不要恐慌,但是这个月的补丁是一个优先事项
Microsoft预览了Windows 10的新企业遥控选项
Wannacry Hero Marcus Hutchins备受监狱
奇数问题仍未解决,但是已安装4月的Windows和Office修补程序
WWDC:Apple为Safari带来了面部ID和触摸身份验证
英国委员会的三分之一有预算削减了
今年最有趣的Android问题
圣约翰救护车赞扬响应赎金软件攻击
思科将AI转录添加到WebEx会议上
NHS仍然有数千个运行Windows XP的PC
Apple希望隐私法保护其用户
RiskiQ揭开了新的Magecart运动
微软加深团队与动态365
Slack将很快让用户DM人员在其他组织中
澳大利亚组织从云获得9亿美元的生产力福利
亚特斯人扩展了JIRA路线图,以获得更好的项目状态可见性
Slack添加应用主屏幕,更好的应用程序发现性
为什么Apple(尚)支持Tim Berners-Lee“保存网络”?
Amirates NBD与亚马逊网络服务建立了未来的银行
数字部长Margot James在Brexit投票后退出
英国投资185万英镑,以提高人工智能的多样性
Hewlett Packard Enterprise在印度投资大量
有关谷歌和隐私的2个大问题
为什么 - 以及如何 - 我将Win10生产机器移动到1903年版
2月的窗户和办公室补丁看起来成熟,但留意赢8.1
微软:无论你做什么,不要在线致电IT办公室
技术购买者应该选择高端手机以获得更好的数据速率
1月的窗户和办公室补丁很好
BT和OpenDeach告诉更透明的分裂
Facebook的Libra Crypto Backers返回监管压力
在线色情年龄 - 验证检查延迟六个月
TSB接受了另外3600万英镑的命中与拙劣的IT迁移有关
Apple投资了明天的编码人才
AWS技能合作引发了两年大学前云资格
英国网络安全实践破坏控制
提名为英国的安全无名英雄开放
Microsoft Cranks Up Windows 10 1803-To-1903强制升级
Windows 10 1903在额外测试后到达
Yoox Net-a-porter推出了以女性为中心的时尚应用竞争
招待性行业以最高的网络钓鱼风险
雀巢阶段出去Salesforce Chatter,部署Facebook的工作场所
前Mozilla Exec指控谷歌鱼雷的Firefox与“oops”借口
在最新的Vertiv 2025市场预测研究中展示了日益增长的数据中心类型
创新的反网络钓鱼应用程序来到iPhone
微软即将开始唠叨Windows 7用户关于覆盖结束时间
龙门使用CEGID在所有市场上简化功能
Chrome打网站处理“滥用体验”的全部广告封锁
嘿,LG:这个“软件升级中心”如何?
苹果正在遭受蝴蝶效果
DWP数据集线器开发了原型技能推荐引擎
您的位置:首页 >产品 > 商业评论 >

不要恐慌,但是这个月的补丁是一个优先事项

2021-09-01 17:44:17 [来源]:

鉴于113次更新到期抵达4月份的补丁周二,它的管理人员有很多工作要做。对于旧系统,Adobe字体问题(CVE-2020-0938,CVE-2020-020)将立即受到关注。对Windows脚本处理程序和基于浏览器的Chakra脚本引擎的更改可能需要对内部应用程序进行一些额外的测试。

除非您正在运行SharePoint Server,否则本月的Office更新是相对较低的影响 - 然后需要多个更新,导致服务器重新启动。有三个(到目前为止)零天和许多关键的内存相关补丁到Windows,我的建议是:不要恐慌。修补旧系统首先。测试核心应用程序用于脚本依赖项,然后根据正常更新周期安排剩余的更新。

已知的问题

每个月,Microsoft都包含与此更新周期中包含的操作系统和平台相关的已知问题列表。我引用了一些与Microsoft的最新版本相关的关键问题,包括:

CVE-2020-0760:本月补丁周期中最重要的问题是Microsoft如何在Office中处理VBScript代码的更改。您可以了解更多关于其中一些更改以及4月更新如何影响办公室。KB4549949:安装KB4493509后,安装了一些亚洲语言包的设备可能会收到错误,“0x800f0982 - psfx_e_matching_component_not_found。”Microsoft正在进行决议,并将在即将发布的版本中提供更新.KB4​​550930:Windows Server(仅限安全性)更新可能会使用组策略对象(GPO)和MSI Installer Packages.kb4550929:安装KB4467684后,如果组策略“最小密码长度”是具有大于14个字符的CONPD,则群集服务可能无法以错误“2245(nerr_passwordtooshort)”开始。此问题仅影响较旧的Windows Server构建。

