Вторник Патчей, 11 января 2022 года: Windows 11 и Windows 10 получат обновления безопасности

Вторник Патчей, 11 января 2022 года: «насыщенное начало года»

Новогодние праздники остались позади, и системных администраторов заждались задачи по управлению исправлениями. Давайте рассмотрим некоторые недавние события, которые повлияют на выпуски исправлений в этом месяце.

2021 год можно назвать «годом атак на цепочки поставок», и эта тенденция может сохраниться и в нынешнем, 2022 году. Так, например, вредоносное ПО в решении для удаленного управления Atera использует уязвимости проверки цифровой подписи Microsoft, появившиеся еще в 2012 году, для загрузки зловреда ZLoader и кражи учетных данных.

Несмотря на то, что эти уязвимости были устранены, изменения не включены по умолчанию. В бюллетени по безопасности Microsoft под номером 2915720 от 2017 года содержатся дополнительные сведения о функциях Authenticode и WinVerify Trust с рекомендациями по устранению рисков. Несмотря на эксплуатацию старых уязвимостей, атака является новой, и, наверняка, мы еще услышим от Microsoft о возможных изменениях в патчах на этой неделе.

Уязвимость в написанной на Java библиотеке ведения журналов Apache Log4j что называется «прогремела» в середине декабря. Дело в том, что эта библиотека широко используется как в корпоративном программном обеспечении, так и в облачных сервисах. Несмотря на то, что Apache выпустил исправление нулевого дня для CVE-2021-44228, компаниям, использующим эту библиотеку, требуется некоторое время для обновления, тестирования и развертывания новой версии.

Ситуация усложняется тем, что за последний месяц было обнаружено еще четыре уязвимости, связанных с ошибкой Log4Shell, последней из которых является CVE-2021-44832. Apache выпустил несколько обновлений этой библиотеки, вплоть до версии 2.17.1. Продукты SaaS можно быстро обновить в рамках DevOps, но обновление традиционных программных продуктов в полевых условиях может занять гораздо больше времени, что делает их уязвимыми для эксплуатации.

Для Microsoft первые дни 2022 года оказались очень насыщенными. Компания выпустила внеплановое обновление для серверов Windows, у которых наблюдались «проблемы отображения черного экрана, медленного входа и общего падения производительности». Также Редмонд подготовил скрипт для запуска на Exchange Server 2016 и Exchange Server 2019, который устраняет проблему проверки даты, из-за которой электронные письма застревали в транспортной очереди. Эти обновления могут появиться в будущих накопительных исправлениях.

Прогноз на «Вторник Патчей», январь 2022 года:

• Microsoft уже исправила несколько уязвимостей в этом году. В этот «Вторник Патчей» ожидается около 30 исправлений уязвимостей для Windows 10 и Windows 11. Скорее всего, мы получим обновления для Exchange Server и .NET.
• На этой неделе завершается второй год программы расширенных обновлений безопасности (ESU) для Windows 7 и Server 2008/2008 R2. Если вам нужна поддержка на 3-й год, убедитесь, что вы продлили все свои лицензии, чтобы не было простоев в феврале.
• Ожидаются обновления безопасности для Adobe Acrobat и Adobe Reader. Обновления для большинства продуктов Adobe были выпущены еще 14 декабря.
• В декабре Apple выпустила обновления безопасности для Safari, macOS Catalina, Big Sur и Monterey. Если не отбросить потенциальные новые уязвимости нулевого дня, январь должен быть спокойным для пользователей Mac.
• Google выпустил новую версию Chrome 97.0.4692.71, в которой устранены 37 уязвимостей, 10 из которых имеют «Высокий» рейтинг опасности. Также обновлен Chrome Extended Stable до 96.0.4664.131 для Windows и Mac
• Mozilla не выпустила свои традиционные обновления до исправлений для Firefox, Firefox ESR и Thunderbird, поэтому ожидаем эти обновления безопасности на этой неделе.