Ní mór paisteáil phráinneach a dhéanamh le nuashonruithe Paiste na Bealtaine Dé Máirt
Thosaigh Patch Tuesday na seachtaine seo caite le 73 nuashonrú, ach chríochnaigh sé (go dtí seo) le trí athbhreithniú agus breisiú déanach (CVE-2022-30138) as 77 leochaileacht san iomlán ar tugadh aghaidh orthu an mhí seo. I gcomparáid leis an sraith leathan nuashonruithe a eisíodh i mí Aibreáin, feicimid go bhfuil práinn níos mó ag baint le paistí Windows – go háirithe le trí lá náid agus roinnt lochtanna an-tromchúiseacha i bpríomhréimsí freastalaí agus fíordheimhnithe. Beidh Malartú gá aird, freisin, mar gheall ar Teicneolaíocht nuashonraithe freastalaí nua.
Ní raibh aon nuashonruithe an mhí seo le haghaidh brabhsálaithe Microsoft agus Adobe Reader. Agus tá Windows 10 20H2 (ar éigean a bhí a fhios againn sibh) as tacaíocht anois.
Is féidir leat tuilleadh faisnéise a fháil ar na rioscaí a bhaineann leis na nuashonruithe Patch Tuesday seo a imscaradh i an infographic cabhrach seo, agus tá forbhreathnú maith curtha suas ag an Ionad MSRC ar an gcaoi a láimhseálann sé nuashonruithe slándála anseo.
Príomhchásanna tástála
Mar gheall ar an líon mór athruithe atá san áireamh le timthriall paiste na Bealtaine seo, tá na cásanna tástála briste síos i ngrúpaí ardriosca agus caighdeánacha:
Riosca Ard: Is dócha go n-áireoidh na hathruithe seo athruithe feidhmiúlachta, go bhféadfadh siad dochar a dhéanamh d’fheidhmeanna reatha agus is dócha go mbeidh gá le pleananna tástála nua a chruthú:
- Déan do dheimhnithe CA fiontraíochta a thástáil (idir nua agus athnuaite). Do fhreastalaí fearainn KDC déanfaidh sé na síntí nua atá san áireamh sa nuashonrú seo a bhailíochtú go huathoibríoch. Cuardaigh le haghaidh bailíochtaithe teipthe!
- Áiríonn an nuashonrú seo athrú ar shínithe tiománaithe lena n-áirítear anois seiceáil stampa ama chomh maith le sínithe fíordheimhnithe. Ba cheart do thiománaithe sínithe a luchtú. Níor cheart do thiománaithe gan síniú. Seiceáil rith tástála d’fheidhmchláir le haghaidh ualaí tiománaí ar theip orthu. Áirigh seiceálacha ar EXEs agus DLLs sínithe freisin.
Níl na hathruithe seo a leanas doiciméadaithe mar athruithe feidhmiúla san áireamh, ach beidh siad fós ag teastáil ar a laghad “tástáil deataigh” roimh imscaradh ginearálta paistí Bealtaine:
- Déan do chliaint VPN a thástáil agus tú in úsáid RRAS freastalaithe: cuir ceangal, dínascadh san áireamh (ag baint úsáide as gach prótacal: PPP/PPTP/SSTP/IKEv2).
- Déan tástáil go n-osclaítear do chomhaid EMF mar a bhíothas ag súil leis.
- Tástáil do Leabhar Seoltaí Windows (WAB) spleáchais iarratais.
- Tástáil BitLocker: tosaigh/stop do mheaisíní le BitLocker cumasaithe agus ansin díchumasaithe.
- Deimhnigh go bhfuil do dhintiúir inrochtana trí VPN (féach Microsoft Bainisteoir Dintiúir).
- Tástáil do Tiománaithe printéir v4 (go háirithe le teacht níos déanaí CVE-2022-30138).
Teastóidh roinnt atosaithe do d’acmhainní tástála le tástáil na míosa seo agus ba cheart go mbeadh meaisíní fíorúla agus fisiceacha (BIOS/UEFI) araon san áireamh.
