Dengan 55 pembaruan, tiga kerentanan yang dilaporkan secara publik, dan eksploitasi publik yang dilaporkan untuk Adobe Reader, pembaruan Patch Tuesday minggu ini akan memerlukan waktu dan pengujian sebelum penerapan. Ada beberapa skenario pengujian yang sulit (kami melihat Kamu, OLE) dan pembaruan kernel membuat penyebaran berisiko. Fokus pada tambalan IE dan Adobe Reader — dan luangkan waktu Kamu dengan pembaruan Exchange dan Windows (yang secara teknis menantang).
Berbicara tentang meluangkan waktu Kamu, jika Kamu masih menggunakan Windows 10 1909, ini adalah bulan terakhir pembaruan keamanan Kamu.
Tiga kerentanan yang diungkapkan secara publik bulan ini meliputi:
- CVE-2021-31204 – .NET dan Visual Studio Elevation of Privilege Vulnerability Penting
- CVE-2021-31207 – Bypass Fitur Keamanan Microsoft Exchange Server
- CVE-2021-31200 – Kerentanan Eksekusi Kode Jarak Jauh Utilitas Umum Penting
Kamu dapat menemukan informasi ini terangkum dalam infografis ini.
Skenario Pengujian Kunci
Tidak ada laporan perubahan berisiko tinggi pada platform Windows bulan ini. Untuk siklus tambalan ini, kami membagi panduan pengujian menjadi dua bagian:
Microsoft Office
- Skenario utama yang akan diuji adalah mengonversi dokumen lawas (*.doc) yang berisi bentuk dan gambar ke format dokumen modern (*.docx). Perubahannya ada di wordconv.exe.
- Uji pemuatan dan penambahan bagan, dengan rezim pengujian File/Buka/Cetak/Simpan (FOPS) yang penting.
- Untuk Sharepoint, uji penambahan komponen web ke situs TEST, khususnya DataFromWebPart
Platform desktop dan server Windows
- Bluetooth: dongle eksternal (IrDA koneksi dan mouse khususnya) akan memerlukan tes koneksi.
- Font akan membutuhkan pengujian, khususnya font pribadi (tes FOPS mungkin cukup).
- Uji pengalihan foldermencatat masalah kinerja I/O.
Dan inilah skenario pengujian yang seharusnya membuat hati semua insinyur desktop (dan server) senang: Kamu perlu menguji otomatisasi OLE bulan ini. Apa artinya ini? Secara kasar diterjemahkan menjadi menemukan (dan menguji) logika bisnis utama dalam inti, aplikasi bisnis penting yang dikembangkan secara internal yang mengandalkan komponen kompleks, banyak, dan saling bergantung yang terkadang memerlukan layanan jarak jauh dari server yang kurang dikenal yang masih berjalan sangat, versi yang sangat spesifik dari Visual Basic 5.
Masalah Dikenal
Setiap bulan, Microsoft menyertakan daftar masalah umum yang terkait dengan sistem operasi dan platform yang disertakan dalam siklus pembaruan ini. Berikut adalah beberapa masalah utama yang terkait dengan build terbaru dari Microsoft, termasuk:
- Sertifikat sistem dan pengguna mungkin hilang saat memperbarui perangkat dari Windows 10 1809 atau lebih baru ke versi Windows 10 yang lebih baru. Perangkat hanya akan terpengaruh jika telah menginstal pembaruan kumulatif (LCU) terbaru yang dirilis 16 September 2020 atau lebih baru lalu lanjutkan untuk memperbarui ke versi Windows 10 yang lebih baru dari media atau sumber penginstalan [that] tidak memiliki LCU yang dirilis 13 Oktober 2020 atau lebih baru terintegrasi.
- Perangkat dengan penginstalan Windows yang dibuat dari media offline kustom atau citra ISO kustom mungkin telah dihapus Microsoft Edge Legacy oleh pembaruan ini, tetapi tidak secara otomatis digantikan oleh Microsoft Edge yang baru.
- Setelah menginstal KB4467684, layanan cluster mungkin gagal memulai dengan kesalahan “2245 (NERR_PasswordTooShort)” jika kebijakan grup “Panjang Kata Sandi Minimum” dikonfigurasi dengan lebih dari 14 karakter.
