Microsoft memberi kami patch ringan Selasa untuk bulan Desember

Dengan hanya 58 pembaruan yang harus ditangani bulan ini, Patch Selasa Desember seharusnya menjadi siklus uji coba dan tambalan tugas ringan yang disambut baik. Tidak ada zero-days atau laporan masalah keamanan yang dieksploitasi secara publik, meskipun ada pembaruan penting untuk Microsoft Exchange Server yang harus menjadi prioritas. Namun kami melihat lebih sedikit tekanan pada pembaruan Windows, browser, dan Office.

Microsoft juga telah merilis dua Servicestack Updates (SSUs) untuk platform desktop dan servernya (ADV990001) dan pembaruan untuk proyek Chromium (ADV200002).

Kami membantu infografis bulan ini terlihat agak miring, karena semua perhatian harus tertuju pada komponen Windows

Skenario pengujian kunci

Bekerja dengan Microsoft, kami telah mengembangkan sistem yang menginterogasi pembaruan Microsoft dan mencocokkan setiap perubahan file (delta) setiap bulan dengan pustaka pengujian kami. Hasilnya adalah matriks pengujian “hot-spot” yang membantu mendorong pengujian portofolio kami. Bulan ini, analisis kami terhadap rilis Patch Tuesday ini menghasilkan skenario pengujian berikut:

  • Pencetakan: Salah satu subsistem inti telah diperbarui untuk ekosistem desktop Microsoft Windows: SPLWOW64. Proses ini menangani permintaan pencetakan dari proses Win32 dan bulan ini, Microsoft telah menerapkan ukuran “kebersihan pesan” dalam cara proses ini membaca permintaan — dan cara mengatur ukuran permintaan tersebut. Kami menyarankan agar Kamu menjalankan tugas cetak percobaan dari semua browser, Office, dan aplikasi bisnis inti Kamu. Petunjuk: cetak berbagai ukuran dokumen, pilih yang lebih besar, dan coba cetak ke file (PDF).
  • Windows Defender dan Hyper-V: Pastikan bahwa permintaan hanya-baca ditangani dengan benar di wadah Hyper-V dan kotak pasir Kamu dan Penjaga Aplikasi Windows Defender (WDAG) dengan benar menangani permintaan READ-ONLY.
  • Microsoft OneDrive: Menurut kami, salinan terverifikasi dari 1-2000 file hingga penyimpanan cloud Microsoft akan lebih bijaksana.
  • Microsoft Edge: Menguji aplikasi lawas Kamu di Microsoft Edge.

Masalah Dikenal

Setiap bulan, Microsoft menyertakan daftar masalah umum yang terkait dengan sistem operasi dan platform yang disertakan dalam siklus pembaruan ini. Saya telah mereferensikan beberapa masalah utama yang terkait dengan build terbaru dari Microsoft, termasuk:

  • Saat memperbarui ke tumpukan layanan terakhir bulan Desember, beberapa sertifikat sistem dan pengguna mungkin hilang saat memperbarui perangkat dari Windows 10, versi 1809 atau lebih baru ke versi Windows 10 yang lebih baru.

Kamu juga dapat menemukan Rangkuman masalah umum Microsoft untuk rilis ini dalam satu halaman.

Revisi utama

Bulan ini, kami memiliki tiga revisi utama untuk alasan dokumentasi yang dirilis oleh Microsoft:

  • CVE-2020-1325: Pembaruan ini sekarang tersedia untuk Azure DevOps Server versi 2019.
  • CVE-2020-1596: CVE ini membahas kerentanan dalam protokol TLS_DHE. Sebagian besar industri berhenti menggunakan TLS_DHE. Microsoft menyarankan pelanggan untuk menonaktifkan TLS_DHE. Ini adalah saran yang sama yang ditawarkan oleh Microsoft untuk siklus pembaruan Oktober.
  • CVE-2020-1704 : Revisi pembaruan Kerberos KDC Security yang dirilis pada bulan November ini berupaya untuk menyelesaikan sejumlah masalah yang dilaporkan dengan tambalan ini. Microsoft menganjurkan agar semua sistem yang terpengaruh diperbarui dengan tambalan yang direvisi ini. Kamu dapat membaca lebih lanjut tentang melindungi sistem Kamu dicatatan dukungan Microsoft ini.

Mitigasi dan solusinya

Untuk bulan Desember, Microsoft menerbitkan sejumlah solusi potensial dan strategi mitigasi yang berlaku untuk kerentanan (CVE) yang dibahas bulan ini, termasuk:

  • ADV200013: Microsoft mengetahui kerentanan yang melibatkan peracunan cache DNS yang disebabkan oleh fragmentasi IP yang memengaruhi Windows DNS Resolver. Penyerang yang berhasil mengeksploitasi kerentanan ini dapat memalsukan paket DNS, yang dapat di-cache oleh DNS Forwarder atau DNS Resolver. Microsoft telah menerbitkan remediasi berbasis registri yang seharusnya mengurangi yang terburuk dari kerentanan spoofing ini. Dampak dari perubahan (registri) yang diusulkan ini dapat berdampak signifikan pada jaringan Kamu. Sudah waktunya bagi para profesional untuk terlibat dalam perubahan sistem ini.

