Con 55 actualizaciones, tres vulnerabilidades reportadas públicamente y exploits reportados públicamente para Adobe Reader, la actualización del martes de parches de esta semana requerirá tiempo y pruebas antes de la implementación. Hay casos de prueba difíciles (lo estamos analizando, OLE) y las actualizaciones del kernel conducen a implementaciones riesgosas. Concéntrese en las correcciones de IE y Adobe Reader, y tómese su tiempo con las actualizaciones (técnicamente complejas) de Exchange y Windows.
En parlant de prendre votre temps, si vous avez encore Windows 10 1909, c'est votre dernier mois de mises à jour de sécurité. Les trois vulnérabilités divulguées publiquement ce mois-ci incluent :
- CVE-2021-31204 - Importante vulnérabilité d'élévation de privilèges dans .NET et Visual Studio
- CVE-2021-31207 Contournement du rôle de sécurité Microsoft Exchange Server
- CVE-2021-31200 Vulnérabilité d'exécution de code à distance dans les utilitaires communs Important
Vous pouvez trouver ces informations résumées dans cette infographie.
Cas de test clés
Aucun changement à haut risque n'a été signalé sur la plate-forme Windows ce mois-ci. Pour ce cycle de correctifs, nous avons divisé notre guide de test en deux sections :
Microsoft Office
- Le principal scénario à tester est la conversion de documents hérités (*.doc) contenant des formes et des images au format de document moderne (*.docx). Le changement est dans wordconv.exe.
- Testez le chargement et l'ajout de graphiques avec le régime de test très important File / Open / Print / Save (FOPS).
- Pour Sharepoint, essayez d'ajouter des composants WebPart à un site TEST, en particulier DataFromWebPart
Plates-formes de bureau et serveur Windows
- Bluetooth - Les clés étrangères (connexions IrDA et souris en particulier) nécessiteront un test de connexion.
- Les polices devront être testées, en particulier les polices privées (un test FOPS suffira probablement).
- Essayez la redirection de dossier et observez les problèmes de performances d'E / S.
Et voici le cas de test qui devrait réchauffer le cœur de tous les ingénieurs de bureau (et de serveur) : vous devez essayer OLE Automation ce mois-ci. Que signifie? Fondamentalement, cela se traduit par la recherche (et le test) de la logique métier clé dans les applications critiques développées en interne qui sont basées sur des composants complexes, multiples et interdépendants qui nécessitent parfois une maintenance à distance à partir d'un serveur distant. version très spécifique de Visual Basic 5.
Problèmes connus
Chaque mois, Microsoft inclut une liste des problèmes connus de système d'exploitation et de plate-forme inclus dans ce cycle de mise à jour. Voici quelques problèmes clés avec les dernières versions de Microsoft, notamment :
- Les certificats système et utilisateur peuvent être perdus lors de la mise à niveau d'un appareil de Windows 10 1809 ou version ultérieure vers une version plus récente de Windows 10. Les appareils ne seront affectés que s'ils ont déjà installé la dernière mise à jour. La mise à jour cumulative (LCU) publiée le 16 septembre 2020 ou une version ultérieure, puis la mise à niveau vers une version ultérieure de Windows 10 à partir de n'importe quel support d'installation ou source n'a pas de LCU publiée le 13 octobre 2020 ou une version ultérieure intégrée.
- Microsoft Edge Legacy peut être supprimé avec cette mise à jour sur les appareils avec des installations Windows créées à partir d'un support hors ligne personnalisé ou d'une image ISO personnalisée, mais il n'est pas automatiquement remplacé par le nouveau Microsoft Edge.
- Après l'installation de KB4467684, le service de cluster peut ne pas démarrer avec l'erreur "2245 (NERR_PasswordTooShort)" si la stratégie de groupe "Longueur minimale du mot de passe" est définie sur plus de 14 caractères.
Vous pouvez également trouver le résumé des problèmes connus de Microsoft pour cette version sur une seule page.
Révisions importantes
Microsoft n'a publié (au 14 mai) aucun correctif majeur pour cette mise à jour de mardi.
Atténuations et solutions
Jusqu'à présent, il ne semble pas que Microsoft ait publié d'atténuations ou de solutions de contournement pour cette version d'avril. Chaque mois, nous divisons le cycle de mise à jour en familles de produits (telles que définies par Microsoft) avec les regroupements de base suivants :
- Navigateurs (Microsoft IE et Edge);
- Microsoft Windows (bureau et serveur);
- Microsoft Office (y compris les applications Web et Exchange);
- Plateformes de développement Microsoft (ASP.NET Core, .NET Core et Chakra Core);
- Adobe (Reader, oui Reader).
Navigateurs
Les mises à jour du navigateur sont de retour en vigueur. Et cette fois, c'est personnel. Holy cow : 35 mises à jour critiques pour Edge (la version Chromium) et une mise à jour critique pour Internet Explorer 11 (IE11). Toutes les vulnérabilités signalées pourraient conduire à un scénario d'exécution de code à distance. Toutes. Les mises à jour de Chromium devraient être relativement faciles à mettre en œuvre en raison de la séparation du projet Chromium du système d'exploitation de bureau. La mise à jour IE11 est une mise à jour binaire complète. Toutes les applications héritées devront être testées avec cette nouvelle version. Veuillez ajouter cette mise à jour à votre effort de publication de Patch Now.
