Jetzt patchen, um kritische Windows-Nullpunkte zu beheben

Jun 21, 2023

Von Greg Lambert, Mitwirkender, Computerworld |

Greg Lambert bewertet die Risiken für bestehende Anwendungen und Umgebungen im monatlichen Patch-Dienstag-Zyklus.

Der erste Patch-Dienstag des Jahres von Microsoft behebt 98 Sicherheitslücken, von denen 10 als kritisch für Windows eingestuft werden. Bei einer Schwachstelle (CVE-2023-21674) in einem Kernabschnitt des Windows-Codes handelt es sich um eine Zero-Day-Schwachstelle, die sofortige Aufmerksamkeit erfordert. Und Adobe ist mit einem wichtigen Update zurück, gepaart mit einigen unauffälligen Patches für den Microsoft Edge-Browser.

Wir haben die Windows- und Adobe-Updates zu unserer „Patch Now“-Liste hinzugefügt, da wir uns darüber im Klaren sind, dass die Patch-Bereitstellungen in diesem Monat einen erheblichen Test- und Entwicklungsaufwand erfordern werden. Das Team von Application Readiness hat eine hilfreiche Infografik bereitgestellt, die die mit den einzelnen Updates für diesen Update-Zyklus im Januar verbundenen Risiken beschreibt.

Jeden Monat veröffentlicht Microsoft eine Liste bekannter Probleme im Zusammenhang mit dem Betriebssystem und den Plattformen, die in diesem Update-Zyklus enthalten sind.

Für Windows 7, Windows 8.x und Windows Server 2008 sind noch einige bekannte Probleme offen, aber wie bei diesen schnell alternden (und nicht sehr sicheren) Betriebssystemen ist es an der Zeit, weiterzumachen.

Microsoft hat diesen Monat keine größeren Überarbeitungen veröffentlicht. Es gab mehrere Updates zu früheren Patches, jedoch nur zu Dokumentationszwecken. Hier sind keine weiteren Maßnahmen erforderlich.

Microsoft hat keine Abhilfemaßnahmen oder Problemumgehungen veröffentlicht, die speziell für den Veröffentlichungszyklus des Januar-Patch-Dienstags in diesem Monat gelten.

Jeden Monat analysiert das Readiness-Team die neuesten Patch-Tuesday-Updates von Microsoft und stellt detaillierte, umsetzbare Testanleitungen bereit. Diese Anleitung basiert auf der Bewertung eines großen Anwendungsportfolios und einer detaillierten Analyse der Microsoft-Patches und ihrer potenziellen Auswirkungen auf die Windows-Plattformen und Anwendungsinstallationen.

Angesichts der großen Anzahl an Änderungen, die in diesem Januar-Patchzyklus enthalten sind, habe ich die Testszenarien in Hochrisiko- und Standardrisikogruppen unterteilt:

Hohes Risiko : Dieses Januar-Update von Microsoft bringt eine beträchtliche Anzahl risikoreicher Änderungen am Systemkernel und den Drucksubsystemen in Windows mit sich. Leider betreffen diese Änderungen kritische Systemdateien wie win32base.sys, sqlsrv32.dll und win32k.sys, wodurch das Testprofil für diesen Patch-Zyklus weiter erweitert wird.

Da sich alle risikoreichen Änderungen auf das Drucksubsystem von Microsoft Windows auswirken (obwohl wir keine veröffentlichten Funktionsänderungen gesehen haben), empfehlen wir dringend die folgenden druckorientierten Tests:

Alle diese Szenarien erfordern umfangreiche Tests auf Anwendungsebene, bevor das Update dieses Monats allgemein bereitgestellt wird. Zusätzlich zu diesen spezifischen Testanforderungen empfehlen wir einen allgemeinen Test der folgenden Druckfunktionen:

Generell empfehlen wir angesichts des umfassenden Charakters dieses Updates, die folgenden Windows-Funktionen und -Komponenten zu testen:

Zusätzlich zu diesen Änderungen und nachfolgenden Testanforderungen habe ich einige der schwierigeren Testszenarien für dieses Januar-Update hinzugefügt:

Bei all diesen schwierigeren Testszenarien empfehlen wir Ihnen, Ihr Anwendungsportfolio nach aktualisierten Anwendungskomponenten oder Abhängigkeiten auf Systemebene zu durchsuchen. Dieser Scan sollte dann eine Auswahlliste der betroffenen Anwendungen liefern, was Ihren Test- und anschließenden Bereitstellungsaufwand reduzieren sollte.

