Вторник Патчей, 8 ноября 2022 года: Windows 11 и Windows 10 получат обновления безопасности

Прошлый Вторник Патчей, который прошел 11 октября 2022 года, был немного необычным, потому что через неделю после него Microsoft выпустила еще одну серию обновлений, не связанных с безопасностью.

Компания исправила некоторые обнаруженные проблемы с SSL и TLS соединениями, в результате чего пользователям и организациям пришлось проводить еще один незапланированный цикл исправлений. Редмонд так и не исправил несколько раскрытых уязвимостей нулевого дня, заставив администраторов отслеживать выход патчей. Предстоящий Вторник Патчей может стать особенно важным, и по нему можно будет подводить итоги года.

Уязвимости OpenSSL

Сообщения об уязвимостях в OpenSSL 3 вызвали широкий резонанс в прессе. Обнаружены две уязвимости переполнения буфера с идентификаторами CVE-2022-3602 и CVE-2022-3786. Первой уязвимости был присвоен рейтинг опасности «Критический» из-за возможности удаленного выполнения кода, но позже рейтинг был понижен до «Высокого» из-за сложности эксплуатации. Вторая уязвимость получила рейтинг «Высокий» из-за возможности атаки типа «отказ в обслуживании».

Данные уязвимости присутствуют в версиях OpenSSL от 3.0.0 до 3.0.6, но исправлены в версии 3.0.7. Ограниченное использование новейших версий также способствовало получению рейтинга серьезности «Высокий». Изначально исследователи опасались, что CVE-2022-3602 может привести к еще одной ситуации Heartbleed, которая действительно вызвала широкомасштабное использование CVE-2014-0160 в OpenSSL в 2014 году. Хорошая новость заключается в том, что данные уязвимости гораздо сложнее эксплуатировать. Тем не менее, рекомендуется обновиться до последней версии OpenSSL во время следующего цикла исправлений, чтобы защититься от потенциальных атак.

Внеочередные обновления

В октябре Microsoft выпустила несколько внеплановых обновлений, не связанных с безопасностью. Всего через неделю после последнего Вторника Патчей для большинства серверных и клиентских систем было выпущено обновление для решения «проблемы, которая может повлиять на некоторые типы соединений Secure Sockets Layer (SSL) и Transport Layer Security (TLS). Проблема может приводить к сбоям рукопожатия». Развертывание исправления не потребуется, если у вас нет проблем с подключением. Подробная информация доступна в отдельном бюллетене.

28 октября 2022 года вышло внеочередное обновление KB5020953, исправляющее проблемы с синхронизацией OneDrive, которые могли привести к неработоспособности клиентского приложения. Если вы столкнулись с этой проблемой, то обновление необходимо было устанавливать и загружать вручную. Теперь оно будет предложено автоматически в рамках Вторника Патчей.

Microsoft и Google

30 сентября 2022 года Microsoft раскрыла две новые уязвимости нулевого дня. Компания предоставила некоторые инструменты для ручного устранения уязвимости Exchange Server, связанной с повышением привилегий (CVE-2022-41040) и уязвимостью удаленного выполнения кода Exchange Server (CVE-2022-41082), связанной с атаками ProxyNotShell. Несмотря на октябрьский Вторник Патчей и несколько внеплановых выпусков, Microsoft так и не исправила эти уязвимости. Вероятно, что патчи могут выйти на следующей неделе.

Windows 7 и Server 2008/2008 R2 будут получать обновления еще три месяца, последнее расширенное обновление безопасности (ESU) для этих систем выйдет 10 января 2023 года. Google также объявил, что прекращает поддержку Chrome для Windows 7 в феврале 2023 года. Chrome 109 станет последней версией браузера, поддерживающей эти операционные системы.

Microsoft упомянула на конференции Ignite в этом году про ребрендинг 32-летнего пакета Office в Microsoft 365. В маркетинговых каналах компании уже появляются сигналы об этом, и вы можете увидеть некоторые фактические изменения названия, начиная с ноябрьских обновлений.

Прогноз на «Вторник Патчей», ноябрь 2022 года:

• Windows 11, Windows 10 и поддерживаемые серверные продукты получат стандартный набор обновлений. Microsoft также уделяет особое внимание расширенным обновлениям безопасности для устаревших систем. В последнее время было исправлено более 40 уязвимостей, и эта тенденция должна сохраниться и в этом месяце. 
• Обновление Microsoft Exchange Server в этом месяце должно устранить две обнаруженные уязвимости нулевого дня. Следите за Microsoft Office, поскольку продукт постепенно превращается в Microsoft 365. Как и в случае с обновлениями ESU, перед новогодними праздниками, вероятно, будет предпринята попытка устранить открытые уязвимости во всех оставшихся операционных системах.
• Крупные обновления для Adobe Acrobat и Adobe Reader не предвидятся, не небольшой патч с исправлениями нескольких отдельных уязвимостей вполне возможен.
• 24 октября 2022 года Apple выпустила новейшую macOS 13 Ventura. В тот же день были выпущены Big Sur 11.7.1 и Monterey 12.6.1. Эти обновления безопасности должны быть включены в этот цикл исправлений, если вы еще не обновились.
• На этой неделе были обновлены бета-каналы Google для ChromeOS и браузера Chrome. В ближайшее время обновления должны появиться на стабильном канале. Кроме того, на этой неделе Google обновил канал долгосрочной поддержки до версии 102.0.5005.184.
• Последние обновления Mozilla для Thunderbird, Firefox и Firefox ESR были выпущены 18 октября. На следующей неделе может выйти еще один пакет обновлений для всех трех продуктов.

Надеемся, что в этот раз Microsoft предоставит обновления, устраняющие неисправленные уязвимости нулевого дня, чтобы мы могли перейти к новогодним праздникам с безопасными и стабильными системами.