Microsoft Windows
Microsoft a publié trois mises à jour considérées comme critiques et 22 considérées comme importantes pour ce cycle. Les correctifs critiques résolvent les problèmes dans Hyper-V, la façon dont Windows gère les requêtes HTTP et les problèmes de serveur OLE Automation. Nous ne voyons pas un besoin urgent de classer ces vulnérabilités signalées comme "Hotfix Now" et pensons que des tests seront nécessaires avant le déploiement en production. En plus de ces préoccupations, Microsoft a publié quelques problèmes mineurs d'interface utilisateur avec cette mise à jour : "Windows May Update peut faire en sorte que les commandes de la barre de défilement apparaissent vides à l'écran et ne fonctionnent pas. Ce problème affecte les applications 32 bits exécutées sur Windows 10 64 bits (WOW64) qui créent des barres de défilement à l'aide d'une superclasse de barre de défilement de fenêtre USER32.DLL. En outre, il peut y avoir une augmentation de l'utilisation de la mémoire jusqu'à 4 Go dans les applications 64 bits lorsque vous créez un contrôle de barre de défilement. " Les mises à jour de sécurité de ce mois-ci couvrent les principaux domaines fonctionnels suivants de Windows :
- Plateforme Windows et cadres d'application;
- Noyau Windows;
- Moteur de script Microsoft;
- Plateforme Windows Silicon.
Le correctif le mieux noté ce mois-ci est CVE-2021-31194, une grave vulnérabilité du moteur Microsoft OLE Automation. Cette mise à jour sera difficile à tester car il faudra trouver une application avec un serveur OLE et comparer les résultats entre les deux versions. Microsoft a également fourni des conseils sur la façon de supprimer l'accès à distance aux bases de données JET, que vous pouvez trouver ici. Ajoutez ces mises à jour Windows à votre cycle de publication standard en mettant l'accent sur le test de vos applications métier principales pour les dépendances sur OLE, JET et Hyper-V.
Microsoft Office
Les correctifs et mises à jour de la plateforme de productivité Microsoft Office de ce mois-ci affectent les versions de base suivantes:
- Office 2013 (client) : SP1 - 15.0.4569.1506 ;
- SharePoint 2013 (serveur) : SP1 - 15.0.4569.1506 et 15.0.4571.1502 ;
- Office 2016 (client) : RTM - 16.0.4266.1001 ;
- SharePoint 2016 (serveur) : RTM - 16.0.4351.1000.
Nous avons un tour facile ce mois-ci avec les correctifs Office. Il n'y a pas de vulnérabilités jugées critiques et seulement 17 sont jugées importantes. Si vous utilisez toujours des bases de données JET, vous devrez vous assurer que vous avez supprimé l'accès à distance avec cette note de support de Microsoft. Veuillez ajouter ces correctifs relativement mineurs à votre calendrier de mise à jour Office standard.
Microsoft Exchange
Après la mise à jour d'Adobe Reader (voir ci-dessous), vous devrez consacrer un peu de temps à la dernière mise à jour de Microsoft Exchange Server. Avec trois mises à jour classées majeures et un seul correctif publié comme modéré, ce cycle de mise à jour est associé à de graves problèmes de phishing et de contournement de sécurité. Microsoft a publié la note suivante sur le défi technique de la mise à jour de votre serveur Exchange, qui inclut : "Lorsque vous essayez d'installer manuellement cette mise à jour de sécurité en double-cliquant sur le fichier de mise à jour (.MSP) pour l'exécuter en mode normal (c'est-à-dire, pas en tant qu'administrateur ), certains fichiers ne sont pas mis à jour correctement. Lorsque ce problème se produit, vous ne recevez pas de message d'erreur ni d'indication indiquant que la mise à jour de sécurité n'a pas été installée correctement. Toutefois, Outlook Web Access (OWA) et le panneau de configuration Exchange Control (ECP) peut cesser de fonctionner." Prenez votre temps, ces problèmes ne sont pas urgents (comme le mois dernier). Nous sommes toujours à l'écoute et rencontrons des problèmes de mise à jour du serveur Exchange et bien que nous ne nous attendions pas à des problèmes de compatibilité ou de fonctionnalité avec cette mise à jour Exchange, la bonne logistique avec cette mise à jour de mai peut nécessiter une attention particulière. Ajoutez cette mise à jour d'Exchange Server à votre programme de publication de correctifs habituel.
Plateformes de développement Microsoft
Microsoft a publié cinq mises à jour d'outils de développement, qui ont toutes été jugées importantes, affectant Visual Studio et Microsoft .NET (qui a une dépendance d'interface sur Visual Studio). Les groupes de produits spécifiques suivants sont mis à jour ce mois-ci :
- Visual Studio Code Remote - Extension de conteneur ;
- Microsoft Visual Studio 2019 ;
- .NET 5.0 et .NET Core 3.1.
La mise à jour du composant Visual Studios Container (CVE-2021-31204) nécessite probablement la plus grande attention ce mois-ci, en raison du signalement public de cette vulnérabilité d'exécution de code à distance. Les quatre problèmes restants nécessitent une interaction de l'utilisateur et un accès local au système cible (d'où la note importante de Microsoft). Veuillez ajouter ces mises à jour à votre cycle de publication de mise à jour de développement standard.
Adobe (ce mois-ci, c'est Reader, Adobe Reader)
Bien que Microsoft n'ait pas inclus de correctif Adobe dans son cycle de publication, il y avait un correctif critique pour Adobe Reader dans la dernière mise à jour du correctif Adobe. Adobe a signalé que la vulnérabilité CVE-2021-28550 a été exploitée à l'état sauvage. Malheureusement, cela fait du problème d'Adobe un zéro jour qui affecte tous les appareils Microsoft avec une vulnérabilité d'exécution de code à distance qui pourrait entraîner un accès complet au système compromis. Ajoutez la mise à jour d'Adobe Reader à votre lanceur "Patch Now". Et oui, je pensais vraiment qu'on pouvait supprimer cette section. La prochaine fois peut-être.
<p>Copyright © 2021 IDG Communications, Inc.</p>