Месяц с момента выхода прошлых обновлений безопасности прошел относительно спокойно. Microsoft выпустила внеочередное обновление для .NET framework и .NET core, чтобы решить проблемы с отображением XPS-документов. Эти выпуски не будут устанавливаться через Центр обновления Windows, но их можно получить через Каталог Центра обновления Майкрософт. Есть вероятность, что они станут частью обязательного патча на этой неделе.
Очередной «Вторник Патчей» (Patch Tuesday) в этом году выпадает на День Святого Валентина, но станет ли он праздничным для пользователей? Несмотря на рост активности кибератак, Microsoft в последнее время особо не балует нас патчами. Эта тенденция может продолжиться и на этой неделе, зато Google и Mozilla могут это компенсировать.
Текущие угрозы безопасности
В этом месяце активно обсуждалась старая уязвимость в VMware ESXi, на которую нацелена новая программа-вымогатель. Еще в 2021 году VMware выпустила исправление для CVE-2021-21974, уязвимости переполнения кучи, которая делает возможным удаленное выполнение кода.
Уязвимость связана с протоколом Open Service Location Protocol (OpenSLP). Еще в 2021 году в качестве дополнительной меры по смягчению последствий VMware начала поставлять ПО с отключенной по умолчанию службой. Самая последняя эксплуатация этой уязвимости была зарегистрирована в начале февраля и связана с атакой ESXiArgs. Обнаруженная программа-вымогатель использует эту уязвимость для доступа к гипервизору ESXi и зашифровывает файлы многих типов, связанные с размещаемыми виртуальными системами.
Институт кибербезопасности США выпустил инструмент восстановления, который помогает расшифровать некоторые файлы. Сам факт, что старая уязвимость все еще открыта и эксплуатируется, показывает, что многие организации не спешат исправлять и обновлять потенциально важные системные инфраструктуры. Это может быть связано с игнорированием проблемы, необходимостью оставаться на определенной версии для совместимости бизнес-операций или, возможно, даже с намеренным промедлением. Во всех случаях это подвергает компанию-клиент как минимум риску прерывания работы, а в худшем — успешной эксплуатации.
Когда дело касается ежемесячных обновлений, мы все должны расставлять приоритеты. Многие учитывают показатели общей системы оценки уязвимостей (CVSS) от FIRST. Одной из основных целей расчета CVSS является обеспечение стандартизации, чтобы все CVE оценивались последовательно и могли сравниваться.
Чем выше показатель CVSS для уязвимости и связанного патча, тем важнее его развертывание в большинстве сред. Однако, оценки CVSS могут отличаться. Некоторые из них предоставляются Национальной базой данных уязвимостей (NIST National Vulnerability Database), а некоторые сообщаются непосредственно самими вендорами.
В связи с этим, может показаться, что значения, которые вводятся для вычисления CVSS, могут быть произвольными. Важно помнить, что вендоры исторически использовали собственные термины для описания серьезности, такие как критическая, важная и т. д. Использование оценки серьезности определенного вендора в качестве механизма приоритета может хорошо работать при сравнении всех его исправлений, но не всегда может обеспечить точное сравнение исправлений между вендорами.
Многие организации используют совершенно другую терминологию. Точно так же оценка серьезности от вендора не всегда является положительным показателем — многие уязвимости нулевого дня оцениваются Microsoft как «важные», но могут иметь высокие значения CVSS. Независимо от методологии, используемой для определения приоритетов доступных обновлений, и если вы видите конфликт в результатах, таких как числа CVSS, вы всегда должны учитывать возможные риски с точки зрения подконтрольной среды. Вы лучше всех знаете свои системы, и если сомневаетесь, вам следует исправить наиболее важные из них.
Прогноз на «Вторник Патчей», февраль 2023 года
- В прошлом месяце Microsoft оправдала прогноз по устранению большого количества уязвимостей в связи с завершением поддержки Windows 7 и Windows Server 2008. Даже в Windows 11 и Windows 10 было исправлено 66 и 64 проблем безопасности соответственно. В этом месяце темпы могут снизиться и стоит ожидать лишь небольшой набор обновлений для серверных и настольных ОС.
- Накануне Adobe выпустила свое ежеквартальное обновление для Acrobat и Reader, поэтому теперь ждем только незначительное обновление.
- В конце января Apple выпустила пакет обновлений для macOS 13 Ventura, Monterey и Big Sur, iOS и Safari. Новые обновления в ближайшее время не предвидятся.
- Google выпустила Chrome 110 Stable и Chrome 111 на канале Beta. На этой неделе могут выйти обновления безопасности на стабильном канале.
- Mozilla должна выпустить обновления безопасности для Firefox, Firefox ESR и Thunderbird.
Последние статьи #Windows
• Microsoft добавляет в Copilot лучшие функции из других ИИ: память, действия в браузере и анализ экрана
• В Windows 11 тестируют автоматическое масштабирование значков панели задач при переполнении
• Меню «Пуск» в Windows 11 получит масштабный редизайн. Как попробовать в инсайдерских сборках
• Доступен тестовый пакет для функции «Быстрое восстановление компьютера» в Windows 11
• Обновление KB5055622 (Build 26120.3671) для Windows 11, версия 24H2 (Beta)
• Обновление KB5055625 (Build 26200.5518) для Windows 11, версия 24H2 (Dev)