मई के पैच मंगलवार के अपडेट तत्काल पैचिंग को जरूरी बनाते हैं

पिछले सप्ताह के पैच मंगलवार को 73 अपडेट के साथ शुरू हुआ, लेकिन तीन संशोधनों और देर से जोड़े के साथ (अब तक) समाप्त हुआ (CVE-2022-30138) इस महीने संबोधित कुल 77 कमजोरियों के लिए। अप्रैल में जारी किए गए अपडेट के व्यापक सेट की तुलना में, हम विंडोज को पैच करने में अधिक तात्कालिकता देखते हैं - विशेष रूप से तीन शून्य-दिनों और प्रमुख सर्वर और प्रमाणीकरण क्षेत्रों में कई बहुत गंभीर खामियों के साथ। एक्सचेंज पर भी ध्यान देने की आवश्यकता होगी, क्योंकि नई सर्वर अद्यतन तकनीक.

इस महीने Microsoft ब्राउज़र और Adobe Reader के लिए कोई अपडेट नहीं थे। और Windows 10 20H2 (हम शायद ही आपको जानते थे) अब समर्थन से बाहर है।

आप इन पैच मंगलवार अपडेट को लागू करने के जोखिमों के बारे में अधिक जानकारी प्राप्त कर सकते हैं यह उपयोगी इन्फोग्राफिक, और MSRC केंद्र ने एक अच्छा अवलोकन पोस्ट किया है कि यह सुरक्षा अद्यतनों को कैसे संभालता है यहाँ उत्पन्न करें.

प्रमुख परीक्षण परिदृश्य

इस मई पैच चक्र में शामिल बड़ी संख्या में परिवर्तनों को देखते हुए, मैंने परीक्षण परिदृश्यों को उच्च-जोखिम और मानक-जोखिम समूहों में विभाजित किया है:

भारी जोखिम: इन परिवर्तनों में कार्यक्षमता परिवर्तन शामिल होने की संभावना है, मौजूदा कार्यों का बहिष्कार हो सकता है और संभवतः नई परीक्षण योजनाएँ बनाने की आवश्यकता होगी:

• अपने एंटरप्राइज़ CA प्रमाणपत्रों का परीक्षण करें (नए और नवीनीकृत दोनों)। आपका डोमेन सर्वर KDC इस अपडेट में शामिल किए गए नए एक्सटेंशन को स्वचालित रूप से मान्य करेगा। विफल सत्यापन की तलाश करें!
• इस अद्यतन में ड्राइवर हस्ताक्षर में परिवर्तन शामिल है जिसमें अब टाइमस्टैम्प जाँच भी शामिल है प्रमाणिक हस्ताक्षर. हस्ताक्षरित ड्राइवरों को लोड करना चाहिए। अहस्ताक्षरित ड्राइवरों को नहीं करना चाहिए। असफल ड्राइवर लोड के लिए अपने एप्लिकेशन टेस्ट रन की जाँच करें। हस्ताक्षरित EXE और DLL के लिए भी चेक शामिल करें।

निम्नलिखित परिवर्तनों को कार्यात्मक परिवर्तनों सहित प्रलेखित नहीं किया गया है, लेकिन फिर भी कम से कम "धूम्रपान परीक्षणमे के पैच के सामान्य परिनियोजन से पहले:

• उपयोग करते समय अपने वीपीएन क्लाइंट का परीक्षण करें आरआरएएस सर्वर: कनेक्ट शामिल करें, डिस्कनेक्ट करें (सभी प्रोटोकॉल का उपयोग करके: PPP/PPTP/SSTP/IKEv2)।
• परीक्षण करें कि आपकी EMF फ़ाइलें अपेक्षा के अनुरूप खुलती हैं।
• अपनी विंडोज एड्रेस बुक का परीक्षण करें (WAB) आवेदन निर्भरता।
• बिटलॉकर का परीक्षण करें: अपनी मशीनों को शुरू/बंद करें BitLocker सक्षम और फिर अक्षम।
• सत्यापित करें कि आपके क्रेडेंशियल वीपीएन के माध्यम से सुलभ हैं (देखें माइक्रोसॉफ्ट क्रेडेंशियल मैनेजर).
• अपना परीक्षण करें V4 प्रिंटर ड्राइवर (विशेषकर के बाद के आगमन के साथ) CVE-2022-30138). 

