Microsoft, Ekim Salı Yaması için üç sıfır günü ele alıyor - Dünyadan Güncel Teknoloji Haberleri

Microsoft, Ekim Salı Yaması için üç sıfır günü ele alıyor - Dünyadan Güncel Teknoloji Haberleri


Bu ay Microsoft, Windows, Edge, Microsoft Office ve Exchange Server için 103 güncelleme yayınladı Ekip şu adreste: Başvuru Hazırlığı yararlı bir bilgi sağladı infografik bu Ekim güncelleme döngüsündeki güncellemelerin her biriyle ilişkili riskleri özetlemektedir

Bazıları önerilen bu hafifletici önlemlerin etkinliğini sorgulayabilir Bu çekirdek sistemin değiştirilmesi genellikle bir bileşenin, hizmetin veya uygulamanın beklendiği gibi davranmama riskinin yüksek olması anlamına gelir

  • Microsoft, OLE ile ilgili güvenlik açıklarına ilişkin bazı sınırlı öneriler sunmaktadır (örn

    pencereler

    Microsoft, bu Ekim ayında, aşağıdaki temel bileşenleri kapsayan, Windows platformu için önemli olarak derecelendirilen 13 kritik güncelleştirmeyi ve 68 düzeltme ekini yayımladı:

    • Windows İleti Kuyruğa Alma
    • Windows Win32K ve Çekirdek
    • Windows RDP, Katman 2 Tünel Protokolü ve Windows TCP/IP
    • Windows Hata Bildirimi
    • Windows Ortak Günlük Dosya Sistemi Sürücüsü
    • Windows OLE, ODBC ve SQL Sağlayıcıları

    Temel zorluklar, Windows’taki Message Queuing özelliğinde yapılan kritik güncellemelerle ilgilidir Bu çekirdek alt sistem güvenliği, düşük düzeyli hizmetlere erişimi, sürücüleri ve Donanım Soyutlama Katmanını yönetir (HAL) Bu ayki Microsoft Exchange sunucusu güncellemeleri, tüm sürümler için sunucunun yeniden başlatılmasını gerektirecektir (Belki de en iyi 20 uygulamanız?)

    Tüm bu senaryolar, bu ayki güncellemenin genel dağıtımından önce uygulama düzeyinde önemli testler gerektirecektir Çekirdeği, temel GDI güncellemelerini ve ağ sorunlarını eklemek, bu ay bu Windows güncellemesini “Şimdi Yama” yayın programınıza eklememiz gerektiği anlamına geliyor Bu ay, Microsoft tarafından duyurulan iki önemli Windows kullanımdan kaldırma işlemimiz var:

    1. VBScript — bu büyük bir mesele



      genel-13

      Bu güncelleştirme aynı zamanda Visual Studio’ya yönelik küçük güncelleştirmeleri de içerir CVE-2023-36730) bu ay yalnızca güvenilir sunuculara bağlanma tavsiyesiyle

      Bilinen Sorunlar

      Microsoft her ay, bu güncelleştirme döngüsüne dahil edilen işletim sistemi ve platformlarla ilgili bilinen sorunların bir listesini içerir

    2. Yoğun GPU kullanımına dikkat edin (AutoCAD veya Bloomberg’i denemenizi öneririz) Bununla birlikte Microsoft, yamanın sürümünü kullandı Hazırlık aşamasında bu (GDI ve Çekirdek düzeyindeki) değişikliklere baktık ve bunların hem küçük hem de geniş kapsamlı olduğunu gördük Bu düşük profilli Office güncellemelerini standart sürüm planınıza ekleyin Başka bir eylem gerekmez Bu güncellemeleri standart geliştirici sürüm planınıza ekleyin Güvenlik yamalarının/güncellemelerinin BT topluluğu için ne kadar önemli hale geleceğini kimsenin düşüneceğinden şüpheliyim Bu dağıtılmış hizmet reddi (DDOS) saldırının geçtiğimiz Ağustos ayından bu yana vahşi doğada istismar edildiği bildirildi

      Adobe Reader (hala burada, ancak bu ay değil)

      Bu ay Reader veya Acrobat için Adobe’den güncelleme yok

    3. Son gelişmeler hakkında vurgu yapmak Kelime Defteri güvenlik açığı? Ne yazık ki, zengin metin biçimli dosyamızı hâlâ test etmemiz gerekiyor (RTF) bu ay da dosyalar Microsoft ve VMware bu sorunu araştırıyor ancak bu yazının yazıldığı sırada yayınlanmış bir çözüm bulunmuyor