Saincheisteanna aitheanta
Áiríonn Microsoft liosta saincheisteanna aitheanta a théann i bhfeidhm ar an gcóras oibriúcháin agus ardáin atá san áireamh sa timthriall nuashonraithe seo:
- Tar éis nuashonrú na míosa seo a shuiteáil, d’fhéadfadh feistí Windows a úsáideann GPUanna áirithe a bheith ina chúis le haipeanna a dhúnadh gan choinne, nó cód eisceachta a ghiniúint (0xc0000094 sa mhodúl d3d9on12.dll) in aipeanna a úsáideann Direct3D Leagan 9. D’fhoilsigh Microsoft a KIR nuashonrú polasaí grúpa chun an fhadhb seo a réiteach leis na socruithe GPO seo a leanas: Íoslódáil do Windows 10, leagan 2004, Windows 10, leagan 20H2, Windows 10, leagan 21H1, agus Windows 10, leagan 21H2.
- Tar éis nuashonruithe a eisítear iad a shuiteáil 11 Eanáir, 2022 nó níos déanaí, d’fhéadfadh go dteipfeadh ar aipeanna a bhaineann úsáid as an gCreat Microsoft .NET chun Faisnéis Iontaobhas Foraoise Eolaire Gníomhach a fháil nó a shocrú nó earráid sárú rochtana (0xc0000005) a ghiniúint. Dealraíonn sé go bhfuil feidhmchláir a bhraitheann ar an System.DirectoryServices API bhfuil tionchar.
Tá Microsoft tar éis a chluiche a fheabhsú i ndáiríre agus é ag plé le socruithe agus nuashonruithe le déanaí don scaoileadh seo le hábhar úsáideach buaicphointí a nuashonrú físeán.
Leasuithe móra
Cé go bhfuil liosta i bhfad níos lú paistí an mhí seo i gcomparáid le mí Aibreáin, tá trí athbhreithniú eisithe ag Microsoft lena n-áirítear:
- CVE-2022-1096: Cróimiam: CVE-2022-1096 Cineál Mearbhall i V8. Nuashonraíodh an paiste Márta seo chun tacaíocht a thabhairt don leagan is déanaí de Visual Studio (2022) chun gur féidir ábhar webview2 a thabhairt cothrom le dáta. Níl gá le gníomh breise.
- CVE-2022-24513: Visual Studio Ardú na Leochaileachta Pribhléidí. Nuashonraíodh an paiste Aibreán seo chun GACH leagan tacaithe de Visual Studio (15.9 go 17.1) a chur san áireamh. Ar an drochuair, d’fhéadfadh go mbeadh roinnt tástála feidhmchláir ag teastáil ón nuashonrú seo do d’fhoireann forbartha, mar go mbíonn tionchar aige ar an gcaoi a rindreáiltear inneachar webview2.
- CVE-2022-30138: Windows Print Spooler Ardú ar Leochaileacht Pribhléid. Is athrú faisnéise amháin é seo. Níl gá le gníomh breise.
Maoluithe agus réitigh oibre
Do mhí na Bealtaine, tá príomh-mhaolú amháin foilsithe ag Microsoft maidir le leochaileacht thromchúiseach córas comhaid líonra Windows:
- CVE-2022-26937: Córas Comhad Líonra Windows Leochaileacht Forghníomhaithe Cóid. Is féidir leat ionsaí a mhaolú trí dhíchumasú NFSV2 agus NFSV3. Díchumasóidh an t-ordú PowerShell seo a leanas na leaganacha sin: “PS C:Set-NfsServerConfiguration -EnableNFSV2 $false -EnableNFSV3 $false.” Nuair a rinneadh. beidh ort do fhreastalaí NFS a atosú (nó an meaisín a atosú más féidir). Agus chun a dhearbhú go bhfuil an freastalaí NFS nuashonraithe i gceart, bain úsáid as an ordú PowerShell “PS C: Get-NfsServerConfiguration.”
Gach mí, déanaimid an timthriall nuashonraithe a bhriseadh síos i dteaghlaigh táirgí (mar atá sainmhínithe ag Microsoft) leis na bunghrúpaí seo a leanas:
- Brabhsálaithe (Microsoft IE agus Edge);
- Microsoft Windows (deisce agus freastalaí);
- Microsoft Office;
- Microsoft Exchange;
- Ardáin Forbartha Microsoft ( ASP.NET Core, .NET Core agus Chakra Core);
- Adobe (ar scor???, b’fhéidir an bhliain seo chugainn).
Brabhsálaithe
Níl aon nuashonruithe eisithe ag Microsoft dá bhrabhsálaithe oidhreachta (IE) nó Cróimiam (Edge) an mhí seo. Tá treocht anuas le feiceáil againn ar líon na saincheisteanna criticiúla atá ag cur as do Microsoft le deich mbliana anuas. Is é mo mhothúchán go raibh bogadh go dtí an tionscadal Cróimiam ina “bua-bua iontach” don fhoireann forbartha agus d’úsáideoirí araon.
