Sin las graves preocupaciones de seguridad con los servidores de Microsoft Exchange locales (CVE-2021-2685, CVE-2021-27065, CVE-2021-26857 y CVE-2021-26858), diría que las cosas se ven bastante bien para el parche. Martes de este mes. Todavía hay cosas que probar en el escritorio, incluida la impresión, las conexiones de escritorio remoto a través de VPN y las operaciones gráficas intensivas. Y aunque otras plataformas de desarrollo de menor calificación y las actualizaciones de Microsoft Office requieren una atención especial, no requieren una respuesta rápida y se pueden agregar al régimen de prueba regular y al ritmo de implementación.
J'ai inclus une infographie utile qui ce mois-ci semble un peu déséquilibrée (encore une fois), car tout l'accent devrait être mis sur les composants Windows et Office.
Cas de test clés
Il y a deux mises à jour pour les plates-formes Microsoft Windows ce mois-ci qui semblent présenter un risque élevé, notamment:
- Un changement dans la gestion du pilote d'imprimante local (les fichiers concernés incluent: localspl.dll et PrintFilterPipelineSvc.exe).
- Une mise à jour majeure du noyau système Windows (win32kbase.sys).
Ces deux modifications majeures affectent toutes les plates-formes de bureau et de serveur Microsoft Windows prises en charge. En collaboration avec Microsoft, nous avons développé un système qui passe par les mises à jour de Microsoft et compare toutes les modifications de fichiers (deltas) publiées chaque mois avec notre bibliothèque de test. Le résultat est une matrice de test de points chauds qui aide à piloter notre processus de test de portefeuille. Ce mois-ci, notre analyse de cette version de Patch Tuesday a renvoyé les cas de test suivants :
- Testez vos imprimantes locales (généralement vos imprimantes distantes). Essayez les mises à jour de votre imprimante déjà installées sur une machine mise à jour, mais le plus important est d'essayer d'installer un nouveau pilote d'imprimante (désolé Kyocera). L'idée ici est que les systèmes 32 bits ne transmettent pas correctement les informations aux pilotes 64 bits et provoquent des BSOD. Les tests peuvent être effectués avec des applications simples telles que le Bloc-notes. Ce qui, bien sûr, est assez dérangeant quand on y pense.
- Testez votre système de fichiers crypté et vos connexions RDS. La modification des composants cryptographiques FIPS peut nécessiter une attention particulière. Vous pouvez en savoir plus sur la technologie de cryptage conforme FIPS ici.
Plus bas dans la liste des priorités, nous vous suggérons de tester les connexions VPN, la lecture de fichiers image JPEG et le streaming audio (pour vous assurer que cela fonctionne toujours comme prévu).
Problèmes connus
Chaque mois, Microsoft inclut une liste des problèmes connus de système d'exploitation et de plate-forme inclus dans ce cycle de mise à jour. J'ai résolu certains problèmes clés liés aux dernières versions de Microsoft, notamment :
- Windows 10 2004: les certificats système et utilisateur peuvent être perdus lors de la mise à jour d'un appareil de Windows 10, version 1809 ou ultérieure vers une version ultérieure de Windows 10. Les appareils ne seront affectés que s'ils ont déjà installé la dernière mise à jour cumulative (LCU) publiée le 16 septembre 2020 ou version ultérieure, puis mise à niveau vers une version ultérieure de Windows 10 à partir d'un support d'installation ou d'une source qui n'avait pas de LCU publié le 13 octobre 2020 ou une version ultérieure intégrée.
- Windows Server 2016 : après l'installation de KB4467684, le service de cluster peut ne pas démarrer avec l'erreur "2245 (NERR_PasswordTooShort)" si la stratégie de groupe "Longueur minimale du mot de passe" est définie sur plus de 14 caractères. Microsoft a publié une solution de contournement : "Définissez la stratégie par défaut pour le domaine "Longueur minimale du mot de passe" sur une valeur inférieure ou égale à 14 caractères."
Vous pouvez également trouver le résumé des problèmes connus de Microsoft pour cette version sur une seule page.
Révisions importantes
Il y a eu un certain nombre de mises à jour et de correctifs en milieu de mois pour la documentation et les informations publiées pour différentes versions de CVE, notamment : CVE-2021-24094 et CVE-2021-24086 (les deux corrigent une vulnérabilité d'exécution de code à distance TCP / Windows IP) . Ces examens ne comprenaient que des mises à jour mineures de la documentation d'entrée CVE ; Aucune action supplémentaire n'est requise.
Atténuations et solutions
Comme les correctifs de milieu de mois publiés en février par Microsoft, il existe une courte liste de mises à jour avec des atténuations ou des solutions de contournement publiées:
- CVE-2021-24094, CVE-2021-24074 et CVE-2021-24086 – Ces deux mises à jour ont publié des solutions de contournement liées à l'exécution de la commande suivante « Netsh int ipv6 set global reassemblylimit = 0 » sur un système cible. Ces modifications mises à jour sont uniquement à des fins de documentation et ne doivent pas affecter les composants techniques concernés.
