Вторник Патчей, 8 ноября 2022 года: Windows 11 и Windows 10 получат обновления безопасности

2022-11-04 9031 комментарии
8 ноября 2022 года в 21:00 (по МСК), в очередной «Вторник Патчей», Microsoft выпустит обновления безопасности для всех поддерживаемых операционных систем, включая Windows 11 и Windows 10

Прошлый Вторник Патчей, который прошел 11 октября 2022 года, был немного необычным, потому что через неделю после него Microsoft выпустила еще одну серию обновлений, не связанных с безопасностью.

Компания исправила некоторые обнаруженные проблемы с SSL и TLS соединениями, в результате чего пользователям и организациям пришлось проводить еще один незапланированный цикл исправлений. Редмонд так и не исправил несколько раскрытых уязвимостей нулевого дня, заставив администраторов отслеживать выход патчей. Предстоящий Вторник Патчей может стать особенно важным, и по нему можно будет подводить итоги года.

Уязвимости OpenSSL

Сообщения об уязвимостях в OpenSSL 3 вызвали широкий резонанс в прессе. Обнаружены две уязвимости переполнения буфера с идентификаторами CVE-2022-3602 и CVE-2022-3786. Первой уязвимости был присвоен рейтинг опасности «Критический» из-за возможности удаленного выполнения кода, но позже рейтинг был понижен до «Высокого» из-за сложности эксплуатации. Вторая уязвимость получила рейтинг «Высокий» из-за возможности атаки типа «отказ в обслуживании».

Данные уязвимости присутствуют в версиях OpenSSL от 3.0.0 до 3.0.6, но исправлены в версии 3.0.7. Ограниченное использование новейших версий также способствовало получению рейтинга серьезности «Высокий». Изначально исследователи опасались, что CVE-2022-3602 может привести к еще одной ситуации Heartbleed, которая действительно вызвала широкомасштабное использование CVE-2014-0160 в OpenSSL в 2014 году. Хорошая новость заключается в том, что данные уязвимости гораздо сложнее эксплуатировать. Тем не менее, рекомендуется обновиться до последней версии OpenSSL во время следующего цикла исправлений, чтобы защититься от потенциальных атак.

Внеочередные обновления

В октябре Microsoft выпустила несколько внеплановых обновлений, не связанных с безопасностью. Всего через неделю после последнего Вторника Патчей для большинства серверных и клиентских систем было выпущено обновление для решения «проблемы, которая может повлиять на некоторые типы соединений Secure Sockets Layer (SSL) и Transport Layer Security (TLS). Проблема может приводить к сбоям рукопожатия». Развертывание исправления не потребуется, если у вас нет проблем с подключением. Подробная информация доступна в отдельном бюллетене.

28 октября 2022 года вышло внеочередное обновление KB5020953, исправляющее проблемы с синхронизацией OneDrive, которые могли привести к неработоспособности клиентского приложения. Если вы столкнулись с этой проблемой, то обновление необходимо было устанавливать и загружать вручную. Теперь оно будет предложено автоматически в рамках Вторника Патчей.

Microsoft и Google

30 сентября 2022 года Microsoft раскрыла две новые уязвимости нулевого дня. Компания предоставила некоторые инструменты для ручного устранения уязвимости Exchange Server, связанной с повышением привилегий (CVE-2022-41040) и уязвимостью удаленного выполнения кода Exchange Server (CVE-2022-41082), связанной с атаками ProxyNotShell. Несмотря на октябрьский Вторник Патчей и несколько внеплановых выпусков, Microsoft так и не исправила эти уязвимости. Вероятно, что патчи могут выйти на следующей неделе.

Windows 7 и Server 2008/2008 R2 будут получать обновления еще три месяца, последнее расширенное обновление безопасности (ESU) для этих систем выйдет 10 января 2023 года. Google также объявил, что прекращает поддержку Chrome для Windows 7 в феврале 2023 года. Chrome 109 станет последней версией браузера, поддерживающей эти операционные системы.

Microsoft упомянула на конференции Ignite в этом году про ребрендинг 32-летнего пакета Office в Microsoft 365. В маркетинговых каналах компании уже появляются сигналы об этом, и вы можете увидеть некоторые фактические изменения названия, начиная с ноябрьских обновлений.

Прогноз на «Вторник Патчей», ноябрь 2022 года:

  • Windows 11Windows 10 и поддерживаемые серверные продукты получат стандартный набор обновлений. Microsoft также уделяет особое внимание расширенным обновлениям безопасности для устаревших систем. В последнее время было исправлено более 40 уязвимостей, и эта тенденция должна сохраниться и в этом месяце. 
  • Обновление Microsoft Exchange Server в этом месяце должно устранить две обнаруженные уязвимости нулевого дня. Следите за Microsoft Office, поскольку продукт постепенно превращается в Microsoft 365. Как и в случае с обновлениями ESU, перед новогодними праздниками, вероятно, будет предпринята попытка устранить открытые уязвимости во всех оставшихся операционных системах.
  • Крупные обновления для Adobe Acrobat и Adobe Reader не предвидятся, не небольшой патч с исправлениями нескольких отдельных уязвимостей вполне возможен.
  • 24 октября 2022 года Apple выпустила новейшую macOS 13 Ventura. В тот же день были выпущены Big Sur 11.7.1 и Monterey 12.6.1. Эти обновления безопасности должны быть включены в этот цикл исправлений, если вы еще не обновились.
  • На этой неделе были обновлены бета-каналы Google для ChromeOS и браузера Chrome. В ближайшее время обновления должны появиться на стабильном канале. Кроме того, на этой неделе Google обновил канал долгосрочной поддержки до версии 102.0.5005.184.
  • Последние обновления Mozilla для Thunderbird, Firefox и Firefox ESR были выпущены 18 октября. На следующей неделе может выйти еще один пакет обновлений для всех трех продуктов.

Надеемся, что в этот раз Microsoft предоставит обновления, устраняющие неисправленные уязвимости нулевого дня, чтобы мы могли перейти к новогодним праздникам с безопасными и стабильными системами.

© . По материалам Help Net Security
Комментарии и отзывы

Нашли ошибку?

Новое на сайте