Ag labhairt di ar brabhsálaithe oidhreachta, ní mór dúinn a ullmhú le haghaidh an scor IE ag teacht i lár mhí an Mheithimh. Trí “ullmhú” is éard atá i gceist agam ceiliúradh a dhéanamh – tar éis, ar ndóigh, ní mór dúinn a chinntiú nach bhfuil aipeanna oidhreachta ag brath go follasach ar shean-inneall rindreála IE. Cuir “Déan ceiliúradh ar scor IE” le do sceideal imlonnaithe do bhrabhsálaí. Tuigfidh d’úsáideoirí.
Windows
Faigheann ardán Windows sé nuashonrú ríthábhachtach an mhí seo agus 56 paiste rátáilte tábhachtach. Ar an drochuair, tá trí shaothrú náid lá againn freisin:
- CVE-2022-22713: Éileoidh an leochaileacht seo a nochtfar go poiblí in ardán fíorúlaithe Hyper-V Microsoft d’ionsaitheoir leas a bhaint as riocht cine inmheánach go rathúil chun go n-eascródh cás séanadh seirbhíse féideartha. Is leochaileacht thromchúiseach é, ach teastaíonn roinnt leochaileachtaí a shlabhraáil le go n-éireoidh leo.
- CVE-2022-26925: An dá nochtadh go poiblí agus a thuairisciú mar a shaothraítear sa fiáin, seo Saincheist fíordheimhnithe LSA is ábhar imní dáiríre é. Beidh sé éasca é a phaisteáil, ach tá an próifíl tástála mór, rud a fhágann gur deacair é a imscaradh go tapa. Chomh maith le do fhíordheimhniú fearainn a thástáil, cinntigh go n-oibreoidh na feidhmeanna cúltacaí (agus athchóiriú) mar a bhíothas ag súil leis. Molaimid go mór seiceáil ar a dhéanaí Nótaí tacaíochta Microsoft ar ceist leanúnach.
- CVE-2022-29972: An leochaileacht seo a nochtaíodh go poiblí sa Redshift ODBC tá an tiománaí sách sainiúil d’fheidhmchláir Synapse. Ach má tá tú faoi lé aon cheann de na Azure Synapse RBAC róil, is ardtosaíocht í an nuashonrú seo a imscaradh.
Chomh maith leis na saincheisteanna nialasacha seo, tá trí shaincheist eile ann ar gá d’aird a thabhairt orthu:
- CVE-2022-26923: níl an leochaileacht seo i bhfíordheimhniú an Eolaire Gníomhach sách “inite” ach tá sé chomh furasta leas a bhaint as, ní bheadh aon ionadh orm é a fheiceáil go ndéanfar ionsaí gníomhach air go luath. Nuair a bheidh sé curtha i gcontúirt, soláthróidh an leochaileacht seo rochtain ar d’fhearann ar fad. Tá na geallta ard leis an gceann seo.
- CVE-2022-26937: Tá rátáil 9.8 ag an bhfabht Córas Comhad Líonra seo – ceann de na cinn is airde a tuairiscíodh i mbliana. NFS nach bhfuil sé cumasaithe de réir réamhshocraithe, ach má tá Linux nó Unix agat ar do líonra, is dócha go n-úsáideann tú é. Paiste an tsaincheist seo, ach molaimid freisin uasghrádú go NFSv4.1 chomh luath agus is féidir.
- CVE-2022-30138: Eisíodh an paiste seo iar-Paiste Dé Máirt. Ní dhéanann an tsaincheist spooler priontála seo difear ach do chórais níos sine (Windows 8 agus Server 2012) ach beidh gá le tástáil shuntasach roimh imscaradh. Ní saincheist slándála thar a bheith ríthábhachtach í, ach is mór an poitéinseal do shaincheisteanna printéir-bhunaithe. Tóg do chuid ama roimh imscaradh an ceann seo.
I bhfianaise líon na n-imeachtaí tromchúiseacha agus na trí lá nialasach i mí na Bealtaine, cuir nuashonrú Windows na míosa seo le do sceideal “Patch Now”.
Microsoft office
D’eisigh Microsoft ach ceithre nuashonrú don ardán Microsoft Office (Excel, SharePoint) a bhfuil rátáil tábhachtach acu go léir. Is deacair leas a bhaint as na nuashonruithe seo go léir (a éilíonn idirghníomhú úsáideora agus rochtain áitiúil ar an spriocchóras) agus ní dhéanann siad ach difear d’ardáin 32-giotán. Cuir na nuashonruithe Oifige seo a bhfuil próifíl íseal agus riosca íseal ag baint leo le do sceideal caighdeánach eisiúna.