Si vous avez abordé ces actions suggérées en février, aucune autre action n'est requise pour la publication de ce mois-ci. Chaque mois, nous divisons le cycle de mise à jour en familles de produits (telles que définies par Microsoft) avec les regroupements de base suivants :
- Navigateurs (Microsoft IE et Edge).
- Microsoft Windows (bureau et serveur).
- Microsoft Office (y compris les applications Web et Exchange).
- Plateformes de développement Microsoft (ASP.NET Core, .NET Core et Chakra Core).
- Adobe Flash Player (retraite).
Navigateurs
Ce mois-ci marque le premier mois où Microsoft a commencé à différencier les mises à jour open source de Chromium des correctifs de navigateur standard dans la documentation de la version de mise à jour. Avec une seule mise à jour (majeure) de Microsoft Internet Explorer (CVE-2021-27085), la grande majorité des mises à jour de ce mois (33) sont rattachées au projet Chromium. Étant donné que Microsoft's Edge n'est pas aussi intégré au bureau (et, dans une bien moindre mesure, aux plates-formes de serveurs électroniques), nous ne voyons pas autant de problèmes de compatibilité ou de mise à jour au niveau des pairs lors de la mise à jour de leurs fichiers binaires. Microsoft Edge est à peu près conçu pour se mettre à jour sans causer de problèmes d'intégration. En raison d'autres mises à jour d'Internet Explorer à faible impact, nous vous suggérons d'ajouter ces mises à jour à votre calendrier de mise à jour standard.
Microsoft Windows
Exceptionnellement, nous avons constaté que les mises à jour Windows de ce mois-ci ne sont pas au centre des préoccupations. Cela continue d'être une mise à jour importante pour l'écosystème Windows, avec un exploit signalé publiquement (CVE-2021-27077) dans le sous-système graphique GDI, six mises à jour jugées critiques et 45 correctifs restants jugés importants. Nous voyons également de nombreux "domaines" couverts, y compris les composants de base et GDI qui ont historiquement causé des problèmes de compatibilité. Vous trouverez ci-dessous une courte liste des mises à jour critiques et des fonctionnalités concernées : Je vous recommande de consulter les CVE suivants (tous considérés comme importants par Microsoft) pour détecter d'éventuels problèmes de compatibilité et/ou d'intégration des applications : certains perturbateurs (potentiels) incluent CVE-2021-1640 et CVE-2021-26878, qui mettent à jour le sous-système d'impression. Ajoutez les mises à jour Windows Patch Tuesday de ce mois-ci à votre calendrier de publication des mises à jour « Test avant déploiement ».
Microsoft Office (et Exchange, bien sûr)
Microsoft a publié 11 mises à jour, toutes classées importantes, pour les plateformes Microsoft Office et SharePoint, couvrant les groupes d'applications ou de fonctionnalités suivants : SharePoint, Excel, Visio et PowerPoint. Les 11 vulnérabilités signalées dans Microsoft Office nécessitent un accès local et une interaction de l'utilisateur (pas de vers ce mois-ci). Habituellement, les problèmes de sécurité d'Excel sont une préoccupation, mais pas ce mois-ci. Et s'il n'y avait pas eu les problèmes d'Exchange ce mois-ci, je dirais que ces mises à jour pourraient être ajoutées à votre calendrier de mise à jour Office standard sans trop de tracas. Cependant, nous avons (maintenant) quatre problèmes Microsoft Exchange très graves qui nécessitent une attention immédiate pour tous les serveurs Exchange sur site (CVE-2021-2685, CVE-2021-27065, CVE-2021-26857 et CVE-2021-26858) . Microsoft a mis à jour ces quatre problèmes extrêmement urgents tout au long de la semaine, chaque changement ajoutant à la portée potentielle des préoccupations. Je pense que le conseil de CISA de "corriger ou déconnecter vos serveurs d'Internet" en dit probablement assez sur ces vulnérabilités graves signalées dans les serveurs Microsoft Exchange installés localement. Office 365, quelqu'un ? Faites réparer vos serveurs Exchange avant votre tasse de thé du matin, puis ajoutez toutes les mises à jour Office restantes à votre calendrier de mise à jour régulier.
Plateformes de développement Microsoft
Microsoft a publié six mises à jour pour les plates-formes de développement Microsoft, l'une considérée comme critique et les cinq autres considérées comme importantes. Cette mise à jour critique unique concerne les composants GIT locaux pour Visual Studio, et toutes les mises à jour majeures restantes concernent également Visual Studio. Nous avons examiné chacune de ces mises à jour ; L'impact de l'intégration est marginal et sans événement convaincant pour générer une réponse rapide, nous vous suggérons de les ajouter à votre calendrier de mise à jour régulier.
Adobe Flash Player
Est-ce la dernière fois que nous entendons Flash ? Je l'ai déjà dit et (malheureusement) j'ai été corrigé. Rien à signaler de Microsoft pour mars. Voyons si nous pouvons supprimer cette section en avril.
<p>Copyright © 2021 IDG Communications, Inc.</p>