Mart bize Windows, Microsoft Office, Exchange ve Edge (Chromium) için Microsoft’tan sağlam bir dizi güncelleme getiriyor, ancak “Şimdi Yama” yayın çizelgesi gerektiren kritik bir sorun yok (yine de Microsoft Exchange bu ay biraz teknik çaba gerektirecektir). Yazdırmaya, VPN üzerinden uzak masaüstü bağlantılarına ve sunucu tabanlı ağ değişikliklerine odaklanan bazı test yönergeleri yayınladık. Ayrıca, Windows yükleyici paketlerinizi geri alma ve kaldırma işlevine özel olarak odaklanarak test etmenizi öneririz.
Bu Salı Yaması güncellemelerini dağıtma riski hakkında daha fazla bilgiyi aşağıdakilerle bulabilirsiniz: bu faydalı infografik. Ayrıca, .NET güncellemeleri hakkında daha fazla bilgi arıyorsanız, Microsoft’tan harika gönderi bu, bu ayın değişikliklerini vurgular.
Anahtar test senaryoları
Mart ayı için Windows platformunda bildirilen en az bir yüksek riskli değişiklik vardı. Bu ayki Windows ve Office güncellemelerinin değişen dosyalarına ve içeriğine ilişkin analizimize dayalı olarak aşağıdaki kaba test yönergelerini ekledik:
- (Yüksek risk): Ağa bağlı yazıcılarınızı Uzak Masaüstü Protokolü (RDP) üzerinden test edin. Değişiklikler güvenlik endişelerinden kaynaklandığından, Microsoft bu ayki güncelleme için herhangi bir işlevsel değişiklik yayınlamadı.
- V4 Yazıcı Sürücüsü, uzak kullanarak yazdırma ve ağ tabanlı yeniden yönlendirilen yazıcı(lar).
- Şifreli Dosya Sistemlerini kullanırken yedekleme ve geri yükleme işlemlerinizi test edin (EFS).
- VPN’lerinizin Noktadan Noktaya tünelleme protokolü (PPTP).
- Oluştur/Oku/Güncelle/Sil ile Windows Hata raporlama süreçlerinizi test edin (REZİL) tüm günlük dosyaları için.
- Uygulama referanslarını bulun NtAlpcCreatePort Windows sunucularınızda ve uygulama sonuçlarınızı doğrulayın.
Zamanınız varsa, DOS kutularına giden UNC yollarını test etmeye değer olabilir (ağ ve kimlik doğrulama yığınındaki birkaç değişiklik nedeniyle). Ayrıca bir güncelleme oldu FastFAT sistem sürücüsü ve Son Kullanıcı Tanımlı Karakterler (EUDC) Ele alınır. Microsoft, bu Mart 2022 güncelleştirmesi için dağıtım ve yeniden başlatma gereksinimlerini ekledi tek bir sayfada.
Bilinen Sorunlar
Microsoft her ay, bu döngüye dahil olan işletim sistemi ve platformlarla ilgili bilinen sorunların bir listesini içerir. Bu sefer normalden daha fazlası var, bu yüzden Microsoft’un en son sürümleriyle ilgili birkaç önemli konuya değindim, örneğin:
- Bu güncelleştirmeyi yükledikten sonra, Uzak Masaüstü kullanılarak güvenilmeyen bir etki alanındaki cihazlara bağlanırken, akıllı kart kimlik doğrulaması kullanılırken bağlantıların kimlik doğrulaması başarısız olabilir. “Kimlik bilgileriniz işe yaramadı” istemini alabilirsiniz. Geçen ay olduğu gibi Microsoft, bu sorunu çözen bir dizi GPO dosyası yayımladı: Windows Sunucusu 2022 ve Windows 10.
- 11 Ocak veya sonrasında yayımlanan güncellemeleri yükledikten sonra, Active Directory Orman Güveni Bilgilerini almak veya ayarlamak için Microsoft .NET Framework kullanan uygulamalar, System.DirectoryServers API başarısız olabilir veya bir hata mesajı oluşturabilir.
Yürütülebilir DWM.EXE dosyasının yüklendikten sonra çökmesine neden olan Ocak güncelleme döngüsünde bekleyen bir sorun vardı. KB5010386. Bu sorun şimdi çözüldü. Bildirilen bu tür sorunlar hakkında daha fazla veri arıyorsanız, Microsoft’tan harika bir kaynak şudur: Sağlık Merkezi – özellikle, hakkında bilgi edinebilirsiniz Windows 10 ve Windows 11 bilinen sorunlar ve mevcut durumları.