Microsoft Exchange Server
D’eisigh Microsoft nuashonrú amháin chuig Exchange Server (CVE-2022-21978) a rátáiltear a bheith tábhachtach agus gur dealraitheach gur deacair a shaothrú. Éilíonn an leochaileacht ardphribhléid seo rochtain iomlán fhíordheimhnithe ar an bhfreastalaí, agus go dtí seo ní raibh aon tuairiscí ar nochtadh poiblí ná ar shaothrú san fhiántas.
Níos tábhachtaí fós an mhí seo, thug Microsoft isteach ceann nua modh chun freastalaithe Microsoft Exchange a nuashonrú a chuimsíonn anois:
- Comhad paiste Windows Installer (.MSP), a oibríonn is fearr le haghaidh suiteálacha uathoibrithe.
- Suiteálaí féin-eastósctha, uath-ardaithe (.exe), a oibríonn is fearr le haghaidh suiteálacha láimhe.
Is iarracht é seo chun an fhadhb a réiteach maidir le riarthóirí Malartú ag nuashonrú a gcuid córas freastalaí laistigh de chomhthéacs neamh-riaracháin, rud a fhágann go bhfuil droch-staid freastalaí ann. Ceadaíonn an fhormáid EXE nua do shuiteálacha ordú agus logáil suiteála níos fearr. D’fhoilsigh Microsoft an sampla de líne ordaithe EXE seo a leanas go cabhrach:
“Setup.exe /IAcceptExchangeServerLicenseTerms_DiagnosticDataON /PrepareAllDomains”
Tabhair faoi deara, molann Microsoft go mbeadh an t-athróg timpeallachta % Temp% agat sula n-úsáideann tú an fhormáid suiteála EXE nua. Má leanann tú an modh nua chun an EXE a úsáid chun Malartú a nuashonrú, cuimhnigh go mbeidh ort fós (ar leithligh) an leagan míosúil a imscaradh SSU nuashonraigh chun a chinntiú go bhfuil do fhreastalaithe cothrom le dáta. Cuir an nuashonrú seo (nó EXE) le do sceideal caighdeánach eisiúna, ag cinntiú go ndéantar atosaigh iomlán nuair a bheidh gach nuashonrú críochnaithe.
Ardáin forbartha Microsoft
D’eisigh Microsoft cúig nuashonrú a rátáiltear tábhachtach agus paiste amháin le rátáil íseal. Bíonn tionchar ag na paistí seo go léir ar Visual Studio agus ar an gcreat .NET. Toisc go mbeidh do chásanna Visual Studio á nuashonrú agat chun aghaidh a thabhairt ar na leochaileachtaí tuairiscithe seo, molaimid duit an leagan amach Visual studio aibreán treoir nuashonraithe.
Chun tuilleadh a fháil amach faoi na saincheisteanna sonracha ar tugadh aghaidh orthu ó thaobh na slándála de, beidh an Bealtaine 2022 .NET nuashonraithe ar bhlagphostáil beidh sé úsáideach. Ag tabhairt faoi deara é sin .Tá deireadh na tacaíochta sroichte ag NET 5.0 anois agus sula ndéanann tú uasghrádú go .NET 7, b’fhéidir gur fiú seiceáil ar chuid den chomhoiriúnacht nó “athruithe a bhriseadh” ar gá aghaidh a thabhairt orthu. Cuir na nuashonruithe meánriosca seo le do sceideal caighdeánach nuashonraithe.
Adobe (leitheoir amháin i ndáiríre)
Shíl mé go mb’fhéidir go raibh treocht le feiceáil againn. Níl aon nuashonrú ar Adobe Reader an mhí seo. É sin ráite, tá roinnt nuashonruithe eisithe ag Adobe ar tháirgí eile atá le fáil anseo: APSB22-21. Feicfimid cad a tharlaíonn i mí an Mheithimh – b’fhéidir gur féidir linn dul ar scor araon Adobe Reader agus IE.
Cóipcheart © 2022 IDG Communications, Inc.
Ní mór paisteáil phráinneach a dhéanamh le nuashonruithe Paiste na Bealtaine Dé Máirt
Source link Ní mór paisteáil phráinneach a dhéanamh le nuashonruithe Paiste na Bealtaine Dé Máirt