Kamu juga dapat menemukan ringkasan Microsoft tentang masalah yang diketahui untuk rilis ini dalam satu halaman.
Revisi Utama
Microsoft belum (per 14 Mei) menerbitkan revisi besar apa pun untuk rilis Pembaruan Selasa ini.
Mitigasi dan Penanganannya
Sejauh ini, tampaknya Microsoft belum menerbitkan mitigasi atau penyelesaian apa pun untuk rilis April ini.
Setiap bulan, kami memecah siklus pembaruan menjadi rangkaian produk (sebagaimana ditentukan oleh Microsoft) dengan pengelompokan dasar berikut:
- Browser (Microsoft IE dan Edge);
- Microsoft Windows (baik desktop maupun server);
- Microsoft Office (Termasuk Aplikasi Web dan Exchange);
- Platform Pengembangan Microsoft ( ASP.NET Inti, Inti .NET dan Inti Cakra);
- Adobe (Pembaca, ya Pembaca).
Browser
Pembaruan browser kembali dengan sepenuh hati. Dan, kali ini bersifat pribadi. Astaga: 35 pembaruan penting untuk Edge (versi Chromium) dan pembaruan penting untuk Internet Explorer 11 (IE11). Semua kerentanan yang dilaporkan dapat menyebabkan skenario eksekusi kode jarak jauh. Mereka semua.
Pembaruan Chromium seharusnya relatif mudah diterapkan karena kromium pemisahan proyek dari sistem operasi desktop. Pembaruan IE11 adalah penyegaran lengkap dari binari. Setiap aplikasi lawas perlu diuji terhadap build baru ini. Tambahkan pembaruan ini ke upaya rilis Patch Now Kamu.
Microsoft Windows
Microsoft merilis tiga pembaruan yang dinilai kritis dan 22 pembaruan dinilai penting untuk siklus ini. Patch kritis mengatasi masalah di Hyper-V, cara Windows menangani permintaan HTTP, dan masalah server otomatisasi OLE. Kami tidak melihat kebutuhan mendesak untuk menilai kerentanan yang dilaporkan ini sebagai “Tambal Sekarang”, dan menurut kami beberapa pengujian akan diperlukan sebelum penerapan produksi. Lebih lanjut menambah kekhawatiran ini, Microsoft telah menerbitkan beberapa masalah UI kecil dengan pembaruan ini:
“Pembaruan Windows Mei mungkin menyebabkan kontrol bilah gulir tampak kosong di layar dan tidak berfungsi. Masalah ini memengaruhi aplikasi 32-bit yang berjalan pada Windows 10 64-bit (WOW64) yang membuat bilah gulir menggunakan superclass dari USER32.DLL SCROLLBAR kelas jendela. Selain itu, peningkatan penggunaan memori hingga 4 GB mungkin terjadi pada aplikasi 64-bit saat Kamu membuat kontrol bilah gulir.”
Pembaruan keamanan bulan ini mencakup area fungsional inti Windows berikut ini:
- Platform dan Kerangka Aplikasi Windows;
- Kernel Windows;
- Mesin Skrip Microsoft;
- Platform Silikon Windows.
Tambalan yang memenangkan peringkat tertinggi bulan ini adalah CVE-2021-31194 — kerentanan serius dalam Mesin otomatisasi Microsoft OLE. Pembaruan ini akan menjadi yang sulit untuk diuji karena Kamu perlu menemukan aplikasi dengan server OLE dan membandingkan hasilnya di kedua versi. Microsoft juga telah memberikan beberapa panduan untuk menghapus akses jarak jauh ke JET database, yangdapat ditemukan di sini. Tambahkan pembaruan Windows ini ke siklus rilis standar Kamu dengan penekanan pada pengujian aplikasi bisnis inti Kamu untuk ketergantungan OLE, JET, dan Hyper-V.