इस महीने के परीक्षण के लिए आपके परीक्षण संसाधनों के लिए कई रीबूट की आवश्यकता होगी और इसमें वर्चुअल और भौतिक दोनों मशीनें (BIOS/UEFI) शामिल होनी चाहिए।

ज्ञात पहलु

Microsoft इस अद्यतन चक्र में शामिल ऑपरेटिंग सिस्टम और प्लेटफ़ॉर्म को प्रभावित करने वाली ज्ञात समस्याओं की एक सूची शामिल करता है:

• इस महीने के अपडेट को स्थापित करने के बाद, कुछ GPU का उपयोग करने वाले Windows डिवाइस के कारण हो सकते हैं apps अनपेक्षित रूप से बंद करने के लिए, या एक अपवाद कोड (मॉड्यूल d0d0000094on3.dll में 9xc12) उत्पन्न करने के लिए apps Direct3D संस्करण 9 का उपयोग करते हुए। Microsoft ने एक प्रकाशित किया है कीर निम्न GPO सेटिंग्स के साथ इस समस्या को हल करने के लिए समूह नीति अद्यतन: Windows 10, संस्करण 2004, Windows 10, संस्करण 20H2, Windows 10, संस्करण 21H1 और Windows 10, संस्करण 21H2 के लिए डाउनलोड करें.
• 11 जनवरी, 2022 या उसके बाद जारी अद्यतनों को स्थापित करने के बाद, apps सक्रिय निर्देशिका फ़ॉरेस्ट ट्रस्ट जानकारी प्राप्त करने या सेट करने के लिए Microsoft .NET Framework का उपयोग करने वाले विफल हो सकते हैं या पहुँच उल्लंघन (0xc0000005) त्रुटि उत्पन्न कर सकते हैं। ऐसा प्रतीत होता है कि अनुप्रयोग जो इस पर निर्भर करते हैं System.DirectoryServices API प्रभावित कर रहे हैं।

Microsoft ने इस रिलीज़ के लिए हाल के सुधारों और अद्यतनों के बारे में चर्चा करते समय वास्तव में अपने खेल को उपयोगी बना दिया है हाइलाइट अपडेट करें वीडियो.

प्रमुख संशोधन

हालांकि अप्रैल की तुलना में इस महीने पैच की बहुत कम सूची है, माइक्रोसॉफ्ट ने तीन संशोधन जारी किए हैं जिनमें शामिल हैं:

• CVE-2022-1096: क्रोमियम: V2022 में CVE-1096-8 टाइप कन्फ्यूजन। इस मार्च पैच को वेबव्यू2022 सामग्री के अद्यतन प्रतिपादन की अनुमति देने के लिए विजुअल स्टूडियो (2) के नवीनतम संस्करण के लिए समर्थन शामिल करने के लिए अद्यतन किया गया है। अब किसी कार्रवाई की आवश्यकता नहीं।
• CVE-2022-24513: विशेषाधिकार भेद्यता का विजुअल स्टूडियो एलिवेशन। इस अप्रैल पैच को विजुअल स्टूडियो के सभी समर्थित संस्करणों (15.9 से 17.1) को शामिल करने के लिए अद्यतन किया गया है। दुर्भाग्य से, इस अपडेट को आपकी विकास टीम के लिए कुछ एप्लिकेशन परीक्षण की आवश्यकता हो सकती है, क्योंकि यह प्रभावित करता है कि वेबव्यू 2 सामग्री कैसे प्रदान की जाती है।
• CVE-2022-30138: विंडोज प्रिंट स्पूलर एलिवेशन ऑफ प्रिविलेज भेद्यता। यह केवल एक सूचनात्मक परिवर्तन है। अब किसी कार्रवाई की आवश्यकता नहीं।

मितीकरण और कामगार

मई के लिए, माइक्रोसॉफ्ट ने एक गंभीर विंडोज नेटवर्क फाइल सिस्टम भेद्यता के लिए एक प्रमुख शमन प्रकाशित किया है:

• CVE-2022-26937: विंडोज नेटवर्क फाइल सिस्टम रिमोट कोड निष्पादन भेद्यता। आप अक्षम करके किसी हमले को कम कर सकते हैं एनएफएसवी2 और एनएफएसवी3. निम्न PowerShell आदेश उन संस्करणों को अक्षम कर देगा: "PS C:Set-NfsServerConfiguration -EnableNFSV2 $false -EnableNFSV3 $false।" एक बार किया। आपको अपने NFS सर्वर को पुनरारंभ करना होगा (या अधिमानतः मशीन को रीबूट करना होगा)। और यह पुष्टि करने के लिए कि NFS सर्वर सही तरीके से अपडेट किया गया है, PowerShell कमांड "PS C:Get-NfsServerConfiguration" का उपयोग करें।

हर महीने, हम निम्नलिखित बुनियादी समूहों के साथ अद्यतन चक्र को उत्पाद परिवारों (जैसा कि Microsoft द्वारा परिभाषित किया गया है) में विभाजित करते हैं: 

