Microsoft, Eylül Yaması Salı sürümünde Microsoft Office ve Visual Studio için kritik yamalar içeren 59 güncelleme yayınladı ve Microsoft dışı uygulamaları güncelleme döngüsüne dahil etme eğilimini sürdürdü. (Notepad++, Autodesk’in gözden geçirilmiş bir bültenle geri dönmesiyle dikkate değer bir eklentidir.) Microsoft geliştirme platformları (Visual Studio) ve Microsoft Word için “Şimdi Yama” önerilerinde bulunduk.
Ne yazık ki, Microsoft Exchange Server’a yönelik güncellemeler de geri döndü ve bu sefer de sunucunun yeniden başlatılmasını gerektirdi.
Ekip şu adreste: Hazırlık yaratıldı bu infografik Eylül güncellemelerinin her biriyle ilişkili risklerin ana hatlarıyla anlatılıyor.
Bilinen Sorunlar
Microsoft her ay, en son güncelleme döngüsüne dahil edilen işletim sistemi ve platformlarla ilgili bilinen sorunların bir listesini içerir:
- Bu güncelleştirmeyi VMware ESXi’nin bazı sürümlerinde Windows Server 2022 çalıştıran konuk sanal makinelere (VM’ler) yükledikten sonra Windows Server 2022 başlatılamayabilir. VMWare bir makale yayınladı (KB90947) sorunun nasıl çözüleceği hakkında.
- SharePoint Server’daki (2019) yeni güvenlik geliştirmeleri, özel .aspx dosyalarının belirli durumlarda görüntülenmesini engelleyebilir. Böyle bir sayfaya göz atmak “92liq” oluşturur SharePoint Birleşik Günlük Sistemi (ULS) günlüklerindeki olay etiketi.
Büyük revizyonlar
Microsoft bu ay aşağıdaki önemli revizyonları yayınladı:
- CVE-2023-41303: Autodesk® FBX® SDK 2020’deki serbest kullanım sonrası güvenlik açığı. Bu bir bilgi güncellemesidir (bu üçüncü taraf uygulama güncellemesinin güncellenmiş bir yayın günlüğüne sahip olmadığını unutmayın — yaramaz Microsoft). Daha fazla aksiyona gerek yok.
- CVE-2023-20569 İade Adresi Tahmincisi. Özel bakım denetimlerini kullanan müşteriler CVE-2023-20569’dan etkilendiğinden ve kaynaklarını korumak için harekete geçmeleri gerektiğinden, etkilenen ürünler tablosu Azure Sanal Makineleri içerecek şekilde güncelleştirildi.
- CVE-2023-21709, CVE-2023-35368, CVE-2023-35388, CVE-2023-38185, CVE-2023-38181 Ve CVE-2023-38182: Microsoft Exchange Server’da Ayrıcalık Yükselmesi Güvenlik Açığı. Exchange Server’ın İngilizce olmayan Ağustos güncellemelerini etkileyen bilinen sorun çözüldü. Microsoft, güncelleştirilmiş paketlerin mümkün olan en kısa sürede yüklenmesini önerir.
Görünüşe göre Microsoft geçen ay bir CVE’yi “kaçırdı” – CVE-2023-36769 Artık güncellenen ve bu ayın güncellemelerine dahil edilen OneNote için.
Azaltmalar ve geçici çözümler
Microsoft, bu sürüm döngüsü için güvenlik açığıyla ilgili aşağıdaki azaltıcı önlemleri yayımladı:
- CVE-2023-38162, CVE-2023-38152, CVE-2023-36081: DHCP Sunucusu Hizmeti Bilgilerinin İfşa Edilmesi Güvenlik Açığı. Microsoft, sunucularınızda DHCP’yi etkinleştirmediyseniz bu güvenlik açığına maruz kalmayacağınızı belirtmekte fayda var.
- CVE-2023-38148: İnternet Bağlantı Paylaşımı (ICS) Uzaktan Kod Yürütme Güvenlik Açığı. Benzer şekilde, bu özelliği etkinleştirmediyseniz açığa çıkmazsınız.
Test rehberliği
Hazırlık ekibi her ay en son Salı Yaması güncellemelerini analiz eder ve ayrıntılı, uygulanabilir test rehberliği sağlar. Bu kılavuz, geniş bir uygulama portföyünün değerlendirilmesine ve yamaların ve bunların Windows ve uygulama kurulumları üzerindeki potansiyel etkilerinin ayrıntılı bir analizine dayanmaktadır.
