不要恐慌,但是这个月的补丁是一个优先事项
鉴于113次更新到期抵达4月份的补丁周二,它的管理人员有很多工作要做。对于旧系统,Adobe字体问题(CVE-2020-0938,CVE-2020-020)将立即受到关注。对Windows脚本处理程序和基于浏览器的Chakra脚本引擎的更改可能需要对内部应用程序进行一些额外的测试。
除非您正在运行SharePoint Server,否则本月的Office更新是相对较低的影响 - 然后需要多个更新,导致服务器重新启动。有三个(到目前为止)零天和许多关键的内存相关补丁到Windows,我的建议是:不要恐慌。修补旧系统首先。测试核心应用程序用于脚本依赖项,然后根据正常更新周期安排剩余的更新。
已知的问题
每个月,Microsoft都包含与此更新周期中包含的操作系统和平台相关的已知问题列表。我引用了一些与Microsoft的最新版本相关的关键问题,包括:
CVE-2020-0760:本月补丁周期中最重要的问题是Microsoft如何在Office中处理VBScript代码的更改。您可以了解更多关于其中一些更改以及4月更新如何影响办公室。KB4549949:安装KB4493509后,安装了一些亚洲语言包的设备可能会收到错误,“0x800f0982 - psfx_e_matching_component_not_found。”Microsoft正在进行决议,并将在即将发布的版本中提供更新.KB4550930:Windows Server(仅限安全性)更新可能会使用组策略对象(GPO)和MSI Installer Packages.kb4550929:安装KB4467684后,如果组策略“最小密码长度”是具有大于14个字符的CONPD,则群集服务可能无法以错误“2245(nerr_passwordtooshort)”开始。此问题仅影响较旧的Windows Server构建。您还可以找到Microsoft为此发布的已知问题的摘要。
主要修订
仅由Microsoft向4月发布了文档原因的一个主要修订:
CVE-2020-0905:在安全更新表中,Microsoft更正了以下产品的下载链接:Microsoft Dynamics Nav 2018,Microsoft Dynamics 365 BC ON,Premise,Dynamics 365 Business Central 2019 Spring更新,动态365个业务和2019年中央释放波2(内部部署)。如果您使用Microsoft自动更新,则不需要对所有这些主要修订的进一步操作。
每月,我将更新周期分解为产品系列(Microsoft定义),具有以下基本分组:
浏览器(Microsoft IE和Edge)Microsoft Windows(桌面和服务器)Microsoft Office(包括Web Apps和Exchange)Microsoft开发平台(ASP.NET核心,.NET核心和Chakra Core)Adobe Flash Player浏览器
Microsoft本月向其浏览器发布了两个关键的更新(CVE-2020-0969和CVE-2020-0970)。这两个更新都涉及Chakra或VB脚本引擎中的内存处理。这两种漏洞都需要用户访问特制的网站,然后采取一些难以利用这些漏洞的受害者的次数。将这些更新添加到常规修补程序发布计划中。
微软Windows
Microsoft释放了Windows生态系统的大量更新,七个报告称为至关重要的,59个重要 - 可能导致与(至少)对数量和自然的一个改变进行修补程序发布周期的更大趋势微软补丁。所以,我们已经从4月到三个零日到了几个小时的空间。以下Microsoft漏洞现在被评为零天,需要立即注意:
CVE-2020-1027:Windows Kernel.cve-2020-0938中的内存处理漏洞:使用Adobe类型PostScript Fonts.cve-2020-0968处理问题:脚本处理存储器可能导致任意编码-2020-1020的执行:这次Adobe字体的另一个问题,这次潜在缓解。如果您正在运行旧系统(Pre-Windows 10),那么最紧急的补丁是CVE-2020-1020,它将需要在所有受影响的系统上重新启动。如果对这些遗留机器的更新延迟,Microsoft在延迟包括:
在Windows Explorer中禁用预览窗格和详细信息窗格。使用托管部署脚本.DisableAtmfd注册表项手动禁用Windows Explorer.disable service.disableAtmd注册表项.Rename Atmfd.dll。所有这些行动都需要重大管理开销,并且可能导致应用程序兼容性问题或导致困难的故障排除方案。您可以了解更多有关如何在(最近)修订的Microsoft Security Advisory中处理此特定问题的信息:ADV200006。
如果您正在运行更多现代的Windows桌面和服务器,情况是不同的。请注意,即使这些高调漏洞已被报告为野外剥削,它们也不太可能损害修补良好的现代系统 - 因此,对Microsoft的这些补丁来说是重要的。我的建议:将这些Windows更新添加到常规补丁周期,但在未来几天从Microsoft进行更多更新和更改。在完全部署之前测试脚本(Chakra和Vbscript)更改为您的业务线或核心应用程序。
微软办公软件
4月是Microsoft Office的最新月份,具有28个更新,异常,五个报告称为至关重要。值得庆幸的是,本月的所有关键(和大多数剩余的)漏洞都与Microsoft SharePoint Server有关,这应该由大多数公司防火墙保护。剩余的补丁与Microsoft Word和Excel相关,具有漂亮的标准内存处理和输入处理(Sacitation)问题,可能导致远程用户(来自Internet)的任意代码执行。
本月的重点应在修补桌面上,并将您的服务器更新添加到常规更新计划。
微软开发平台
Microsoft仅向其开发平台发布了三个更新,其中两个影响了Visual Studio和MSR JavaScript CrotographyLibrary中的最终更严重的一个。所有这些更新都被Microsoft评为重要。但是,最近已经更新了MSR密码造影库(除了这些最近的修补程序之外),您可能需要在部署此更新之前测试内部包裹。您可以在此处找到MSR Git存储库上的更改列表。
Adobe Flash Player.
请注意,这些是严重的时期(毕竟是大流行),因为谷歌没有发布通常的4月愚人节的笑话,Adobe决定他们会休息一下。本月没有Microsoft平台的Adobe更新。