Microsoft Office
Tambalan dan pembaruan platform produktivitas Microsoft Office bulan ini memengaruhi versi garis dasar berikut:
- Office 2013 (klien): SP1 – 15.0.4569.1506;
- SharePoint 2013 (server): SP1 – 15.0.4569.1506 dan 15.0.4571.1502;
- Office 2016 (klien): RTM – 16.0.4266.1001;
- SharePoint 2016 (server): RTM – 16.0.4351.1000.
Kami mendapatkan perjalanan yang mudah bulan ini dengan tambalan Office. Tidak ada kerentanan yang dinilai kritis dan hanya 17 yang dinilai penting. Jika Kamu masih menggunakan basis data JET, Kamu perlu memastikan bahwa Kamu telah menghapus akses jarak jauh dengan ini catatan dukungan dari Microsoft. Tambahkan tambalan yang relatif kecil ini ke jadwal pembaruan Office standar Kamu.
Microsoft Exchange
Setelah memperbarui Adobe Reader (lihat di bawah), Kamu perlu meluangkan waktu dengan pembaruan server Exchange terbaru Microsoft. Dengan tiga pembaruan yang dinilai penting, dan satu tambalan diterbitkan sebagai sedang, siklus pembaruan ini dipasangkan dengan beberapa spoofing serius dan masalah bypass keamanan.
Microsoft telah meluncurkan catatan berikut tentang tantangan teknis memperbarui server Exchange Kamu, termasuk, “Saat Kamu mencoba menginstal pembaruan keamanan ini secara manual dengan mengklik dua kali file pembaruan (.MSP) untuk menjalankannya dalam mode Normal (yaitu, bukan sebagai administrator), beberapa file tidak diperbarui dengan benar. Saat masalah ini terjadi, Kamu tidak menerima pesan kesalahan atau indikasi apa pun bahwa pembaruan keamanan tidak diinstal dengan benar. Namun, Outlook Web Access (OWA) dan Exchange Control Panel (ECP) mungkin berhenti bekerja.”
Luangkan waktu Kamu, masalah ini tidak sensitif terhadap waktu (seperti bulan lalu). Kami masih mendengar dan mengalami masalah pembaruan server Exchange dan meskipun kami tidak mengharapkan masalah kompatibilitas atau fungsionalitas dengan pembaruan Exchange ini, memperbaiki logistik dengan pembaruan Mei ini mungkin memerlukan pemikiran. Tambahkan pembaruan Exchange Server ini ke rezim rilis patch reguler Kamu.
Platform pengembangan Microsoft
Microsoft telah menerbitkan lima pembaruan alat pengembangan — semuanya dinilai penting — memengaruhi Visual Studio dan Microsoft .NET (yang memiliki ketergantungan yang saling terkait kembali ke Visual Studio). Grup produk spesifik berikut ditambal bulan ini:
- Visual Studio Code Remote – Ekstensi Kontainer;
- Microsoft Visual Studio 2019;
- .NET 5.0 dan .NET Inti 3.1.
Pembaruan untuk komponen Wadah Visual Studios (CVE-2021-31204) mungkin paling membutuhkan perhatian bulan ini, karena pelaporan publik tentang kerentanan eksekusi kode jarak jauh ini. Empat masalah lainnya memerlukan interaksi pengguna dan akses lokal ke sistem target (karenanya, peringkat penting dari Microsoft). Tambahkan pembaruan ini ke siklus rilis pembaruan pengembangan standar Kamu.
Adobe (bulan ini adalah Reader, Adobe Reader)
Meskipun Microsoft belum menyertakan tambalan Adobe dalam siklus rilisnya, telah ada tambalan penting untuk Adobe Reader Pembaruan tambalan terbaru Adobe. Adobe telah melaporkan bahwa kerentanan CVE-2021-28550 telah dieksploitasi secara liar. Sayangnya, ini membuat masalah Adobe menjadi zero-day yang memengaruhi semua perangkat Microsoft dengan kerentanan eksekusi kode jarak jauh yang dapat mengakibatkan akses penuh ke sistem yang disusupi.
Tambahkan pembaruan Adobe Reader ke jadwal rilis “Patch Now” Kamu. Dan, ya, saya benar-benar berpikir bahwa kami dapat menghentikan bagian ini. Mungkin lain kali.
Post By 2021 Idnu.me, Inc.