«Вторник Патчей», 8 августа 2023: Windows 11 и Windows 10 получат обновления безопасности

Продолжающийся натиск фишинговых атак, распространение программ-вымогателей и другие виды эксплойтов заставляют сообщество компаний-разработчиков ПО уделять повышенное внимание раннему выявлению и быстрому реагированию на уязвимости в своих продуктах. Только в июле Microsoft устранила 84 уязвимости в Windows 11, 99 уязвимостей в Windows 10 и 69 уязвимостей в Windows Server 2012. Примечательно, что внимание к тестированию безопасности и созданию более совершенных средств защиты постепенно растет.

CVSS 4.0

На прошлой неделе завершилась публичная предварительная оценка нового стандарта CVSS 4.0. На данном этапе дается последняя возможность внести дополнения в этот важный инструмент безопасности. Комментарии находятся на рассмотрении, и международная организация FIRST (Forum of Incident Response and Security Teams) планирует опубликовать стандарт 1 октября этого года. Изменения были достаточно существенными, чтобы сменить версию 3.1. В обновлении будут приятны изменения в номенклатуре. Метрика Temporal была переименована в метрику Threat, что соответствует отраслевым стандартам. FIRST также уточнила терминологию, добавив обозначения Base, Environment и Threat, которые наглядно показывают, какие факторы используются в расчетах.

Например, методика CVSS-B использует только базовые метрики для расчета «чистого» балла серьезности уязвимости без учета окружения и угроз, в то время как CVSS-BTE учитывает базовые метрики, метрики окружения и угроз, что позволяет определить риск, связанный с уязвимостью. Это большой шаг вперед в обеспечении четкого понимания того, что включает в себя каждая оценка.

Еще одно изменение, требующее внимание — новая группа дополнительных показателей (Supplemental Metrics Group), предоставляющая информацию об автоматизации, восстановлении, усилиях по устранению уязвимости и других важных факторах, которые связаны с уязвимостью и могут быть важны при определении приоритетности обновлений. CVSS продолжает развиваться, оставаясь актуальным и важным фактором в процессах исправления. Будем следить за выходом финальной версии в конце этого года.

Именно уязвимость Log4j привлекла внимание к необходимости более тщательного тестирования безопасности при разработке ПО. Согласно последним отчетам, разработчики стали уделять больше времени анализу и тестированию безопасности, но это все еще менее 50% всех компаний. Положительным моментом является то, что 94% этих компаний усовершенствовали процессы тестирования, которые они применяли до появления уязвимости Log4j.

Другая позитивная новость заключается в том, что в течение 2022 года время исправления уязвимостей в ПО с открытым исходным кодом сократилось почти на 50%. Очевидно, что тестирование безопасности ПО будет развиваться и в настоящее время находится на подъеме.

Уязвимости Ivanti

Компания Ivanti продолжает расследование двух критических уязвимостей, которые были публично раскрыты одновременно с выпуском исправления 24 и 28 июля соответственно. Уязвимости в Ivanti Endpoint Manager Mobile (EPMM) были использованы в целевых атаках.

1 августа 2023 года CISA и NCSC-NO выпустили совместный бюллетень безопасности по CVE-2023-35078 и CVE-2023-35081 и призвали организации применить выпущенные ими исправления. Компания Ivanti продолжает активно работать с клиентами по обновлению их устройств.

Для клиентов, работающих с поддерживаемыми версиями EPMM, рекомендуется применить последнее исправление для CVE-2023-35081. Если вы используете неподдерживаемую версию, компания Ivanti настоятельно рекомендует обновиться. Для пользователей неподдерживаемых версий доступен вариант исправления CVE-2023-35078, описанный на отдельной странице.

Поддерживаемые версии EPMM (11.8.1.1, 11.9.1.1, 11.10.0.2)

• Обновите EPMM с помощью патчей (11.8.1.2, 11.9.1.2 и 11.10.0.3) с портала системного менеджера.

Неподдерживаемые релизы EPMM (<11.8.1.1)

• Компания Ivanti настоятельно рекомендует обновить EPMM до последней версии, чтобы гарантировать наличие последних исправлений безопасности и стабильности. Более подробную информацию об обновлении можно найти по ссылке.

Прогноз на «Вторник Патчей», август 2023 года:

• В июле Microsoft исправила большое количество уязвимостей в Windows и Microsoft Office, и в этом месяце их может быть несколько меньше. Всегда существует вероятность обновления .NET Framework или SQL Server.
• Последние обновления безопасности для Adobe Acrobat и Adobe Reader вышли 11 апреля, поэтому вероятность выхода свежих патчей велика.
• 24 июля был днем патчей в Apple. Были выпущены обновления безопасности для Big Sur, Monterey, Venture, iOS и iPadOS. Следует помнить, что они включают в себя все обновления «Быстрый ответ на угрозы», которые были выпущены после последнего крупного релиза. Вероятно, на этой неделе обновлений от Apple не будет.
• На прошлой неделе был обновлен канал долгосрочной поддержки Chrome OS 108.0.5359.239. В обновлении устранены 6 уязвимостей с высоким и 2 со средним рейтингом. Аналогичным образом был обновлен стабильный канал настольной версии браузера Chrome до версии 115.0.5790.170 для Mac и Linux и 115.0.5790.170/.171 для Windows. В нем устранено 17 уязвимостей, 9 из которых имеют «Высокий» рейтинг, а две — «Средний». Также была выпущена бета-версия Chrome 116, а на этой неделе ожидаем стабильный релиз Chrome 116.
• Организация Mozilla на прошлой неделе выпустила обновления безопасности Firefox 116.0.1, Firefox ESR 115.1.0, Thunderbird 115.1, Firefox ESR 102.14 и Thunderbird 102.14. Свежие обновления пока не ожидаются.