İki sıfır günü çözmek için Office ve Windows’u şimdi yamalayın

Microsoft, önceki dört CVE’ye ek olarak bu ay 80 yeni CVE çözerek bu ayın Salı Yaması sürümünde ele alınan güvenlik sorunlarının sayısını 84’e çıkardı.

Ne yazık ki, Outlook’ta iki sıfır gün kusurumuz var (CVE-2023-23397) ve Windows (CVE-2023-24880) hem Windows hem de Microsoft Office güncellemeleri için bir “Şimdi Yama” yayın gereksinimi gerektiren. Geçen ay olduğu gibi, Microsoft Exchange Server veya Adobe Reader için başka güncelleme yapılmadı. Bu ay ekip Uygulama Hazırlığı yardımcı oldu infografik bu döngü için güncellemelerin her biriyle ilişkili riskleri ana hatlarıyla belirtir.

Bilinen Sorunlar

Microsoft, her ay güncelleme döngüsüne dahil olan işletim sistemi ve platformlarla ilgili bilinen sorunların bir listesini sunar.

• KB5022842: Güvenli Önyükleme etkinken Windows Server 2022’ye KB5022842 yüklendikten ve iki kez yeniden başlatıldıktan sonra, VMware VM yeni bootmgr kullanılarak önyükleme yapamadı. Bu sorun Microsoft tarafından hala değerlendirilmektedir. Bu güncellemeyi yükledikten sonra, WPF uygulamalarının davranışında değişiklik olabilir.
• VMware ESXi’nin bazı sürümlerinde Windows Server 2022 çalıştıran konuk sanal makinelere (VM’ler) bu ayın Windows güncellemesini yükledikten sonra, Windows Server 2022 başlamayabilir.

Microsoft, Windows 11 22H2 ile ilgili bir ağ performansı sorunu üzerinde çalışmaya devam etmektedir. Büyük (çok gigabayt) ağ dosya aktarımları (ve potansiyel olarak benzer şekilde büyük yerel aktarımlar) etkilenir. Bu sorun, esas olarak BT yöneticilerini etkilemelidir.

Büyük revizyonlar

Microsoft bu ay aşağıdakileri kapsayan dört büyük revizyon yayınladı:

• VE-2023-2156: Microsoft SQL Server Entegrasyon Hizmeti (VS uzantısı) Uzaktan Kod Yürütme Güvenlik Açığı.
• CVE-2022-41099: Başlık: BitLocker Güvenlik Özelliği Güvenlik Açığı Atlama.
• CVE-2023-21716: Microsoft Word’de Uzaktan Kod Yürütme Güvenlik Açığı.
• CVE-2023-21808 .NET ve Visual Studio Uzaktan Kod Yürütme Güvenlik Açığı.

Tüm bu revizyonların nedeni belgeler ve genişletilmiş etkilenen yazılım güncellemeleridir. Başka bir eylem gerekmez.

Azaltmalar ve geçici çözümler

Microsoft, bu ayki sürüm için güvenlik açığıyla ilgili aşağıdaki azaltmaları yayımladı:

• CVE-2023-23392: HTTP Protokol Yığını Uzaktan Kod Yürütme Güvenlik Açığı. Bir Windows 2022 sunucusunun bu güvenlik sorunundan etkilenmesinin ön koşulu, ağ bağlamada HTTP/3’ün etkinleştirilmiş olması ve sunucunun arabelleğe alınmış G/Ç kullanmasıdır. HTTP/3’ün etkinleştirilmesi burada tartışılmaktadır: Windows Server 2022’de HTTP/3 desteğini etkinleştirme.
• CVE-2023-23397: Microsoft Outlook’ta Ayrıcalık Yükselmesi Güvenlik Açığı. Microsoft, bu ciddi güvenlik sorunu için iki azaltma yayımladı:

1. NTLM’nin bir kimlik doğrulama mekanizması olarak kullanılmasını engelleyen Korumalı Kullanıcılar Güvenlik Grubuna kullanıcı ekleyin.
2. Çevre güvenlik duvarı, yerel güvenlik duvarı kullanarak ve VPN ayarlarınız aracılığıyla ağınızdan giden TCP 445/SMB’yi engelleyin.