Dieser Abschnitt enthält wichtige Änderungen bei der Wartung (und den meisten Sicherheitsupdates) für Windows-Desktop- und Serverplattformen. Da Windows 10 21H2 nun nicht mehr im Mainstream-Support unterstützt wird, verfügen wir über die folgenden Microsoft-Anwendungen, die im Jahr 2023 das Ende des Mainstream-Supports erreichen werden:

Jeden Monat unterteilen wir den Update-Zyklus in Produktfamilien (wie von Microsoft definiert) mit den folgenden grundlegenden Gruppierungen:

Microsoft hat diesen Monat fünf Updates für seinen Chromium-Browser veröffentlicht, die alle speicherbezogene „Use after free“-Schwachstellen in der Chromium-Engine beheben. Die Microsoft-Version dieser Versionshinweise finden Sie hier und die Versionshinweise zum Google Desktop-Kanal finden Sie hier. In diesem Monat gab es keine weiteren Updates für Microsoft-Browser (oder Rendering-Engines). Fügen Sie diese Updates zu Ihrem Standard-Patch-Release-Zeitplan hinzu.

Der Januar bringt 10 wichtige Updates sowie 67 Patches, die als wichtig für die Windows-Plattform eingestuft werden. Sie decken die folgenden Schlüsselkomponenten ab:

Im Allgemeinen handelt es sich hierbei um ein Update, das sich auf die Aktualisierung des Netzwerk- und lokalen Authentifizierungsstapels mit einigen Korrekturen für den Patch-Zyklus des letzten Monats konzentriert. Leider wurde eine Schwachstelle (CVE-2023-21674) in einem Kernabschnitt des Windows-Codes (ALPC) öffentlich gemeldet. Microsoft beschreibt dieses Szenario wie folgt: „Ein Angreifer, der diese Sicherheitslücke erfolgreich ausnutzt, könnte SYSTEM-Berechtigungen erlangen.“ Vielen Dank, Stiv, für deine harte Arbeit an diesem Thema.

Bitte beachten Sie: Alle US-Bundesbehörden wurden im Rahmen der „Binding Operational Order“ (BOD) der CISA angewiesen, diese Schwachstelle bis Ende Januar zu schließen.

Fügen Sie dieses Update Ihrem „Patch Now“-Veröffentlichungsplan hinzu.

Microsoft hat ein einzelnes kritisches Problem mit SharePoint Server (CVE-2023-21743) und acht weitere von Microsoft als wichtig eingestufte Sicherheitslücken behoben, die Visio- und Office 365-Apps betreffen. Bei unseren Tests ergaben sich keine nennenswerten Probleme im Zusammenhang mit den Patch-Tuesday-Änderungen, da die meisten Änderungen in den Click-to-Run-Versionen von Microsoft enthalten waren, die ein wesentlich geringeres Bereitstellungs- und Testprofil aufweisen. Fügen Sie diese Microsoft Office-Updates Ihrem Standardbereitstellungsplan hinzu.

Für diese Januar-Patch-Veröffentlichung für Microsoft Exchange Server hat Microsoft fünf Updates bereitgestellt, die alle für die Versionen 2016 und 2019 als wichtig eingestuft wurden:

Keine dieser Sicherheitslücken ist öffentlich bekannt, es wurde nicht gemeldet, dass sie in freier Wildbahn ausgenutzt wird, oder es wurde dokumentiert, dass sie zur Ausführung willkürlichen Codes führt. Angesichts dieser wenigen Sicherheitsprobleme mit geringem Risiko empfehlen wir Ihnen, sich die Zeit zu nehmen, jeden Server zu testen und zu aktualisieren. Zu beachten ist, dass Microsoft in dieser „Patch“-Version eine neue Funktion (PowerShell-Zertifikatsignierung) eingeführt hat, die möglicherweise zusätzliche Tests erfordert. Fügen Sie diese Exchange Server-Updates zu Ihrem Standard-Server-Release-Zeitplan hinzu.

Microsoft hat zwei Updates für seine Entwicklerplattform (CVE-2023-21779 und CVE-2023-21538) veröffentlicht, die Visual und Microsoft .NET 6.0 betreffen. Beide Updates werden von Microsoft als wichtig eingestuft und können zu Ihrem Standard-Veröffentlichungsplan hinzugefügt werden.

Updates für Adobe Reader sind diesen Monat zurück, obwohl die neuesten Patches noch nicht von Microsoft veröffentlicht wurden. Die neueste Reihe von Updates (APSB 23-01) behebt acht kritische speicherbezogene Probleme und sieben wichtige Updates, von denen das Schlimmste zur Ausführung von beliebigem Code auf diesem ungepatchten System führen könnte. Aufgrund einer überdurchschnittlichen CVSS-Bewertung (7,8) empfehlen wir Ihnen, dieses Update zu Ihrem „Jetzt patchen“-Veröffentlichungszyklus hinzuzufügen.

Greg Lambert ist ein Evangelist für Application Readiness, den Spezialisten für Online-Bewertung und Anwendungskonvertierung. Greg ist Mitbegründer von ChangeBASE und jetzt CEO von Application Readiness und verfügt über umfangreiche Erfahrung mit Anwendungspaketierungstechnologie und deren Bereitstellung.

Copyright © 2023 IDG Communications, Inc.