Das Patch-Tuesday-Update vom Mai enthält 3 Nullen

Von Greg Lambert, Mitwirkender, Computerworld |

Greg Lambert bewertet die Risiken für bestehende Anwendungen und Umgebungen im monatlichen Patch-Dienstag-Zyklus.

Im Mai-Update hat Microsoft 51 Schwachstellen in Windows, Microsoft Office und Visual Studio behoben. Und da drei Zero-Day-Schwachstellen in Windows dringend behoben werden müssen (CVE-2023-24932, CVE-2023-29325 und CVE-2023-29336), muss der Schwerpunkt in diesem Monat auf der schnellen Aktualisierung von Windows und Microsoft Office liegen. Beide Plattformen erhalten unsere „Patch Now“-Empfehlung.

Zu den Tests für diesen Patch-Zyklus müssen die Validierung des sicheren Starts von Windows, Remotedesktop- und VPN-Übertragungen sowie die Sicherstellung gehören, dass Microsoft Outlook Dokumentdateien (RTF und DOC) korrekt verarbeitet. Das Team von Application Readiness hat diese hilfreiche Infografik erstellt, um die Risiken zu skizzieren, die mit den einzelnen Updates für diesen Zyklus verbunden sind.

Jeden Monat veröffentlicht Microsoft eine Liste bekannter Probleme, die sich auf das Betriebssystem und die Plattformen beziehen, die in den neuesten Updates enthalten sind. Für Mai sind dies unter anderem:

Ein Problem, das immer noch alle Versionen von Windows 10 betrifft (wie bereits in den letzten drei Monaten), ist, dass sich Kiosk-Geräteprofile immer noch nicht automatisch anmelden. Microsoft arbeitet an einer Lösung. Und für diejenigen, die auf der Suche nach einem Mehrwert in Gaming-Updates sind (wer ist das heutzutage nicht?): Red Dead Redemption 2 soll nun gestartet werden können. Gut gemacht.

In diesem Monat wurden keine CVEs aktualisiert oder größere Überarbeitungen früherer Patches vorgenommen.

Microsoft hat keine weiteren Abhilfemaßnahmen oder Problemumgehungen für die Patches dieses Monats veröffentlicht.

Jeden Monat analysiert das Team von Readiness die neuesten Patch-Tuesday-Updates und stellt detaillierte, umsetzbare Testanleitungen bereit. Die Leitlinien basieren auf der Bewertung eines großen Anwendungsportfolios und einer detaillierten Analyse der Microsoft-Patches und ihrer potenziellen Auswirkungen auf Windows und Anwendungsinstallationen.)

Angesichts der großen Anzahl von Änderungen auf Systemebene, die in diesem Zyklus enthalten waren, habe ich die Testszenarien in Standard- und Hochrisikoprofile unterteilt.

Microsoft hat diesen Monat wesentliche Änderungen am TPM-Modul vorgenommen, insbesondere an Secure Boot und BitLocker. Das Readiness-Team schlägt die folgenden grundlegenden Tests für dieses Update vor:

Wir sind uns nicht sicher, ob die Wiederherstellungsmedien gültig sind, sobald dieses Mai-Patch-Tuesday-Update angewendet wurde. Ihr Boot-Wiederherstellungsmedium schlägt möglicherweise fehl, wenn es auf Systemen vor diesem Update erstellt wurde. Nachdem Sie dieses Update durchgeführt haben, müssen Sie sicherstellen, dass vollständige Sicherungen abgeschlossen und getestet werden. Dieses Szenario betrifft sowohl Windows 11 (22H2)-Desktops als auch Windows Server 2022.

Die folgenden im Update dieses Monats enthaltenen Änderungen wurden nicht als risikoreiche Optimierungen eingestuft und beinhalten keine funktionalen Änderungen.

Alle diese Testszenarien erfordern vor der allgemeinen Bereitstellung umfangreiche Tests auf Anwendungsebene. Angesichts der Art der in diesen Patches enthaltenen Änderungen empfiehlt das Readiness-Team Folgendes:

Automatisierte Tests helfen bei diesen Szenarien (insbesondere die Verwendung einer Testplattform, die ein „Delta“ oder einen Vergleich zwischen Builds bietet). Für branchenspezifische Anwendungen, bei denen es darum geht, den Anwendungseigentümer (UAT) dazu zu bringen, die Testergebnisse zu testen und zu genehmigen, ist dies immer noch unerlässlich.

Dieser Abschnitt enthält wichtige Änderungen bei der Wartung (und den meisten Sicherheitsupdates) für Windows-Desktop- und Serverplattformen.