Test kılavuzu

Her ay, Readiness ekibi Salı Yaması güncellemelerini analiz eder ve ayrıntılı, eyleme geçirilebilir test rehberliği sağlar; bu kılavuz, geniş bir uygulama portföyünün değerlendirilmesine ve Microsoft yamalarının ayrıntılı bir analizine ve bunların Windows platformları ve uygulama kurulumları üzerindeki potansiyel etkilerine dayanmaktadır.

Bu ay dahil edilen çok sayıda değişiklik göz önüne alındığında, test senaryolarını yüksek riskli ve standart risk gruplarına ayırdım.

Yüksek risk

Microsoft, Mart güncelleştirmesinde birkaç yüksek riskli değişiklik yayımladı. İşlevsellik değişikliklerine yol açmasalar da, her güncelleme için test profili zorunlu olmalıdır:

• Microsoft nasıl güncellendi DCOM son sağlamlaştırma çabasının bir parçası olarak uzak isteklere yanıt verir. Bu süreç, Haziran 2021’den (Aşama 1) beri devam ediyor, Haziran 2022’de bir güncelleme (Aşama 2) ve şimdi bu ay tüm değişiklikler zorunlu olarak uygulanıyor. DCOM, hizmetler veya işlemler arasında iletişim kurmak için kullanılan temel bir Windows bileşenidir. Microsoft, bunun (ve geçmiş önerilerin tam dağıtımının) uygulama düzeyinde uyumluluk sorunlarına neden olacağını bildirdi. Şirket şu konularda destek teklif etti: ne değişiyor Ve herhangi bir uyumluluk sorunu nasıl azaltılır bu son zorunlu ayarların bir sonucu olarak.
• Çekirdek sistem dosyası Win32kfull.sys’de yapılan büyük bir değişiklik bu ay iki işlev olarak eklenmiştir (DrvPlgBlt Ve nf-wingdi-plgblt) Güncellendi. Microsoft, bu işlevlerde herhangi bir işlevsel değişiklik olmadığını bildirmiştir. Bu işlevlere bağlı uygulamaların test edilmesi, bu ayki güncellemelerin tam olarak dağıtılmasından önce çok önemli olacaktır.

Bu senaryolar, genel dağıtımdan önce uygulama düzeyinde önemli testler gerektirir.

• Bluetooth: Yeni Bluetooth cihazları eklemeyi ve kaldırmayı deneyin. Bluetooth ağ cihazlarının vurgulanması şiddetle tavsiye edilir.
• Windows Ağ yığını (TCPIP.SYS): Temel web gezintisi, “normal” dosya aktarımları ve video akışı, Windows ağ yığınındaki değişiklikleri test etmek için yeterli olmalıdır.
• Hyper-V: Hem Gen1 hem de Gen2 sanal makinelerini (VM’ler) test etmeyi deneyin. Her iki makine türü de başarıyla başlatılmalı, durdurulmalı, kapatılmalı, duraklatılmalı ve devam ettirilmelidir.

Bu değişikliklere ek olarak, Microsoft bir anahtar bellek işlevini (D3DKMTCreateDCFromMemory) iki temel sistem düzeyinde Windows sürücüsünü (win32kbase.sys ve win32kfull.sys) etkiler. Ne yazık ki, bu sürücülere yapılan geçmiş güncellemelerde, bazı kullanıcılar BSOD SYSTEM_SERVICE_EXCEPTION hataları. Microsoft yayınladı bu sorunların nasıl yönetileceği hakkında bilgi. Umarım bu ay bu tür sorunları çözmek zorunda kalmazsınız.

Windows yaşam döngüsü güncellemesi

Bu bölüm, önümüzdeki birkaç ay içinde Windows masaüstü ve sunucu platformlarına verilen hizmetlerde (ve çoğu güvenlik güncellemesinde) önemli değişiklikleri içerir:

• Windows 10 Enterprise (ve Education), Sürüm 20H2 ve Windows 10 IoT Enterprise ve Windows Sürüm 20H2, 9 Mayıs 2023 tarihinde hizmet bitiş tarihine ulaşacaktır.

