Прогноза за кръпката за ноември 2022 г. във вторник: Ще излязат ли груповите финали?

Корекция вторник октомври 2022 г Изминалият месец беше донякъде необичаен, тъй като “нещо като” се повтори следващата седмица. Microsoft се обърна и пусна поредица от актуализации, които не са свързани със сигурността, които поправиха някои от откритите проблеми със свързаността – принуждавайки мнозина да преминат през нов непланиран цикъл на корекция. Те също оставиха много уязвимости от нулевия ден неразрешени, което ни накара да се чудим кога тези отворени елементи ще бъдат разрешени. Ноември може да бъде важният вторник, за да сложите край на тези неуредици.

OpenSSL уязвимости

Съобщените уязвимости в OpenSSL 3 предизвикаха много отразяване в пресата този месец. Има две уязвимости на препълването на буфера – CVE-2022-3602 и CVE-2022-3786; Първоначално уязвимостта беше докладвана с критичен рейтинг поради способността си за дистанционно изпълнение на код, но по-късно беше понижена до висок рейтинг поради трудността при експлоатиране. Втората уязвимост е оценена високо поради потенциала за атака за отказ на услуга.

Тези уязвимости съществуват във версии 3.0.0 до 3.0.6 на OpenSSL и са коригирани във версия 3.0.7. Ограниченото използване на тези по-нови версии до момента е допринесло за високите оценки. Първоначалната загриженост беше, че CVE-2022-3602 може да доведе до друг режим Heartbleed, което доведе до широко разпространено използване през 2014 г. на CVE-2014-0160 в OpenSSL. Добрата новина е, че тези съществуващи уязвимости са много трудни за използване, но трябва да актуализирате до най-новата версия на OpenSSL във вашата среда по време на следващия цикъл на корекция, за да се предпазите от предстоящи атаки.

Извънлентови актуализации

Този месец Microsoft пусна няколко извънлентови актуализации, които не са свързани със сигурността. Седмицата след миналия вторник имаше актуализация за повечето операционни системи за сървъри и работни станции за справяне с „проблем, който може да засегне някои типове Secure Sockets Layer (SSL) и TLS връзки. Тези връзки може да имат неуспешно ръкостискане.“ Това поправка не се изисква, ако нямате проблеми с връзката. Ето го бюлетин От Windows 11, ако искате да прочетете повече.

На 28 октомври под KB 5020953 Microsoft пусна друга актуализация извън обхвата, за да се справи с проблеми със синхронизирането на OneDrive, които могат да причинят неработоспособност. Както може да се види в KB, това изисква ръчно изтегляне и инсталиране и не е необходимо, ако нямате проблеми. Както при всички актуализации на Microsoft, ще го получим следващата седмица във вторник, ако нямате възможност да актуализирате и имате нужда от него.

Microsoft и Google

Миналия месец беше съобщено, че Microsoft е разкрила две нови уязвимости на нулевия ден на 30 септември. Те са предоставили някои инструменти и ръчно смекчаване на уязвимостта на Exchange Server Elevation of Privilege (CVE-2022-41040) и уязвимост при отдалечено изпълнение на код в Exchange Server (CVE-2022-41082), свързани с атаки на ProxyNotShell. Въпреки октомврийския пач във вторник и няколко издания извън диапазона през месеца, все още не сме видели актуализация. Може би следващата седмица?

Остават три месеца актуализации за Windows 7 и Server 2008/2008 R2 до пускането на последната разширена актуализация на защитата (ESU) на 10 януари 2023 г. Също така Google обявявам Те отказаха поддръжката на Chrome за Windows 7 през февруари 2023 г. и Chrome 109 ще бъде последният, който поддържа тези операционни системи.
Последна бележка пред очакванията, Microsoft спомена на Ignite тази година, че ребрандира своя 32-годишен Office пакет на Microsoft 365. Маркетингът тихо обяви тази промяна и може да видите някои действителни промени в името, започвайки от актуализациите през ноември.

Прогноза за корекция за ноември 2022 г

  • Както предвидих миналия месец, актуализациите на ESU продължават да привличат много внимание с 40+ CVE, които се обработват с наближаването на EOL. Очакваме тази тенденция да продължи и този месец.
  • Очаквайте да актуализирате Microsoft Exchange Server този месец, за да адресирате докладваните уязвимости от нулевия ден. Следете Microsoft Office, докато преминава към Microsoft 365. Подобно на актуализациите на ESU, вероятно ще има натиск за справяне с отворени уязвимости във всички останали операционни системи преди празниците.
  • Adobe Acrobat и Reader обикновено не получават голяма актуализация този месец, но както винаги потърсете актуализация с няколко CVE.
  • Apple пусна най-новата операционна система macOS 13, наречена Ventura, на 24 октомври. В същия ден пуснаха Big Sur 11.7.1 и Monterey 12.6.1. Тези актуализации на защитата трябва да бъдат включени в този цикъл на корекция, ако още не сте го направили.
  • Бета каналите на Google бяха актуализирани тази седмица за ChromeOS и десктоп. Очаквайте те да бъдат официално пуснати скоро. Google актуализира канала за дългосрочна поддръжка до 102.0.5005.184 тази седмица, така че можете да го включите в дейността си за отстраняване на грешки.
  • Последните актуализации от Mozilla за Thunderbird, Firefox и Firefox ESR бяха пуснати на 18 октомври. Можем да видим актуализации и за трите следващата седмица.

Би било страхотно, ако Microsoft може да ни предостави някои актуализации този месец, които да приключат много от неуредените неща, които споменах, и можем да преминем към края на годината със безопасни и стабилни системи и спокойствие.