Jeden Monat unterteilen wir den Update-Zyklus in Produktfamilien (wie von Microsoft definiert) mit den folgenden grundlegenden Gruppierungen:

Microsoft hat 11 unauffällige Updates für sein Browser-Portfolio veröffentlicht, die alle als wichtig eingestuft wurden. Für diejenigen, die noch die ältere Codebasis (IE) verwenden: Die eingestellte, nicht mehr unterstützte Internet Explorer 11-Desktopanwendung wurde im Rahmen des Windows-Sicherheitsupdates („B“-Version) vom Februar dauerhaft deaktiviert. Fügen Sie diese Updates zu Ihrem Standard-Patch-Release-Zeitplan hinzu.

In diesem Monat veröffentlichte Microsoft fünf wichtige Updates und 22 Patches, die als wichtig für die Windows-Plattform eingestuft wurden. Sie decken die folgenden Schlüsselkomponenten ab:

Auf den ersten Blick schien die Windows-Version vom Mai ziemlich dürftig zu sein, mit einer geringeren Anzahl kritischer Updates als normal. Allerdings hat Microsoft eine Schwachstelle im sicheren Windows-Startvorgang identifiziert und behoben, die so komplex ist, dass eine stufenweise Veröffentlichung erforderlich ist. Mit der Bezeichnung CVE-2023-24932 warnt Microsoft, dass diese Schwachstelle es einem „Angreifer ermöglicht, selbstsignierten Code auf der Ebene des Unified Extensible Firmware Interface (UEFI) auszuführen, während Secure Boot aktiviert ist.“

Ja – Sie haben richtig gehört – Ihr sicherer Startvorgang wurde kompromittiert (übermittelt von Black Lotus). Wie im Abschnitt mit den Testanleitungen oben erwähnt, müssen Boot-Medien sorgfältig analysiert werden. andernfalls sind „gemauerte“ Server eine echte Möglichkeit. Bevor Sie fortfahren, lesen Sie diese aktualisierte Anleitung für CVE-2023-24932. Weitere Informationen zur Black Lotus-Kampagne finden Sie hier.

Fügen Sie dieses Update Ihrem „Patch Now“-Veröffentlichungsplan hinzu.

Microsoft hat diesen Monat ein wichtiges Update für SharePoint Server veröffentlicht. Darüber hinaus sind sechs weitere als wichtig eingestufte Updates eingetroffen, die Word, Excel und Teams betreffen. Der Schwerpunkt muss auf Microsoft Outlook (CVE-2023-29324) mit einem aktualisierten Patch (zu einer früheren Abhilfe) liegen, um eine schwerwiegende Sicherheitslücke bezüglich der Erhöhung von Berechtigungen (EOP) zu schließen. Microsoft hat ein Update(d)-Abhilfedokument veröffentlicht, um dieses schwerwiegende Sicherheitsproblem zu erläutern.

Obwohl die Sicherheitslücke im Zusammenhang mit Windows OLE (CVE-2023-29325) in den Windows-Abschnitt dieses Monats aufgenommen werden sollte, besteht das eigentliche Problem mit dieser Kernsystembibliothek darin, wie Microsoft Outlook RTF- und Word-Doc-„Öffnungs“-Anfragen verarbeitet. Uns liegen keine Berichte darüber vor, dass diese anderen Sicherheitslücken im Zusammenhang mit Microsoft Office in freier Wildbahn ausgenutzt werden, und es liegen auch keine öffentlichen Offenlegungen für Excel vor. Angesichts der Dringlichkeit dieser Microsoft Outlook- und Kern-Microsoft Office (OLE)-Patches sollten Sie diese Office-Updates zu Ihrem „Patch Now“-Veröffentlichungsplan hinzufügen.

Tolle Neuigkeiten: In diesem Zyklus wird kein Exchange Server aktualisiert.

Microsoft hat diesen Monat nur zwei Updates veröffentlicht (CVE-2023-29338 und CVE-2023-29343), die beide als wichtig eingestuft wurden. Betroffen sind nur Visual Studio und Sysmon (danke, Mark). Für beide Updates gibt es ein sehr niedriges Testprofil. Fügen Sie diese Updates Ihrem standardmäßigen Entwickler-Release-Zeitplan hinzu.

Adobe Reader (immer noch da, aber nicht diesen Monat)

Glückliche Tage! Keine Adobe Reader-Updates von Microsoft für Mai.

Greg Lambert ist ein Evangelist für Application Readiness, den Spezialisten für Online-Bewertung und Anwendungskonvertierung. Greg ist Mitbegründer von ChangeBASE und jetzt CEO von Application Readiness und verfügt über umfangreiche Erfahrung mit Anwendungspaketierungstechnologie und deren Bereitstellung.

Copyright © 2023 IDG Communications, Inc.