Bu yama döngüsündeki sistem düzeyindeki çok sayıda değişiklik göz önüne alındığında, test senaryolarını standart ve yüksek riskli profillere ayırdım.
Yüksek risk
Microsoft bir büyük duyuru Bu ay, üçüncü taraf yazıcı sürücülerinin nasıl yönetileceğine ilişkin önemli bir değişiklik hakkında,
“Windows 10 21H2’nin piyasaya sürülmesiyle birlikte Windows, Microsoft IPP Sınıfı Sürücüsü aracılığıyla ağ ve USB arabirimleri üzerinden Mopria uyumlu yazıcı aygıtları için gelen kutusu desteği sunuyor. Bu, yazdırma aygıtı üreticilerinin kendi yükleyicilerini, sürücülerini ve yardımcı programlarını sağlama ihtiyacını ortadan kaldırıyor.”
Bu duyuruyla Microsoft ayrıca eski (V3 ve V4) Windows yazıcı sürücülerine yönelik bakıma son verildiğini de duyurdu ve aşağıdaki destek zaman çizelgesini sunuyor.
- Eylül 2023: Windows hizmet sonu planı için eski üçüncü taraf yazıcı sürücüsünün duyurulması.
- Eylül 2025: Windows Update’te yeni yazıcı sürücüsü yayınlanmayacak.
- 2026: Yazıcı sürücüsü sıralaması, her zaman Windows IPP gelen kutusu sınıfı sürücüsünü tercih edecek şekilde değiştirildi.
- 2027: Güvenlikle ilgili düzeltmeler dışında üçüncü taraf yazıcı sürücüsü güncellemelerine artık izin verilmeyecek.
Buradaki varsayım, tüm Windows yazdırma sağlayıcılarının Mopria (tarama ve yazdırma için evrensel standartlar ve çözümler üreten yazıcı ve tarayıcı üreticilerinin oluşturduğu bir dernek) standardıdır. Bu mantıklıdır ve umarız saldırı yüzeyi çok fazla neden olan yazıcı sürücülerinin yıllar geçtikçe sorun.
Yazıcı kullanımındaki bu değişiklik nedeniyle aşağıdaki testlerin yapılması önerilmektedir:
- Tüm yazıcılarınızı tam üretim testi rejiminizle test edin (bunun için üzgünüm).
- Farklı gelişmiş yazıcı özelliklerini (örn. filigran ekleme) etkinleştirin ve yazdırma testlerini çalıştırın.
- Yazdırma işleminizi RDP ve VPN bağlantıları üzerinden test edin.
- Anahtar yazdırma yazılımını yükleyin/güncelleyin/kaldırın.
Standart risk
Aşağıdaki değişiklikler yüksek risk (beklenmedik sonuçlar açısından) olarak belirtilmemiştir ve işlevsel değişiklikleri içermemektedir.
- Kullanırken güvenlik kısıtlamalarınızı/korumalı alanınızı test edin Microsoft Intune’un ve Windows Defender Uygulama kontrolü (WDAC). Uygulamalar beklendiği gibi kurulmalı ve kaldırılmalıdır.
- Başarılı olunmasını sağlayın “REZİL” Windows hata günlükleriniz için testler tamamlandı. Bu, Oluşturma, Okuma, Güncelleme ve Silme işlemlerini içermelidir. Aslında bu, CRUDE şeklinde olmalıdır; çünkü bu ayın günlük testi rejimine “Genişlet”i eklememiz gerekiyor. (Mümkün olduğu yerde kahkahaları bulun. )
- Dizüstü bilgisayarlardaki kablosuz ekranları test edin; Windows’taki çekirdek grafik işlemeye yönelik bir güncelleme (GDI.DLL) için gereklidir.
Windows ağ yığınında da büyük bir güncelleme yapıldı. Bu, nasıl yapılacağına ilişkin değişiklikleri içerir. DHCP Yük devretme ilişkilerini yönetir. Test aşağıdakileri içermelidir:
- Ping isteği/yanıt testleri yapın (hem ağınızın içinde hem de dışında).
- Hem IPv4 hem de IPv kullanarak büyük arama motorlarına ping atın (Bing’i deneyin?).
Otomatik test, bu senaryolarda yardımcı olacaktır (özellikle “delta” veya yapılar arasında karşılaştırma sunan bir test platformu). Ancak iş kolu uygulamalarınız için uygulama sahibini almak (yapmak) UAT) sonuçları test etmek ve onaylamak hala kesinlikle gereklidir.