Setiap bulan, kami memecah siklus pembaruan menjadi rangkaian produk (sebagaimana ditentukan oleh Microsoft) dengan pengelompokan dasar berikut:

  • Browser (Microsoft IE dan Edge).
  • Microsoft Windows (baik desktop maupun server).
  • Microsoft Office (Termasuk Aplikasi Web dan Exchange).
  • Platform Pengembangan Microsoft (ASP.NET Inti, Inti .NET dan Inti Cakra).
  • Adobe Flash Player.

Browser

Dengan satu pembaruan penting (CVE-2020-17131) dan satu tambalan sedang (CVE-2020-17153) kami benar-benar melihat tren di sini dengan lebih sedikit tambalan dan pembaruan ke tumpukan peramban Microsoft. Kami biasanya memiliki daftar panjang area fungsional berbasis browser untuk disoroti, tetapi bulan ini kami hanya memiliki yang berikut ini:

Pembaruan Microsoft Edge (CVE-2020-17131) umumnya akan menjadi prioritas karena potensi skenario eksekusi kode jarak jauh karena masalah kerusakan memori. Namun, kerentanan ini relatif sulit untuk dieksploitasi dan kami belum melihat adanya laporan tentang eksploitasi di alam bebas. Tambahkan pembaruan browser yang sangat ringan ini ke upaya penyebaran pembaruan standar Kamu.

Microsoft Windows

Bulan terakhir pembaruan Windows untuk tahun 2020 hanya melihat satu tambalan Windows kritis (CVE-2020-17095) dan 15 pembaruan lainnya dinilai penting. Berikut adalah bagaimana tambalan tersebar di fitur berikut (atau pengelompokan fungsional)

Saya pikir Microsoft pasti khawatir dengan kerentanan Hyper-V (CVE-2020-17095) akan segera dieksploitasi secara publik. Untuk sepenuhnya mengkompromikan sistem yang ditargetkan, yang diperlukan hanyalah menjalankan aplikasi yang dibuat khusus untuk membuat data paket (jaringan) VSMB yang tidak divalidasi. Meskipun demikian, ada sejumlah pembaruan pada platform Windows yang memerlukan beberapa pengujian, termasuk: GDI, Microsoft Backup, dan komponen Windows Lock Screen. Mengacu pada bagian “Skenario Pengujian Kunci” dalam posting ini, saya sangat menyarankan untuk menguji fitur pencetakan khusus aplikasi sebelum penyebaran signifikan pembaruan Microsoft ini.

Tambahkan pembaruan Windows ini ke siklus rilis standar Kamu, dengan waktu yang cukup untuk pengujian aplikasi lini bisnis utama.

Microsoft Office

Bulan ini, Microsoft telah mendistribusikan dua pembaruan penting dan sembilan tambalan yang dinilai penting untuk platform Microsoft Office (termasuk Exchange Server dan Microsoft Dynamics). Mereka mencakup pengelompokan aplikasi atau fitur berikut:

Fokus sebenarnya bulan ini adalah pada patch Exchange Server yang kritis (CVE-2020-17132), yang berupaya mengatasi kerentanan di Server Exchange yang memvalidasi argumen “cmdlet”. Sayangnya, tampaknya ini relatif mudah untuk dieksploitasi (kompleksitas rendah), kerentanan berbasis jaringan yang tidak memerlukan interaksi pengguna untuk menyebabkan eksekusi kode arbitrer di Server Exchange perusahaan Kamu (ini bukan hal yang baik). Tidak seperti biasanya bagi kami, kami menyarankan agar Kamu menjadikan pembaruan Exchange ini sebagai “Tambalan Sekarang” segera, sebut saja sebagai “Tambalan Prioritas Sekarang”, jika itu membantu memajukan semuanya. Jika tidak, tambahkan pembaruan Office lainnya ke jadwal rilis pembaruan standar Kamu.

Platform Pengembangan Microsoft

Tidak ada pembaruan penting yang dirilis bulan ini untuk alat pengembangan Microsoft. Yang mengatakan, ada empat pembaruan untuk Visual Studio dan Azure SDK yang dinilai penting oleh Microsoft dan dua tambalan lebih lanjut untuk server Azure DevOps yang juga dinilai penting, ditunjukkan dalam daftar grup fitur berikut:

Semua kerentanan yang dilaporkan ini relatif sulit untuk dieksploitasi dan sepertinya Microsoft mengembangkan dan menggunakan tambalan sebelum masalah ini dieksploitasi secara liar. Kamu tidak perlu khawatir tentang pembaruan ke lingkungan Azure DevOps (Microsoft akan menangani proses pembaruan), jadi sebaiknya tambahkan patch alat pengembang ini ke jadwal rilis pembaruan standar Kamu.

Adobe Flash Player

Microsoft belum merilis pembaruan apa pun untuk produk Adobe untuk bulan Desember. Saya bertanya-tanya apakah itu akan memiliki pembaruan “kill-bit” lainnya sebagai Flash EOL bulan ini. Karena Adobe Flash (akan segera) mati, kita semua dapat mulai mengkhawatirkan Adobe Reader sekarang. Adobe merilis tambalan untuk Pembaca (APSB 20-67) yang menyelesaikan 14 masalah keamanan, empat di antaranya dinilai kritis.

Sekarang, bagaimana cara memperbarui produk Adobe lagi?

Post By 2020 Idnu.me, Inc.

Leave a Comment