Вторник Патчей, 13 февраля 2024 года: Windows 11 и Windows 10 получат обновления безопасности

2024-02-09 10514 комментарии
13 февраля 2024 года в 21:00 (по МСК), во «Вторник Патчей» компания Microsoft выпустит обновления безопасности для всех поддерживаемых операционных систем, включая Windows 11, Windows 10 и Windows Server 2022

Январский Вторник Патчей (Patch Tuesday) оказался не очень масштабным: Microsoft исправила 39 уязвимостей в Windows 10, 35 уязвимостей — в Windows 11, и при этом ни одна из них не является уязвимостью нулевого дня.

Прошлый выпуск был необычным: в нем не было обновлений для Office 2013 и Office 2016. Только веб-версии сервисов получили патч против одной уязвимости. Однако, затишье длилось недолго, и вскоре были обнаружены новые проблемы безопасности, используемые в реальных атаках.

Microsoft Server 2025

Microsoft объявила о доступности Server 2025 на канале Windows Server Insider Channel. Компания не назвала официальную дату публичной доступности продукта, но предположительно это будет осень этого года.

Для этих предварительных сборок Microsoft представила процесс обновления под названием «flighting». Он позволяет автоматически или вручную устанавливать обновления «на месте» примерно раз в две недели без необходимости каждый раз устанавливать новую версию.

Новые функции, запланированные для Server 2025, были анонсированы на конференции Microsoft Ignite осенью прошлого года. Среди ключевых улучшений: возможность подписки через Azure Arc (которая также получит обновление), некоторые обновления хранилища Active Directory, обновления безопасности связи с SMB через Quick UDP (QUIC), а также технология Hotpatching. Данный механизм предоставляет обновления в реальном времени в память работающей системы без необходимости перезагружать устройство, чтобы изменения вступили в силу. Процесс выпуска еще не завершен, но вы уже можете протестировать новейшую серверную версию.

Apple, Google, Ivanti и Microsoft

Недавно вышли первые отчеты об уязвимостях «нулевого дня» и некоторые релизы ПО от Apple, Google, Ivanti и Microsoft. 22 января Apple выпустила обновления для всех своих ОС, а также Safari 17.3 для Monterey и Ventura macOS. Эти обновления включают исправление ошибки безопасности CVE-2024-23222, которая позволяет выполнять произвольный код при помощи злонамеренно созданного веб-контента. Apple сообщила, что эта ошибка уже эксплуатируется в реальных атаках, но не предоставила никаких подробностей.

Компания Google выпустила обновления Chrome Stable для Mac, Linux и Windows еще 16 января. В новых версиях устранена уязвимость CVE-2024-0519, которая обеспечивает доступ данным за пределами границ памяти в движке V8. Компания сообщила, что эта уязвимость уже эксплуатируется в реальных атаках, но не привела детали.

Уязвимость нулевого дня под названием EventLogCrasher актуальна для всех версий Windows, но Microsoft считает, что это та же проблема, о которой сообщалось еще в 2022 году. Успешная атака может привести к сбою службы регистрации событий, что может скрыть дополнительную активность в системе. Microsoft сообщила, что проблема будет устранена в будущем обновлении. Рекомендуется как можно скорее устанавливать патчи против уязвимостей нулевого дня, чтобы защититься от потенциальных атак.

23 января Microsoft выпустила предварительные обновления для Windows 10, версия 22H2, Windows 11, версия 22H2 и Windows 11, версия 23H2. Компания сообщает, что «после февраля 2024 года для Windows 11 версии 22H2 больше не будет необязательных предварительных выпусков, не связанных с безопасность». Для этой версии останутся только ежемесячные накопительные обновления безопасности (известные как выпуск «B» или Update Tuesday). Windows 11, версия 23H2 и Windows 10, версия 22H2, будут продолжать получать обновления безопасности и необязательные выпуски.

Компания Ivanti выпустила патчи для пяти уязвимостей, затрагивающих шлюзы Ivanti Connect Secure, Ivanti Policy Secure и ZTA. Три из этих уязвимостей были использованы в реальных атаках, и Ivanti призывает клиентов немедленно установить патчи.

Прогноз на «Вторник Патчей», февраль 2024 года:

  • В этом месяце Microsoft должна выпустить полный набор релизов: все обновления ОС Windows 11Windows Server 2022Windows 10, Office, SharePoint и Exchange Server. В прошлом месяце вышло обновление фреймворка .NET. Обновления для Server 2012 и 2012 R2 доступны только в рамках программы расширенных обновлений безопасности (ESU).
  • Последнее обновление безопасности Adobe Acrobat и Reader вышло в ноябре 2023 года, поэтому ждем новых релизов.
  • Apple выпустила широкий спектр обновлений ОС 22 января, поэтому пока ничего не ожидается.
  • Google выпустила бета-версию Chrome 122.0.6261.18 для Windows, Mac и Linux еще 31 января. Еще одно обновление ожидаются на днях. Эти обновления являются накопительными, поэтому они будут содержать исправление для CVE-2024-0519, о котором говорилось ранее.
  • Mozilla выпустила Firefox 122, Firefox ESR 115.7 и Thunderbird 115.7 23 января. Обновление Firefox содержит исправления 5 уязвимостей с высоким рейтингом и 10 с умеренным рейтингом. Новые релизы пока не ожидаются.
© . По материалам Help Net Security
Комментарии и отзывы

Нашли ошибку?

Новое на сайте