Her ay, güncelleme döngüsünü aşağıdaki temel gruplamalarla ürün ailelerine (Microsoft tarafından tanımlandığı şekilde) ayırıyoruz:
- Tarayıcılar (Microsoft IE ve Edge);
- Microsoft Windows (hem masaüstü hem de sunucu);
- Microsoft Office;
- Microsoft Exchange Sunucusu;
- Microsoft Geliştirme platformları (ASP.NET Core, .NET Core ve Chakra Core);
- Adobe Reader ve Diğerleri (3. taraf uygulamaların yeni adresi).
Tarayıcılar
Microsoft bu ay tarayıcıları için herhangi bir güncelleme yayınlamadı. Zamanın bir işareti olarak Google Chrome artık “gün batımı” (Microsoft terimleriyle kullanımdan kaldırılmıştır) Windows 7/8/8.1 ve Windows Server 2012 desteği. Google Chrome Enterprise kullanıcıları için artık bir kullanışlı sürüm özeti. Bana göre gelecekte bu raporun alt kısmında bulunan üçüncü taraf güncelleme bölümüne Google Chrome’u ekleyeceğiz.
pencereler
Microsoft, bu düzeltme eki döngüsünde Windows platformları için tek bir kritik güncelleştirme yayımladı (CVE-2023-38148). Ayrıca Microsoft tarafından önemli olarak değerlendirilen ve aşağıdaki Windows işlevsel alanlarını kapsayan 20 yama yayımlandı:
- Windows DHCP Sunucusu ve TCP/IP ağ yığını;
- Windows GDI ve Çekirdek;
- Microsoft Windows Codec Kitaplığı ve Windows Temaları;
- Windows Ortak Günlük Dosya Sistemi Sürücüsü.
Windows için nispeten hafif bir yama seti olmasına rağmen, genel dağıtımdan önce bir ağ yığını testi yapmanızı önemle tavsiye ederiz. Bu Windows güncellemelerini standart sürüm planınıza ekleyin.
Microsoft Office
Eylül ayı için Microsoft, Office platformuna yönelik herhangi bir kritik güncelleme yayınlamadı. Bunun yerine, önemli olarak derecelendirilen yedi güncelleme ve orta düzeyde derecelendirilen ek bir tek güncelleme görüyoruz (CVE-2023-41764). Maalesef bu ayın sıfır gün güvenlik açığı Microsoft Word’ü (CVE-2023-36761) kamuya açıklanmış ve vahşi doğada istismar edildiği rapor edilmiştir. Bu Office güncellemelerini (gerçekte yalnızca Word) “Şimdi Yama” programınıza ekleyin.
Microsoft Exchange Sunucusu
Microsoft, Microsoft Exchange Server için tamamı Microsoft tarafından önemli olarak değerlendirilen beş güncelleme yayınladı. Hem ağ hem de bitişik saldırı vektörlerini birleştiren bu güvenlik açıkları, kimlik sahtekarlığına ve uzaktan kod yürütülmesine yol açabilir. Açıkta herhangi bir istismar raporu veya kamuya açıklama yapılmamıştır; bu nedenle lütfen bunları standart sürüm planınıza ekleyin. Not: Bu ayın yama döngüsü, Exchange Sunucunuzun yeniden başlatılmasını gerektirecektir.
Microsoft geliştirme platformları
Bu, geliştirici platformlarını güncellemek için büyük bir ay. Microsoft üç kritik dereceli yama yayımladı (CVE-2023-36796, CVE-2023-36793 Ve CVE-2023-36792) tek bir kötü amaçlı dosyanın basit bir tıklamasıyla ciddi uzaktan kod yürütme senaryolarına yol açabilir. Bu kritik sorunlar Visual Studio ve .NET’teki 12 ek yamaya eklendiğinde, bunlar için alışılmadık bir “Şimdi Yama” önerisi yapmamız gerekiyor.
Adobe Reader ve Diğerleri (3. taraf uygulamaların yeni adresi)
Üçüncü taraf uygulama güncellemelerini yönetme yönünde artan trendin ardından, artık her ay güncellenmesi gereken önemli uygulamaları da dahil edeceğim. Bu, eskiden Adobe Reader’a odaklanıyordu ancak Eylül ayı için artık şunları içeriyor:
Gelecekte aylık güncelleme sürecine daha fazla üçüncü taraf uygulamasının dahil edilmesini bekliyoruz. Aylık yamalar, aylık uygulama paketleme ve yamalama yeni normal haline gelecek. Uygulama portföyünüzün tamamı için sağlam bir yeniden paketleme, test etme ve devreye alma sürecine sahip olmak, hızla en önemli öncelik haline gelecektir.
Telif Hakkı © 2023 IDG Communications, Inc.