Вторник патчей, 10 мая 2022 года: Windows 11 и Windows 10 получат обновления безопасности

Не ограничивайтесь обновлениями ОС и приложений

После нескольких месяцев «тишины», в апрельский «Вторник Патчей» (Patch Tuesday) было представлено большое количество исправлений для операционной системы и приложений. Microsoft в общей сложности устранила 97 уязвимостей в Windows 10 и 67 уязвимостей в Windows 11. Компания Adobe исправила 62 уязвимости в своих продуктах Reader и Acrobat.

Многие уязвимости обеих компаний были оценены как критические, что привело к плотному графику развертывания в прошлом месяце. По мере приближения лета ожидается увеличение числа выявленных и устраненных уязвимостей, в основном из-за нагнетания геополитической обстановки.

Важно напомнить, что жизненный цикл Internet Explorer 11 завершается 15 июня. IE 11 является последним продуктом в линейке и больше не будет поддерживаться в Teams, Office 365 и большинстве версий операционной системы Windows. Если вам по-прежнему нужен IE 11 для бизнес-процессов, то Microsoft рекомендует использовать режим IE в браузере Edge. Планируется, что эта функция будет поддерживаться в Edge до 2029 года.

Десктопная версия  IE 11 будет продолжать получать обновления безопасности в Windows 8.1, Windows 7 (ESU) и Windows Server LTSC до тех пор, пока не завершится поддержка этих версий Windows. В блоге Tech Community Microsoft ответила на часто задаваемые вопросы по этой теме.

Продолжается популяризация многофакторной аутентификации. Microsoft объявила, что начнет отключать обычную аутентификацию в Exchange Online для клиентов, начиная с октября 2022 года. Это действие будет выполняться для протоколов MAPI, RPC, автономной адресной книги (OAB), веб-служб Exchange (EWS), POP, IMAP и Remote PowerShell. В анонсе на сайте Tech Community также содержатся подробные инструкции о том, как пользователям Basic Auth подготовиться к изменению.

Аналогичным образом, сервис GitHub объявил, что к концу 2023 года все разработчики проектов должны будут использовать двухфакторную аутентификацию. GitHub предоставляет подробные инструкции по настройке и множество опций двухфакторной аутентификации при настройке вашей системы. Двухфакторная аутентификация обеспечивает повышение безопасности на 99% по сравнению с обычным именем пользователям и паролем.

Наконец, не забывайте включать регулярные проверки и обновления драйверов и BIOS, используемых вашими критически важными системами. Мы часто говорим о регулярных обновлениях приложений и операционных систем, которые выпускаются каждый месяц, но драйверы и программное обеспечение BIOS также имеют свой собственный набор обновлений (и уязвимостей). Это программное обеспечение напрямую взаимодействует с прошивкой и хранящейся там информацией о запуске, поэтому такой низкоуровневый взлом системы может оставаться незамеченным в течение длительного периода времени.

В рамках своих последних рекомендаций по безопасности в этом месяце Lenovo предоставила обширный набор обновлений BIOS для своих ноутбуков для устранения CVE-2021-3970, CVE-2021-3971 и CVE-2021-3972. Рассмотрите эти исправления и обновления от других производителей для внедрения как часть процесса распространения исправлений во Вторник Патчей.

Прогноз на «Вторник Патчей», май 2022 года:

• Ожидается стандартный набор обновлений для Windows и Office. Microsoft должна устранить много уязвимостей в своих системах, включая Windows 10 и Windows 11. В прошлом месяце вышло обновление .NET framework, поэтому в этот раз его не ожидаем.
• В прошлом месяце вышло крупное обновление от Adobe, а в этом месяце может быть небольшой релиз.
• Никаких обновлений безопасности или анонсов в апреле от Apple не поступало, поэтому ждем новые релизы в ближайшие недели.
• 2 мая компания Google выпустила Chrome 101.0.4951.54 для Windows, Mac и Linux. Бета-канал для ChromeOS был обновлен еще в конце апреля, так что ждем новое обновление на следующей неделе.
• В среду Mozilla выпустила обновления для Firefox 100, Firefox ESR 91.9 и Thunderbird 91.9. Обновления устраняют уязвимости с высоким риском, поэтому убедитесь, что они включены в ваш цикл обновлений в этом месяце. Новые обновления для этих продуктов на следующей неделе не ожидаются.
• Oracle выпустила критическое обновление продукта для Java с исправлениями 7 уязвимостей, две из которых имеют рейтинг CVSS 9,8. Если вы еще не обновились, обязательно сделайте это в ближайшее время.