Январский Вторник Патчей (Patch Tuesday) оказался не очень масштабным: Microsoft исправила 39 уязвимостей в Windows 10, 35 уязвимостей — в Windows 11, и при этом ни одна из них не является уязвимостью нулевого дня.
Прошлый выпуск был необычным: в нем не было обновлений для Office 2013 и Office 2016. Только веб-версии сервисов получили патч против одной уязвимости. Однако, затишье длилось недолго, и вскоре были обнаружены новые проблемы безопасности, используемые в реальных атаках.
Microsoft Server 2025
Microsoft объявила о доступности Server 2025 на канале Windows Server Insider Channel. Компания не назвала официальную дату публичной доступности продукта, но предположительно это будет осень этого года.
Для этих предварительных сборок Microsoft представила процесс обновления под названием «flighting». Он позволяет автоматически или вручную устанавливать обновления «на месте» примерно раз в две недели без необходимости каждый раз устанавливать новую версию.
Новые функции, запланированные для Server 2025, были анонсированы на конференции Microsoft Ignite осенью прошлого года. Среди ключевых улучшений: возможность подписки через Azure Arc (которая также получит обновление), некоторые обновления хранилища Active Directory, обновления безопасности связи с SMB через Quick UDP (QUIC), а также технология Hotpatching. Данный механизм предоставляет обновления в реальном времени в память работающей системы без необходимости перезагружать устройство, чтобы изменения вступили в силу. Процесс выпуска еще не завершен, но вы уже можете протестировать новейшую серверную версию.
Apple, Google, Ivanti и Microsoft
Недавно вышли первые отчеты об уязвимостях «нулевого дня» и некоторые релизы ПО от Apple, Google, Ivanti и Microsoft. 22 января Apple выпустила обновления для всех своих ОС, а также Safari 17.3 для Monterey и Ventura macOS. Эти обновления включают исправление ошибки безопасности CVE-2024-23222, которая позволяет выполнять произвольный код при помощи злонамеренно созданного веб-контента. Apple сообщила, что эта ошибка уже эксплуатируется в реальных атаках, но не предоставила никаких подробностей.
Компания Google выпустила обновления Chrome Stable для Mac, Linux и Windows еще 16 января. В новых версиях устранена уязвимость CVE-2024-0519, которая обеспечивает доступ данным за пределами границ памяти в движке V8. Компания сообщила, что эта уязвимость уже эксплуатируется в реальных атаках, но не привела детали.
Уязвимость нулевого дня под названием EventLogCrasher актуальна для всех версий Windows, но Microsoft считает, что это та же проблема, о которой сообщалось еще в 2022 году. Успешная атака может привести к сбою службы регистрации событий, что может скрыть дополнительную активность в системе. Microsoft сообщила, что проблема будет устранена в будущем обновлении. Рекомендуется как можно скорее устанавливать патчи против уязвимостей нулевого дня, чтобы защититься от потенциальных атак.
23 января Microsoft выпустила предварительные обновления для Windows 10, версия 22H2, Windows 11, версия 22H2 и Windows 11, версия 23H2. Компания сообщает, что «после февраля 2024 года для Windows 11 версии 22H2 больше не будет необязательных предварительных выпусков, не связанных с безопасность». Для этой версии останутся только ежемесячные накопительные обновления безопасности (известные как выпуск «B» или Update Tuesday). Windows 11, версия 23H2 и Windows 10, версия 22H2, будут продолжать получать обновления безопасности и необязательные выпуски.
Компания Ivanti выпустила патчи для пяти уязвимостей, затрагивающих шлюзы Ivanti Connect Secure, Ivanti Policy Secure и ZTA. Три из этих уязвимостей были использованы в реальных атаках, и Ivanti призывает клиентов немедленно установить патчи.
Прогноз на «Вторник Патчей», февраль 2024 года:
- В этом месяце Microsoft должна выпустить полный набор релизов: все обновления ОС Windows 11, Windows Server 2022, Windows 10, Office, SharePoint и Exchange Server. В прошлом месяце вышло обновление фреймворка .NET. Обновления для Server 2012 и 2012 R2 доступны только в рамках программы расширенных обновлений безопасности (ESU).
- Последнее обновление безопасности Adobe Acrobat и Reader вышло в ноябре 2023 года, поэтому ждем новых релизов.
- Apple выпустила широкий спектр обновлений ОС 22 января, поэтому пока ничего не ожидается.
- Google выпустила бета-версию Chrome 122.0.6261.18 для Windows, Mac и Linux еще 31 января. Еще одно обновление ожидаются на днях. Эти обновления являются накопительными, поэтому они будут содержать исправление для CVE-2024-0519, о котором говорилось ранее.
- Mozilla выпустила Firefox 122, Firefox ESR 115.7 и Thunderbird 115.7 23 января. Обновление Firefox содержит исправления 5 уязвимостей с высоким рейтингом и 10 с умеренным рейтингом. Новые релизы пока не ожидаются.
Последние статьи #Windows
• Microsoft PowerToys 0.87.1: исправление проблем стабильности в Windows 10, ошибок .NET 9 и Расширенной вставки
• Microsoft тестирует перевод в режиме реального времени на Copilot+ ПК с процессорами Intel и AMD
• Microsoft рассказала об эксклюзивных функциях Windows 11 для игр. Стоит ли обновляться с Windows 10?
• Microsoft блокирует обновление до Windows 11, версия 24H2 на ПК с включенной функцией Auto HDR из-за проблем с играми
• Microsoft подтвердила проблему с выводом звука в Windows 11, версия 24H2
• GitHub открыл бесплатный доступ к ИИ-инструменту Copilot в VS Code – с поддержкой GPT-4o и Claude 3.5