Her ay, güncelleme döngüsünü aşağıdaki temel gruplandırmalarla ürün ailelerine (Microsoft tarafından tanımlandığı şekilde) ayırırız:

• Tarayıcılar (Microsoft IE ve Edge).
• Microsoft Windows (hem masaüstü hem de sunucu).
• Microsoft Office.
• Microsoft Exchange Sunucusu.
• Microsoft Geliştirme platformları (ASP.NET Core, .NET Core ve Chakra Core).
• Adobe (emekli oldu???, belki gelecek yıl).

Tarayıcılar

Mart için 22 güncelleme vardı (hiçbiri kritik olarak değerlendirilmedi), 21’i Google sürüm kanalına dahil edildi ve biri (CVE-2023-24892) Microsoft’tan. Tüm bu güncellemeler, marjinal ila düşük dağıtım riskine sahip, kurulumu kolay güncellemelerdir. Microsoft’un sürümünü bulabilirsiniz bu sürüm notları burada ve Google Desktop kanal sürüm notları burada. Bu güncellemeleri standart yama yayın programınıza ekleyin.

pencereler

Microsoft, Windows platformu için önemli olarak derecelendirilen ve aşağıdaki temel bileşenleri kapsayan 10 kritik güncelleştirme ve 48 yama yayımladı:

• Microsoft Yazıcı Postscript Sürücüleri.
• Windows Bluetooth Hizmeti.
• Windows Win32K ve Core Graphics bileşenleri (GDI).
• Windows HTTP Protokol Yığını ve PPPoE.

DCOM kimlik doğrulamasındaki son değişiklik dışında (bkz. DCOM sağlamlaştırma) bu ayki güncellemelerin çoğu çok düşük risk profiline sahip. Bir yazdırma alt sisteminde (Postscript 6) küçük bir güncellememiz ve ağ işleme, depolama ve grafik bileşenlerinde başka ince ayarlarımız var. Ne yazık ki, Windows ile gerçek bir sıfır gün sorunumuz var (CVE-2023-24880) Akıllı ekran (diğer adıyla Windows Defender) hem kötüye kullanım hem de kamuya açıklama raporları ile. Sonuç olarak, bu Windows güncellemelerini “Şimdi Yama Yap” sürüm programınıza ekleyin.

Microsoft Office

Microsoft, Microsoft Office platformu için biri (süper) kritik olarak derecelendirilen ve geri kalan güncellemeler önemli olarak derecelendirilen ve yalnızca Excel ve SharePoint’i etkileyen 11 güncelleme yayınladı. Ne yazık ki, Microsoft Outlook güncellemesi (CVE-2023-23397) derhal yamalanmalıdır. Kullanıcıları daha yüksek bir güvenlik grubuna eklemeyi ve ağınızda 445/SMB bağlantı noktalarını engellemeyi içeren, yukarıdaki azaltmalar bölümümüze Microsoft tarafından sunulan önerileri ekledim. Diğer uygulamaları bozma riskinin düşük olması ve bu yamanın dağıtım kolaylığı göz önüne alındığında, başka bir fikrim var: Bu Office güncellemelerini “Şimdi Yama Yap” yayın programınıza ekleyin.

Microsoft Exchange Sunucusu

Bu ay Microsoft Exchange güncellemesi gerekmiyor. Bununla birlikte, Microsoft Outlook ile ilgili özellikle endişe verici bir sorun var (CVE-2023-23397) bu, herhangi bir posta yöneticisinin bu ayı halletmesi için yeterli olacaktır.

Microsoft geliştirme platformları

Bu, bu ay Visual Studio’ya (GitHub uzantıları) yönelik yalnızca dört güncellemeyle Microsoft geliştirme platformları için çok hafif bir yama döngüsüdür. Tüm bu güncellemeler, Microsoft tarafından önemli olarak derecelendirilir ve çok düşük dağıtım riski profiline sahiptir. Bu güncellemeleri standart geliştirici sürüm programınıza ekleyin.

Adobe Reader (hala burada, ancak bu ay değil)

Adobe, Adobe Reader için herhangi bir güncelleme yayınlamadığı için burada bir trend görüyor olabiliriz. Microsoft’un XPS, PDF veya yazdırma sistemi için herhangi bir kritik güncelleme yayınlamadığı dokuz ayın ilk ayı olması da ilginçtir. Bu nedenle, zorunlu yazıcı testi gerekmez.