您还可以找到Microsoft为此发布的已知问题的摘要。

主要修订

仅由Microsoft向4月发布了文档原因的一个主要修订:

CVE-2020-0905:在安全更新表中,Microsoft更正了以下产品的下载链接:Microsoft Dynamics Nav 2018,Microsoft Dynamics 365 BC ON,Premise,Dynamics 365 Business Central 2019 Spring更新,动态365个业务和2019年中央释放波2(内部部署)。

如果您使用Microsoft自动更新,则不需要对所有这些主要修订的进一步操作。

每月,我将更新周期分解为产品系列(Microsoft定义),具有以下基本分组:

浏览器(Microsoft IE和Edge)Microsoft Windows(桌面和服务器)Microsoft Office(包括Web Apps和Exchange)Microsoft开发平台(ASP.NET核心,.NET核心和Chakra Core)Adobe Flash Player

浏览器

Microsoft本月向其浏览器发布了两个关键的更新(CVE-2020-0969和CVE-2020-0970)。这两个更新都涉及Chakra或VB脚本引擎中的内存处理。这两种漏洞都需要用户访问特制的网站,然后采取一些难以利用这些漏洞的受害者的次数。将这些更新添加到常规修补程序发布计划中。

微软Windows

Microsoft释放了Windows生态系统的大量更新,七个报告称为至关重要的,59个重要 - 可能导致与(至少)对数量和自然的一个改变进行修补程序发布周期的更大趋势微软补丁。所以,我们已经从4月到三个零日到了几个小时的空间。以下Microsoft漏洞现在被评为零天,需要立即注意:

CVE-2020-1027:Windows Kernel.cve-2020-0938中的内存处理漏洞:使用Adobe类型PostScript Fonts.cve-2020-0968处理问题:脚本处理存储器可能导致任意编码-2020-1020的执行:这次Adobe字体的另一个问题,这次潜在缓解。

如果您正在运行旧系统(Pre-Windows 10),那么最紧急的补丁是CVE-2020-1020,它将需要在所有受影响的系统上重新启动。如果对这些遗留机器的更新延迟,Microsoft在延迟包括:

在Windows Explorer中禁用预览窗格和详细信息窗格。使用托管部署脚本.DisableAtmfd注册表项手动禁用Windows Explorer.disable service.disableAtmd注册表项.Rename Atmfd.dll。

所有这些行动都需要重大管理开销,并且可能导致应用程序兼容性问题或导致困难的故障排除方案。您可以了解更多有关如何在(最近)修订的Microsoft Security Advisory中处理此特定问题的信息:ADV200006。

如果您正在运行更多现代的Windows桌面和服务器,情况是不同的。请注意,即使这些高调漏洞已被报告为野外剥削,它们也不太可能损害修补良好的现代系统 - 因此,对Microsoft的这些补丁来说是重要的。我的建议:将这些Windows更新添加到常规补丁周期,但在未来几天从Microsoft进行更多更新和更改。在完全部署之前测试脚本(Chakra和Vbscript)更改为您的业务线或核心应用程序。

微软办公软件

4月是Microsoft Office的最新月份,具有28个更新,异常,五个报告称为至关重要。值得庆幸的是,本月的所有关键(和大多数剩余的)漏洞都与Microsoft SharePoint Server有关,这应该由大多数公司防火墙保护。剩余的补丁与Microsoft Word和Excel相关,具有漂亮的标准内存处理和输入处理(Sacitation)问题,可能导致远程用户(来自Internet)的任意代码执行。

本月的重点应在修补桌面上,并将您的服务器更新添加到常规更新计划。

微软开发平台

Microsoft仅向其开发平台发布了三个更新,其中两个影响了Visual Studio和MSR JavaScript CrotographyLibrary中的最终更严重的一个。所有这些更新都被Microsoft评为重要。但是,最近已经更新了MSR密码造影库(除了这些最近的修补程序之外),您可能需要在部署此更新之前测试内部包裹。您可以在此处找到MSR Git存储库上的更改列表。

Adobe Flash Player.

请注意,这些是严重的时期(毕竟是大流行),因为谷歌没有发布通常的4月愚人节的笑话,Adobe决定他们会休息一下。本月没有Microsoft平台的Adobe更新。

郑重声明:本文版权归原作者所有,转载文章仅为传播更多信息之目的,如有侵权行为,请第一时间联系我们修改或删除,多谢。