grundlegenden, aber nicht dringenden Sicherheitslücken befassen. Das ist eine willkommene Abwechslung zu den vorangegangenen sechs Monaten voller dringender Zero-Days und öffentlicher Offenlegungen. Vor diesem Hintergrund schlägt das Readiness-Testteam vor, den Schwerpunkt auf Druck- und Sicherungs-/Wiederherstellungsprozesse zu legen, um sicherzustellen, dass sie von diesem Aktualisierungszyklus nicht betroffen sind.

Zum ersten Mal sehen wir, dass ein Drittanbieter (nicht von Adobe) zu einer Patch Tuesday-Version hinzugefügt wurde, mit drei kleineren Plugin-Updates für Visual Studio für AutoDesk. Erwarten Sie, dass in naher Zukunft weitere solcher Anbieter zu den Microsoft-Updates hinzugefügt werden. Das Team von Readiness hat eine nützliche Infografik erstellt, die die mit den einzelnen Updates verbundenen Risiken erläutert.

Jeden Monat veröffentlicht Microsoft eine Liste bekannter Probleme, die sich auf das Betriebssystem und die Plattformen im aktuellen Update-Zyklus beziehen.

Derzeit haben wir keine Einblicke in einen außerhalb der Grenzen liegenden oder frühen Update-Zeitplan von Microsoft sowohl für den Server 20222/VMWare als auch für die UI-Probleme von Drittanbietern. Da es sich um schwerwiegende Probleme handelt, erwarten wir bald eine Antwort von Microsoft.

Die folgenden häufigen Schwachstellen und Gefährdungen (CVEs) wurden kürzlich im Microsoft Security Update Guide überarbeitet:

Microsoft hat für die Veröffentlichung dieses Monats die folgenden Abhilfemaßnahmen im Zusammenhang mit Schwachstellen veröffentlicht:

Jeden Monat analysiert das Team von Readiness die neuesten Patch-Tuesday-Updates, um detaillierte, umsetzbare Testanleitungen zu entwickeln. Diese Anleitung basiert auf der Bewertung eines großen Anwendungsportfolios und einer detaillierten Analyse der Microsoft-Patches und ihrer potenziellen Auswirkungen auf die Windows-Plattformen und Anwendungsinstallationen.

Angesichts der großen Anzahl von Änderungen auf Systemebene, die in diesem Zyklus enthalten sind, werden die Testszenarien in Standard- und Hochrisikoprofile unterteilt.

Ähnlich wie die grundlegenden Sicherheitsänderungen im Zusammenhang mit der Art und Weise, wie SQL-Abfragen auf Desktop-Systemen verarbeitet werden, hat Microsoft eine grundlegende Aktualisierung der Art und Weise vorgenommen, wie bestimmte Rendering-APIs mit einer Reihe neuer Sicherheitsbeschränkungen behandelt werden. Dies ist eine wichtige Voraussetzung zur Trennung von Benutzermodus- und Kernel-Druckertreiberanforderungen. Hierbei handelt es sich nicht um neue APIs oder neue Funktionen, sondern um eine Absicherung bestehender API-Callback-Routinen. Dies ist eine große Änderung und erfordert ein umfassendes Druckertestprogramm, einschließlich:

Bei den folgenden im Update dieses Monats enthaltenen Änderungen besteht kein hohes Risiko für unerwartete Ergebnisse und sie beinhalten keine funktionalen Änderungen:

Microsoft verbietet jetzt die BCD-Optionen „AvelowLowMemory“ und „Truncatememory“ wenn Secureboot aktiviert ist. Darüber hinaus blockiert Microsoft Bootloader, die nicht mit dem Update vom Mai 2023 aktualisiert wurden.

Hinweis: Ihre Wiederherstellungsoptionen sind stark eingeschränkt, es sei denn, auf Ihren Wiederherstellungsabbildern ist auch dieses wichtige Update vom Mai 2023 installiert. Für diese spezielle Änderung des Startvorgangs empfiehlt das Readiness-Team das folgende Testverfahren.

Aktualisieren Sie Ihre Wiederherstellungsmedien, sobald Ihr Testprogramm abgeschlossen ist.

Alle diese Testszenarien (sowohl Standard- als auch Hochrisiko-Testszenarien) erfordern vor der allgemeinen Bereitstellung umfangreiche Tests auf App-Ebene. Angesichts der Art der Änderungen, die in den Patches dieses Monats enthalten sind, empfiehlt das Readiness-Team die folgenden Tests vor der Bereitstellung:

Automatisierte Tests helfen bei diesen Szenarien (insbesondere eine Testplattform, die ein „Delta“ oder einen Vergleich zwischen Builds bietet). Bei branchenspezifischen Anwendungen ist es jedoch unbedingt erforderlich, den Anwendungseigentümer (der UAT durchführt) zum Testen und Genehmigen der Ergebnisse zu bewegen .

Windows-Lebenszyklus-Update

Dieser Abschnitt enthält wichtige Änderungen bei der Wartung (und den meisten Sicherheitsupdates) für Windows-Desktop- und Serverplattformen.