Ana revizyonlar
Bu yama döngüsü için çok daha küçük bir yama listesi olmasına rağmen, Microsoft önceki yamalarda aşağıdakiler de dahil olmak üzere birkaç revizyon yayınladı:
- CVE-2021-3711: Bu, Kasım 2021’den itibaren bir Visual Studio güncellemesidir. Yeni bir sürüm, Visual Studio 2022’nin en son sürümleri için destek içerecek şekilde güncellenmiştir. Ek bir işlem yapılması gerekmez.
- CVE-2021-36927: Bu güncellenmiş yama, 2021’deki bir TV Alıcısı codec bileşeni sorununu giderir. Microsoft, düzeltmenin artık resmi olduğunu ve bildirilen sorunu tamamen çözdüğünü belirterek, bunun için yararlı bir şekilde güncellenmiş bir belge seti yayınladı. Başka bir işlem gerekmez.
Azaltıcı etkenler ve geçici çözümler
Bu ay Microsoft, Windows, Microsoft Office, tarayıcı veya geliştirme platformu güncellemeleri ve yamaları için herhangi bir azaltma veya geçici çözüm yayınlamadı. Microsoft Exchange için bilinen sorunlarla ilgili olarak devam eden bir azaltma ve güncelleme listesi bulunmaktadır (bunlar Exchange ile ilgili bölümümüzde yer almaktadır).
Her ay, güncelleme döngüsünü aşağıdaki temel gruplamalarla ürün ailelerine (Microsoft tarafından tanımlandığı şekilde) ayırırız:
- Tarayıcılar (Microsoft IE ve Edge);
- Microsoft Windows (hem masaüstü hem de sunucu);
- Microsoft Office;
- Microsoft değişimi;
- Microsoft Geliştirme platformları ( ASP.NET Çekirdek, .NET Çekirdeği ve Çakra Çekirdeği);
- Adobe (emekli???, belki gelecek yıl).
tarayıcılar
Microsoft tarafından son birkaç ayda belirlenen bir trendin ardından, yalnızca Chromium Edge tarayıcısı güncellendi. Hiçbir kritik güncelleme ve Microsoft tarafından önemli olarak derecelendirilen 21 rapor edilmiş güvenlik açığı olmadan, bu başka bir kolay güncelleme döngüsüdür. Brotli sıkıştırma motoruyla ilgili olası sorunlar üzerinde çalışmak dışında, tarayıcı güncellemelerini normal yayın programınıza göre dağıtabilmeniz gerekir.
pencereler
Bu ay (sayı ve nitelik olarak) daha az güncelleme eğilimini takiben, Microsoft yalnızca iki kritik güncelleme yayınladı (CVE-2022-22006 ve CVE-2022-24501). Her biri tekil bir video codec bileşenini ve bir Microsoft Store bileşenini yamaladığından, hiçbir güncellemenin çekirdek platformları etkilemesi olası değildir. Kalan 40 yamanın tümü Microsoft tarafından önemli olarak derecelendirilir ve aşağıdaki temel Windows bileşenlerini günceller:
- Uzak Masaüstü istemcisi (RDP);
- Windows Hata günlüğü (bu, bu yıl her ay güncellenmiştir);
- Ağ (SMB ve PTPTP);
- Windows Update ve Windows Installer.
Bu ay test rejiminize bir Windows Installer testi eklemek isteyebilirsiniz. Bu Windows güncellemelerini standart yayın programınıza ekleyin.
Microsoft Office
Microsoft Office için “düşük riskli” bir yama profili arıyorsanız, bu ayın güncellemeleri çok iyi bir aday. Microsoft, Office için tümü önemli olarak derecelendirilen altı yama yayınladı. En önemlisi, ya Skype’ı etkiler (ki bu çok da önemli değildir) ya da “Çalıştırmak için tıklayın” (TO) Office yüklemesi. TO sürümü, Office yüklemesinin hedef sisteme akan sanallaştırılmış, bağımsız sürümüdür. Tasarım gereği, bu yüklemelerin işletim sistemi üzerinde çok az etkisi vardır veya hiç etkisi yoktur ve doğası gereği Bu ay yapılan değişikliklerden çok az dağıtım riski vardır.Bu Office güncelleştirmelerini standart dağıtım programınıza ekleyin.