      Windows platformunda (hem masaüstü hem de sunucu) güncellenmesi en zor alanlardan biri Windows Çekirdeği alt sistem Oluşturucu türünü, ANSI sayfasını, varsayılan dili, karakter kodunu, karakter kümesini ve yazı tipini ayarladıktan sonra, DOS komut istemindeki Echo komutunu kullanarak RTF dosyaları oluşturmaya devam edebilirsiniz Bu güvenlik açığı Exchange Server’ın desteklenen tüm sürümlerini etkilemektedir ve Microsoft tarafından önemli olarak derecelendirilmiştir Bu nedenle test yapmak çok önemlidir ve doğru şekilde yapılması da çok zordur Microsoft Windows’tan fazlasını etkilediğinden, bazı yararlı bağlantılar ekledim (tarafından sağlanmıştır) CISA) bu ciddi güvenlik açığı hakkında

      Telif Hakkı © 2023 IDG Communications, Inc NET Core ve Chakra Core)

    4. Adobe (emekli mi???, belki gelecek yıl)
    5. Tarayıcılar

      Microsoft buna uyum sağladı Chromium sürüm planı ve artık her ayın ikinci Salı günü özel olarak güncelleme yayınlamıyor Veya Office’i kullanabilirsiniz Üç sıfır gün (CVE-2023-44487, CVE-2023-36563 Ve CVE-2023-41763) bu Ekim güncelleme döngüsü için hem Windows hem de Edge tarayıcısı için “Şimdi Yama” güncellemelerini gerektirir Bu kılavuz, geniş bir uygulama portföyünün değerlendirilmesine ve Microsoft yamalarının ayrıntılı bir analizine ve bunların Windows platformları ve uygulama kurulumları üzerindeki potansiyel etkilerine dayanmaktadır

      Microsoft da güncelledi yama sürümü ve bildirimi RSS beslemelerini destekleyen sistem ve en son sürümünü yayınladı Dijital Savunma Raporu bu yıl için Bu geçen ayki Notepad++’ın devamı güvenlik açıklarıdahil CVE-2023-40031, CVE-2023-40036, CVE-2023-40164 Ve CVE-2023-40166

    6. Windows WAV dosya codec bileşenlerinde yapılan bir güncelleme nedeniyle, bu Ekim güncellemesine ses dosyalarının küçük bir test döngüsü dahil edilmelidir Önemi göz önüne alındığında, Çekirdek katmanı Windows’ta çoğu hizmet ve uygulamayı sunmanın anahtarıdır

    Yaşam döngülerinden bahsetmişken, Doğum günün kutlu olsun Salı Yaması’na kadar — Windows ekosisteminde doğru şekilde planlanmış ilk güncellemenin üzerinden 20 yıl geçti

  • Azaltmalar ve geçici çözümler

    Microsoft, bu ayın Salı Yaması sürüm döngüsü için güvenlik açığıyla ilgili aşağıdaki azaltıcı önlemleri yayımladı:

    • Bu ay, her biri Microsoft tarafından “Message Queuing hizmeti etkinleştirilmişse ve 1801 numaralı bağlantı noktasını dinliyorsa, sisteminiz güvenlik açığına açıktır” diyen bir hafifletici önlem yayınlanmıştır

      HTTP/2 Hızlı Sıfırlama Güvenlik Açığı

      Son olarak HTTP/2 Hızlı Sıfırlamayı tartışalım (CVE-2023-44487) güvenlik açığı Ofis, kimse var mı?

      Windows yaşam döngüsü güncellemesi

      Geçtiğimiz birkaç ay boyunca bu bölümü, platform desteğinin sonu veya güvenlik güncellemelerindeki değişiklikler gibi Windows ekosisteminde yapılacak değişiklikleri ayrıntılarıyla anlatmak için kullandık Listelenen bu özel test gereksinimlerine ek olarak, aşağıdaki Windows özelliklerinin genel bir testini yapmanızı öneririz:

      • Windows Hata Raporlama sistemlerinizi (bir Oluşturma/Okuma/Güncelleme/Silme/Genişletme (CRUDE) test döngüsüyle günlükler ve hata raporları) test edin Evet, saygıdeğer betik dili masaüstü mühendisleri tarafından hem çok kötüleniyor hem de çok seviliyor Bir gelenek olmaktan öte, Salı Yaması artık en iyi BT uygulamalarının önemli bir parçası haline geldi O zamanlar işler oldukça kaotikti ve ay boyunca dağıtılan planlanmamış güncellemeler vardı (Bu bir … Değil totoloji Kullanımdan kaldırılması büyük bir sorundur ve pek çok (düşündüğünüzden daha fazla) uygulama kurulumunu etkileyecektir ve biraz dikkat gerektirecektir Microsoft, Skype Kurumsal’ı (herkesin yaptığı gibi) göz ardı ederek, bu ay kamuya açıklanmayan karmaşık, istismar edilmesi zor güvenlik açıklarına yönelik yamalar sunuyor

        Microsoft Geliştirme Platformları

        Gönye Hızlı Sıfırlaması hariç (CVE-2023-44487Aşağıda ele alınan sorunla ilgili olarak Microsoft, Visual Studio geliştirme platformuna yönelik nispeten basit üç güncelleme yayımladı

      Büyük revizyonlar

      Microsoft bu ay büyük bir revizyon yayınladı:

      • CVE-2023-36794: Güvenlik Güncelleştirmeleri tablosuna, Visual Studio’nun bu sürümleri de güvenlik açığından etkilendiğinden Microsoft Visual Studio 2013 Güncelleştirme 5 ve Visual Studio 2015 Güncelleştirme 3 eklendi

        Microsoft ayrıntılı bir açıklama yayınladı detaylı blog girişi Hızlı Sıfırlama sorununa ilişkin, web uygulamalarının yamalanmasıyla ilgili tavsiyeler içeren giriş; Azure Web Uygulaması güvenlik duvarı ve yapılandırma Azure Ön Kapı Bu güncellemeyi Ekim Yaması Salı günü için standart güncelleme yayın programınıza ekleyin

        Microsoft Office

        Microsoft, Office platformu için yalnızca yedi güncelleme (tümü önemli olarak derecelendirildi) yayımladığı için bu ay biraz daha rahat nefes alabiliriz

        Test rehberliği

        Ekip her ay Hazırlık Microsoft’un en son Salı Yaması güncellemelerini analiz eder ve ayrıntılı, uygulanabilir test rehberliği sağlar

        Her ay, güncelleme döngüsünü aşağıdaki temel gruplamalarla ürün ailelerine (Microsoft tarafından tanımlandığı şekilde) ayırıyoruz:

        • Tarayıcılar (Microsoft IE ve Edge)
        • Microsoft Windows (hem masaüstü hem de sunucu)
        • Microsoft Office
        • Microsoft Exchange Sunucusu
        • Microsoft Geliştirme platformları (AÇIK Core,

          Bu ay Microsoft hem Çekirdek hem de GDI alt sistemlerini güncelleştirdi

          • Microsoft Server 2022: Bu ayın güncelleştirmesini VMware ESXi’nin bazı sürümlerinde Windows Server 2022 çalıştıran konuk sanal makinelere (VM’ler) yükledikten sonra Windows Server 2022 başlatılamayabilir Bu gidişle Microsoft, tüm (ücretsiz) metin düzenleyicilerini Windows’tan kaldırmaya karar verebilir

            Microsoft Edge güvenlik güncelleştirmeleri hakkında daha fazla bilgi için lütfen haftalık olarak güncellenen Microsoft destek sayfası Microsoft’a göre, WordPad artık güncellenmeyecek ve Windows’un gelecekteki bir sürümünde kaldırılacaktır Bu güvenlik açıklarının her ikisi de son derece ciddidir (bunları sıfır gün olarak kabul ediyoruz) ve Salı Yaması olsun ya da olmasın “Şimdi Yama” tarayıcı güncelleme programınıza eklenmelidir

          • VPN bağlantılarınızı test edin; bu ay basit bir bağlanma/bağlantı kesme testi yeterli olacaktır çekirdek seviyesi CVE-2023-5346 Ve CVE-2023-5217 bu hafta Salı Yaması için bir nevi “taslak” veya vekil olarak Krom (Kenar) güncellemeleri
          • Kelime Defteri (ne, gerçekten?) ) Belirli bir test rehberlik planı yerine, “sigara testi” yaygın olarak kullanılan uygulamalarınız ve kritik veya iş kolu uygulamalarınız için iş mantığı odaklı bir test çalışması için

            Microsoft Exchange Sunucusu

            Microsoft, bu ay Microsoft Exchange için tek bir güncelleştirme yayımladı