Сентябрь оказался богатым на обновления. Вышли новые ОС от Apple и Microsoft, а обнаружение нескольких эксплуатируемых в веб-сервисах уязвимостей привели к эффекту домино: многие вендоры стали выпускать экстренные патчи. Если вы еще не развернули эти обновления, то самое время это сделать.
Уязвимости «нулевого дня»
В сентябре вышло много бюллетеней безопасности, посвященным уязвимостям «нулевого дня». Компания Apple лидирует в этом списке с пятью уязвимостями нулевого дня в большинстве своих продуктов. В течение месяца были выпущены исправления для CVE-2023-41061, CVE-2023-41064, CVE-2023-41991, CVE-2023-41992 и CVE-2023-41993. Кроме того, 26 сентября была выпущена macOS 14 Sonoma, что приведет к скорому окончанию поддержки Big Sur.
Компания Google сильно не отставала: технологический гигант выпустил патчи против трех уязвимостей «нулевого дня», хотя в какой-то момент казалось, что их четыре. Дело в том, что CVE-2023- 4863 и CVE-2023-5127 оказались одной и той же уязвимостью, и CVE-2023-5127 была признана неактуальной. CVE-2023-4863 связана с переполнением буфера кучи в библиотеке libwebp 1.3.2 в версиях Google Chrome до 116.0.5845.187. Уязвимость с критическим рейтингом Chromium и оценкой CVSS 3.1 в 8,6 баллов позволяет удаленному злоумышленнику выполнить запись данных за пределами границ памяти с помощью специально созданной HTML-страницы. CVE-2023-5217 — также уязвимость переполнения буфера кучи в компоненте кодирования VP8, которая может привести к аварийному завершению работы и удаленному выполнению кода.
Эти уязвимости стали причиной выпуска обновлений для Microsoft Edge, десктопных версии Microsoft Teams и Skype, а также для Webp Image Extensions. Они затронули большинство основных браузеров, включая Safari, Firefox и Opera.
Microsoft
В этом месяце Microsoft сделала несколько важных анонсов. Обновление Windows 11, версия 22H2 Moment 4 доступно для пользователей, которые включили опцию Получайте последние обновления, как только они будут доступны в настройках Центра обновления Windows. Важной функцией безопасности в этом выпуске является менеджер ключей доступа для Windows, который использует биометрические данные или ключи безопасности для входа на сайты без пароля, что помогает бороться с фишинговыми атаками.
Октябрьские обновления «Вторника Патчей» будут включать в себя функции Moment 4. Windows 11, версия 23H2 предлагается для инсайдеров канала Release Preview. Публичный релиз состоится в четвертом квартале этого года. Новая версия построена на кодовой базе Windows 11, версия 22H2, поэтому компания Microsoft выпустит небольшой активационный пакет для ускоренного обновления.
Быстрый и бесшовный процесс обновления должен побудить пользователей перейти на новую версию после ее выхода. Наконец, Microsoft объявила, что с 1 октября 2026 года веб-службы обмена (EWS) в Exchange Online официально начнут блокировать запросы EWS от приложений, не принадлежащих Microsoft. В 2018 году компания рекомендовала перейти на Graph API и теперь делает следующий шаг к отказу от EWS. Комментарии сообщества свидетельствуют о том, что Graph API не поддерживает некоторые функции, доступные в EWS, и является не равноценной заменой.
В текущий «Вторник Патчей» будут выпущены последние обновления для Windows 11, версия 21H2 и Microsoft Server 2012/2012 R2. Начиная с ноябрьского выпуска, серверные версии переходят на расширенные обновления безопасности (ESU). Microsoft также объявила, что ключи, используемые для включения этих обновлений, будут управляться как часть Azure Arc. Они должны выйти на этой неделе.
Прогноз на «Вторник Патчей», октябрь 2023 года:
- На этой неделе мы можем увидеть большое количество исправлений уязвимостей от Microsoft, потому что компания перенесет всю сентябрьскую активность в накопительные выпуски ОС, включая Windows 11, Windows Server 2022 и Windows 10, и Edge. Также может быть сделан большой шаг к завершению поддержки Server 2012 на позитивной ноте, оставив устаревшую ОС максимально защищенной. Ожидаются плановые обновления Office, а вот обновления .NET framework вышли в сентябре, поэтому в этот раз их релиз маловероятен.
- Adobe Acrobat и Adobe Reader получили очередное обновление в прошлом месяце, но компания часто поступает непредсказуемо, поэтому мы можем увидеть очередное обновление для этих продуктов.
- Компания Apple была очень активна в сентябре — в общей сложности было выпущено более 20 обновлений. Учитывая большую коллекцию патчей против уязвимостей «нулевого дня» убедитесь, что у вас установлены последние версии iOS и macOS. В ближайшее время ожидается обновление Sonoma. Новые версии ОС часто включают ошибки и уязвимости, что может стать причиной очередных обновлений.
- На этой недели ожидаются очередные обновления Chrome для Linux, macOS и Windows.
- Mozilla выпустила последние обновления для Firefox, Firefox ESR и Thunderbird 28 сентября, поэтому на этой неделе ожидается еще одна порция обновлений.
Внимательно изучите все обновления, прежде чем ставить их в очередь на развертывание. Необходимо убедиться, что все исправления уязвимостей «нулевого дня», вышедшие в прошлом месяце, включены либо в новое накопительное обновление. Если же производитель не выпустил обновление, проверьте, что вы развернули соответствующий критический патч.
Последние статьи #Windows
• Microsoft PowerToys 0.87.1: исправление проблем стабильности в Windows 10, ошибок .NET 9 и Расширенной вставки
• Microsoft тестирует перевод в режиме реального времени на Copilot+ ПК с процессорами Intel и AMD
• Microsoft рассказала об эксклюзивных функциях Windows 11 для игр. Стоит ли обновляться с Windows 10?
• Microsoft блокирует обновление до Windows 11, версия 24H2 на ПК с включенной функцией Auto HDR из-за проблем с играми
• Microsoft подтвердила проблему с выводом звука в Windows 11, версия 24H2
• GitHub открыл бесплатный доступ к ИИ-инструменту Copilot в VS Code – с поддержкой GPT-4o и Claude 3.5