Microsoft Exchange Sunucusu
Son olarak, Microsoft’tan kritik bir güvenlik açığı. Hayır bekle! Lanet olsun, bu Exchange için. Microsoft Exchange, kritik olarak derecelendirilmiş birkaç güvenlik açığından biriyle bu ay kötü kitaplarda (CVE-2022-23277). Mart ayı için Exchange ile ilgili iki yamadan diğeri (CVE-2022-24463) önemli olarak derecelendirilir ve potansiyel bir kimlik sahtekarlığı senaryosuna yol açabilir. Kritik sorundan yararlanma olasılığı yüksek olarak derecelendirildi, ancak saldırganın kimliğinin doğrulanmasını gerektiriyor. Bu bir … Değil “solucan yapabilen” güvenlik açığı, bu nedenle standart sunucu dağıtımınıza Microsoft Exchange güncellemelerini eklemenizi öneririz. Bu güncelleme, sunucularınızın yeniden başlatılmasını gerektirecektir. Son Microsoft Exchange güncellemeleriyle ilgili birkaç yayınlanmış sorun olduğu için bilinen sorunların bir listesini ekledik. Aşağıdakiler dahil olmak üzere Exchange Sunucularınızı güncellerken:
- Bu güvenlik güncelleştirmesini Normal modda (yani yönetici olarak değil) çalıştırmak için güncelleştirme dosyasını (.MSP) çift tıklatarak el ile yüklemeye çalıştığınızda, bazı dosyalar doğru şekilde güncellenmez.
- Bu güvenlik güncelleştirmesini yükledikten sonra Exchange hizmetleri devre dışı bırakılmış durumda kalabilir. Bu sorunu çözmek için güncelleme işlemini Yönetici olarak başlatın.
- Bir web tarayıcısında üçüncü taraf tanımlama bilgilerini engellediğinizde, güvenme seçeneğini belirlemeye devam etseniz bile sizden sürekli olarak belirli bir eklentiye güvenmeniz istenebilir.
- Güvenilir bir ormanlar arası topolojide farklı bir ormandaki bir kullanıcı için serbest/meşgul bilgisi istemeye çalıştığınızda, istek başarısız olur ve bir “(400) Hatalı İstek” hata iletisi oluşturur.
Microsoft’un sahip olduğu bir geçici çözüm yayınladı “400 Hatalı İstek” hatası için.
Microsoft geliştirme platformları
Microsoft, Mart ayı için geliştirme platformlarında tümü önemli olarak derecelendirilen yalnızca dört güncelleme yayınladı. .NET platformu için iki yama vardır (CVE-2022-24512 ve CVE-2022-24464), her ikisi de yüklerini teslim etmek için kullanıcı etkileşimi gerektirir ve en kötü ihtimalle ayrıcalık yükseltme saldırısına neden olur. Başınızı ağrıtabilecek Microsoft yaması 2020’de Google tarafından gündeme getirildi (bu nedenle CVE-2020-8927). Bu Yama Salı güncellemesi brotli web sayfalarınızın sıkıştırılma şeklini etkileyebilir (“sıkıştırılmış” demediğime dikkat edin). Bu güncellemeyi dağıtmadan önce, CSS ve JavaScript’in sıkıştırmasını açma üzerindeki olumsuz etkileri (ipucu, ipucu) için dahili web sayfalarınıza ve Brotli kullanan tarayıcı tabanlı uygulamalarınıza hızlıca göz atın. Aksi takdirde, bu güncellemeleri standart yama programınıza ekleyin.
Adobe (gerçekten sadece Reader)
Tıpkı geçen ay olduğu gibi Adobe, Adobe Reader ürün gruplarında herhangi bir güncelleme veya yama yayınlamadı. Bu iyi bir haber ve umarım daha büyük bir eğilimin parçası olur. Adobe Reader güncellemelerinin Microsoft’un tarayıcı yamalarıyla aynı yamayı izlemesini umuyorum (her zaman azalan kritik güncelleme sayısı) ve ardından, Microsoft Chromium tarayıcısında olduğu gibi, hem topluluk hem de topluluk tarafından önemli olarak derecelendirilen yalnızca birkaç güvenlik sorunu görüyoruz. Microsoft. Adobe birkaç yama yayınladı. Photoshop, After Effects ve illüstratör Ürün:% s. Ancak bunlar ürün odaklı güncellemelerdir ve genel masaüstü/sunucu yaması dağıtım programlarınızı etkilememelidir.
Telif Hakkı © 2022 IDG Communications, Inc.