Jeden Monat unterteilen wir den Update-Zyklus in Produktfamilien (wie von Microsoft definiert) mit den folgenden grundlegenden Gruppierungen:

Microsoft hat vier Updates mit niedriger Priorität für Edge veröffentlicht und weitere 14 Patches für die Chromium-Plattform (auf der Edge basiert). Wir haben keine Berichte über öffentliche Enthüllungen oder Exploits gesehen. Allerdings gibt es mehrere ausstehende Sicherheitsupdates, die noch nicht vollständig behoben und veröffentlicht wurden. Es kann also sein, dass wir später in diesem Monat ein Update für das Chromium/Edge-Projekt sehen. Fügen Sie diese Updates zu Ihrem Standard-Patch-Release-Zeitplan hinzu.

Diesen Monat veröffentlichte Microsoft vier wichtige Updates und 33 Patches, die als wichtig für die Windows-Plattform eingestuft wurden; Sie decken diese Schlüsselkomponenten ab:

Dies ist ein moderates Update für die Windows-Desktop- und Serverplattform und sollte als willkommene Abwechslung zu den jüngsten schwerwiegenden Exploits (sowohl öffentlich bekannt gegeben als auch ausgenutzt) angesehen werden. Wie im Mai erwähnt und in den Leitlinien dieses Monats enthalten, sollte der Schwerpunkt auf dem Testen von Sicherungs- und Wiederherstellungsprozessen liegen. Fügen Sie dieses Update Ihrem „Patch Now“-Veröffentlichungsplan hinzu.

Microsoft liefert ein wichtiges Update für seine Office-Plattform mit einem Patch für den SharePoint Enterprise-Server. Die verbleibenden 11 Updates betreffen Microsoft Outlook, Excel und OneNote. Dabei handelt es sich allesamt um relativ unauffällige Sicherheitslücken, die Mac-Benutzer stärker betreffen könnten als Windows-Benutzer. Fügen Sie diese Office-Updates Ihrem Standard-Veröffentlichungsplan hinzu.

Microsoft hat zwei Updates für Microsoft Exchange Server veröffentlicht (CVE-2023-28310 und CVE-2023-32031), die beide als wichtig eingestuft wurden. Diese Sicherheitslücken erfordern eine interne Authentifizierung und es gibt offizielle/bestätigte Korrekturen von Microsoft. Zu keinem der beiden Probleme liegen Berichte über Exploits oder öffentliche Offenlegungen vor. Auch wenn die Aktualisierung von Exchange Server etwas mühsam ist, können Sie diese beiden Updates zu Ihrem Standard-Veröffentlichungsplan für diesen Monat hinzufügen.

Der Juni liefert eine Fülle von Patches für die Microsoft-Entwicklungsplattform, darunter ein einziges wichtiges Update für .NET, eine gesunde Portion von 22 als wichtig eingestuften Updates für Visual Studio, ein (niedrig bewertetes) Update für ein Sysinternals-Tool und ein mäßiges (wie ungewöhnlich!) Update auf ältere, nicht unterstützte Versionen von .NET. Auf den ersten Blick dachte unser Team, dass es sich um ein großes Update mit einem umfangreichen Testprofil handeln würde. Nach einiger Prüfung handelt es sich für Microsoft eher um eine „Unternehmenshygiene“-Übung, bei der kleine Patches für die Kernentwicklungstools bereinigt werden.

Fügen Sie diese Updates Ihrem standardmäßigen Entwickler-Release-Zeitplan hinzu.

Adobe Reader (wir haben einen Gast: AutoDesk)

Diesen Monat gibt es keine Updates von Adobe für Reader oder Acrobat. Aber wie es das Glück (oder das Pech) wollte, müssen wir uns um ein weiteres „A“ Sorgen machen. Die Einführung der Unterstützung externer CNAs (CVE Numbering Authority) durch Microsoft im Januar ermöglichte die Einbeziehung von Drittanbieteranwendungen in Microsoft-Updates. Bisher hat Microsoft nur Adobe integriert. Dieser Monat ändert alles mit der Einführung von drei CVEs für AutoDesk.

Bei diesen drei gemeldeten Schwachstellen (CVE-2023-27911, CVE-2023-27910 und CVE-2023-27909) handelt es sich, obwohl sie von Autodesk entwickelt wurden, tatsächlich um Plugins für (eine ältere, nicht unterstützte) Version von Microsoft Visual Studio. Aus diesem Grund wurden diese drei Probleme in die Patch Tuesday-Veröffentlichung dieses Monats aufgenommen. Fügen Sie diese Updates Ihrem Standard-Update-Veröffentlichungsplan für „Drittanbieter“ hinzu. Wenn Sie vorher noch keins hatten, haben Sie es jetzt.

Viel Spaß beim Patchen.

Greg Lambert ist ein Evangelist für Application Readiness, den Spezialisten für Online-Bewertung und Anwendungskonvertierung. Greg ist Mitbegründer von ChangeBASE und jetzt CEO von Application Readiness und verfügt über umfangreiche Erfahrung mit Anwendungspaketierungstechnologie und deren Bereitstellung.

Copyright © 2023 IDG Communications, Inc.