«Вторник Патчей», 12 сентября 2023 года: Windows 11 и Windows 10 получат обновления безопасности

В августе Microsoft исправила только 33 уязвимости в Windows 10 и Windows 11, что примерно в три раза меньше, чем в июле. Несмотря на этот спад, компания выпустила обновления безопасности для широкого спектра своих продуктов, в том числе Microsoft Exchange Server, .NET Framework и даже SQL Server.

Приближаются даты окончания обслуживания некоторых продуктов Microsoft, и системным администраторам рекомендуется заранее планировать миграции. Кроме того, при составлении прогноза важно учитывать последние заявления правительства США.

Национальный институт стандартов и технологий (NIST)

8 августа 2023 года Национальный институт стандартов и технологий (The National Institute of Standards and Technology, NIST) объявил о старте обсуждения Платформы кибербезопасности версии 2.0 (Cybersecurity Framework, CSF). Незадолго до этого была анонсирована предварительная версия стандарта Common Vulnerability Scoring System (CVSS) версии 4.0 от международного сообщества FIRST (Forum of Incident Response and Security Teams — Форум команд по обеспечению безопасности и реагирования на инциденты). Ожидается, что CVSS 4.0 будет опубликован 1 октября, а NIST будет собирать обратную связь до 4 ноября, после чего выпустит окончательную версию документа в начале 2024 года.

CSF был первоначально выпущен в 2014 году и уже прошел испытание временем, но теперь платформу ждет масштабное обновление. В анонсе названы три основных изменения на основе комментариев пользователей.

Если изначально CSF предназначался только для критической инфраструктуры, то теперь система ориентирована на все типы сред.

NIST добавил новую функцию govern к существующим пяти: identify, protect, detect, respond, и recover. Согласно NIST, она «охватывает то, как организация может принимать и исполнять свои собственные внутренние решения для поддержки стратегии кибербезопасности». Новая функция помогает организациям учитывать риски своего бизнеса и определять приоритеты своих действий.

Реагируя на просьбы дать дополнительные рекомендации по внедрению CSF, NIST добавил концепцию профилей для адаптации структуры к конкретным случаям использования. Профили включают примеры эффективного использования концепции. Кроме того, в CSF ведется активная работа по созданию перекрестных ссылок на другие системы, включая CIS Security Controls, ISO 27000 и др. Пользователи CSF сейчас могут воспользоваться возможностью и высказать свои предложения и замечания.

Совет по контролю обеспечения кибербезопасности

Совет по контролю обеспечения кибербезопасности (Cyber Safety Review Board, CSRB) при Министерстве внутренней безопасности США (Department of Homeland Security, DHS) объявил о планируемом проведении третьего в этом году рассмотрения вредоносных атак на облачные вычислительные среды.

Организация сообщает:

Мы сосредоточимся на подходах, которые должны использовать правительство, представители индустрии и поставщики облачных услуг для усиленного управления идентификацией и аутентификацией в облаке.

Данная инициатива была разработана в ответ на атаки на Microsoft Exchange Online в начале этого года. Это совместное мероприятие правительства и вендоров, направленное на анализ произошедшего события, определение его первопричины и выработку рекомендаций на основе извлеченных уроков. CSRB не обладает полномочиями по регулированию или правоприменению, но будет интересно проанализировать предложенные рекомендации.

Windows 11, версия 23H2

Windows 11, версия 23H2 доступна для участников программы предварительной оценки Windows Insider на канале Beta. С выходом этого релиза прекратиться жизненный цикл Windows 11, версия 21H2. Последние обновления безопасности для этой ОС будут выпущены в в следующем месяце, во «Вторник Патчей», 10 октября 2023 года. Также после этой даты Windows Server 2012 и Windows Server 2012 R2 переходят на программу расширенных обновлений безопасности (ESU).

Администраторам рекомендуется планировать миграцию заранее. Еще одно интересное заявление от Microsoft: прекращается поддержка WordPad. Текстовый редактор признан устаревшим и будет удален из будущих версий ОС. Редмонд рекомендует использовать Microsoft Word, когда необходимы широкие возможности редактирования и творчества, и Блокнот для работы с простыми текстовыми документами.

Прогноз на «Вторник Патчей», сентябрь 2023 года:

• В сентябре Microsoft может выпустить больше исправлений для Windows 11, Windows Server 2022 и Windows 10, чем в августе, но для меньшего числа продуктов. Такой прогноз в том числе связан с приближением даты окончания жизненного цикла Microsoft Server 2012. Ждем традиционные обновления для поддерживаемых операционных систем и Microsoft Office.
• Обновления для Acrobat и Reader не предвидятся, потому что в августе вышло крупное обновление этих продуктов.
• На прошлой неделе Apple устранила две уязвимости «нулевого дня», используемые в атаках на iPhone и Mac. Возможен выход дополнительных обновлений безопасности во второй половине месяца. Кроме того, доступна для тестирования бета-версия macOS Sonoma, а релиз ожидается к концу года.
• С выходом Chrome 116 Google стал еженедельно выпускать обновления канала Stable. Во вторник 5 сентября вышли новые версии Chrome 116.0.5845.179 для Mac и Linux и Chrome 116.0.5845.179/.180 для Windows, а на этой неделе ждем очередные обновления.
• Последние обновления для Firefox, Firefox ESR, Thunderbird вышли относительно давно — 29 августа, поэтому ждем обновления на этой неделе.

Эта неделя станет очень насыщенной: должны выйти исправления от Microsoft и релизы популярных продуктов от Google и Mozilla. Не забудьте взглянуть на Cybersecurity Framework версии 2.0 от NIST. Даже если у вас нет замечаний, вы можете получить представление о том, как улучшить вашу систему безопасности.