• ब्राउज़र (माइक्रोसॉफ्ट आईई और एज);
• माइक्रोसॉफ्ट विंडोज (डेस्कटॉप और सर्वर दोनों);
• माइक्रोसॉफ्ट ऑफिस;
• माइक्रोसॉफ्ट केंद्र;
• माइक्रोसॉफ्ट डेवलपमेंट प्लेटफॉर्म ( ASP.NET कोर, .NET कोर और चक्र कोर);
• Adobe (सेवानिवृत्त???, शायद अगले साल)।

ब्राउज़र्स

माइक्रोसॉफ्ट ने इस महीने अपने लीगेसी (आईई) या क्रोमियम (एज) ब्राउजर के लिए कोई अपडेट जारी नहीं किया है। हम पिछले एक दशक से Microsoft को परेशान करने वाले महत्वपूर्ण मुद्दों की संख्या में गिरावट देख रहे हैं। मेरी भावना यह है कि क्रोमियम प्रोजेक्ट में जाना विकास टीम और उपयोगकर्ताओं दोनों के लिए एक निश्चित "सुपर प्लस-प्लस जीत-जीत" रहा है।

लीगेसी ब्राउज़र की बात करें तो, हमें इसके लिए तैयारी करने की आवश्यकता है आईई . की सेवानिवृत्ति जून के मध्य में आ रहा है। "तैयार" से मेरा मतलब है जश्न मनाना - निश्चित रूप से, हमने उस विरासत को सुनिश्चित किया है apps पुराने IE रेंडरिंग इंजन पर स्पष्ट निर्भरता नहीं है। कृपया अपने ब्राउज़र परिनियोजन शेड्यूल में "IE की सेवानिवृत्ति का जश्न मनाएं" जोड़ें। आपके उपयोगकर्ता समझेंगे।

Windows

विंडोज प्लेटफॉर्म को इस महीने छह महत्वपूर्ण अपडेट मिले हैं और 56 पैच को महत्वपूर्ण दर्जा दिया गया है। दुर्भाग्य से, हमारे पास तीन शून्य-दिन के कारनामे भी हैं:

• CVE-2022-22713: माइक्रोसॉफ्ट के हाइपर-वी वर्चुअलाइजेशन प्लेटफॉर्म में सार्वजनिक रूप से प्रकट की गई इस भेद्यता के लिए एक हमलावर को एक आंतरिक दौड़ की स्थिति का सफलतापूर्वक फायदा उठाने की आवश्यकता होगी ताकि संभावित इनकार-से-सेवा परिदृश्य का नेतृत्व किया जा सके। यह एक गंभीर भेद्यता है, लेकिन सफल होने के लिए कई कमजोरियों का पीछा करना आवश्यक है।
• CVE-2022-26925: दोनों सार्वजनिक रूप से प्रकट किए गए और जंगली में शोषित के रूप में रिपोर्ट किए गए, यह एलएसए प्रमाणीकरण मुद्दा एक वास्तविक चिंता है। पैच करना आसान होगा, लेकिन परीक्षण प्रोफ़ाइल बड़ी है, जिससे इसे जल्दी से तैनात करना कठिन हो जाता है। अपने डोमेन प्रमाणीकरण का परीक्षण करने के अलावा, सुनिश्चित करें कि बैकअप (और पुनर्स्थापित) फ़ंक्शन अपेक्षा के अनुरूप काम कर रहे हैं। हम नवीनतम की जाँच करने की अत्यधिक अनुशंसा करते हैं माइक्रोसॉफ्ट सपोर्ट नोट्स इस पर चल रहा मुद्दा.
• CVE-2022-29972: रेड में यह सार्वजनिक रूप से प्रकट भेद्यताshift ODBC ड्राइवर Synapse अनुप्रयोगों के लिए बहुत विशिष्ट है। लेकिन अगर आप इनमें से किसी के संपर्क में हैं एज़्योर सिनैप्स आरबीएसी भूमिकाएँ, इस अद्यतन को परिनियोजित करना सर्वोच्च प्राथमिकता है।

इन शून्य-दिन के मुद्दों के अलावा, तीन अन्य मुद्दे हैं जिन पर आपको ध्यान देने की आवश्यकता है:

• CVE-2022-26923: सक्रिय निर्देशिका प्रमाणीकरण में यह भेद्यता काफी नहीं है ”चिंता करने योग्य"लेकिन शोषण करना इतना आसान है, मुझे इसे सक्रिय रूप से हमला करते हुए देखकर आश्चर्य नहीं होगा soon. एक बार समझौता करने के बाद, यह भेद्यता आपके संपूर्ण डोमेन तक पहुंच प्रदान करेगी। इसके साथ दांव ऊंचे हैं।
• CVE-2022-26937: इस नेटवर्क फाइल सिस्टम बग की रेटिंग 9.8 है - जो इस साल सबसे ज्यादा रिपोर्ट की गई है। NFS के डिफ़ॉल्ट रूप से सक्षम नहीं है, लेकिन यदि आपके नेटवर्क पर Linux या Unix है, तो आप शायद इसका उपयोग कर रहे हैं। इस समस्या को ठीक करें, लेकिन हम इसे अपग्रेड करने की भी अनुशंसा करते हैं एनएफएसवी4.1 as soon यथासंभव।
• CVE-2022-30138: यह पैच मंगलवार को पैच के बाद जारी किया गया था। यह प्रिंट स्पूलर समस्या केवल पुराने सिस्टम (विंडोज 8 और सर्वर 2012) को प्रभावित करती है, लेकिन परिनियोजन से पहले महत्वपूर्ण परीक्षण की आवश्यकता होगी। यह एक सुपर क्रिटिकल सुरक्षा समस्या नहीं है, लेकिन प्रिंटर-आधारित समस्याओं की संभावना बहुत बड़ी है। इसे तैनात करने से पहले अपना समय लें।

गंभीर कारनामों की संख्या और मई में तीन शून्य-दिनों को देखते हुए, इस महीने के विंडोज अपडेट को अपने "पैच नाउ" शेड्यूल में जोड़ें।

माइक्रोसॉफ्ट ऑफिस

माइक्रोसॉफ्ट ने माइक्रोसॉफ्ट ऑफिस प्लेटफॉर्म (एक्सेल, शेयरपॉइंट) के लिए सिर्फ चार अपडेट जारी किए, जिनमें से सभी को महत्वपूर्ण दर्जा दिया गया है। इन सभी अद्यतनों का उपयोग करना मुश्किल है (उपयोगकर्ता के संपर्क और लक्ष्य प्रणाली तक स्थानीय पहुंच दोनों की आवश्यकता होती है) और केवल 32-बिट प्लेटफॉर्म को प्रभावित करते हैं। इन लो-प्रोफाइल, लो-रिस्क ऑफिस अपडेट्स को अपने स्टैंडर्ड रिलीज शेड्यूल में जोड़ें।

Microsoft Exchange सर्वर

Microsoft ने Exchange सर्वर के लिए एकल अद्यतन जारी किया (CVE-2022-21978) जिसे महत्वपूर्ण दर्जा दिया गया है और जिसका दोहन करना काफी कठिन प्रतीत होता है। इस उन्नयन-से-विशेषाधिकार भेद्यता के लिए सर्वर तक पूरी तरह से प्रमाणित पहुंच की आवश्यकता होती है, और अब तक जंगली में सार्वजनिक प्रकटीकरण या शोषण की कोई रिपोर्ट नहीं मिली है।

इससे भी महत्वपूर्ण बात यह है कि इस महीने, माइक्रोसॉफ्ट ने एक नया पेश किया माइक्रोसॉफ्ट एक्सचेंज सर्वर को अपडेट करने की विधि जिसमें अब शामिल हैं:

• Windows इंस्टालर पैच फ़ाइल (.MSP), जो स्वचालित स्थापनाओं के लिए सर्वोत्तम कार्य करती है।
• सेल्फ-एक्सट्रैक्टिंग, ऑटो-एलिवेटिंग इंस्टॉलर (.exe), जो मैनुअल इंस्टॉलेशन के लिए सबसे अच्छा काम करता है।

यह एक गैर-व्यवस्थापक संदर्भ में अपने सर्वर सिस्टम को अपडेट करने वाले एक्सचेंज एडमिन की समस्या को हल करने का एक प्रयास है, जिसके परिणामस्वरूप खराब सर्वर स्थिति होती है। नया EXE प्रारूप कमांड लाइन इंस्टॉलेशन और बेहतर इंस्टॉलेशन लॉगिंग की अनुमति देता है। Microsoft ने निम्नलिखित EXE कमांड लाइन उदाहरण को मददगार रूप से प्रकाशित किया है:

"Setup.exe /IAcceptExchangeServerLicenseTerms_DiagnosticDataON /PrepareAllDomains"

नोट, Microsoft अनुशंसा करता है कि नए EXE स्थापना स्वरूप का उपयोग करने से पहले आपके पास %Temp% परिवेश चर हो। यदि आप एक्सचेंज को अपडेट करने के लिए EXE का उपयोग करने की नई पद्धति का पालन करते हैं, तो याद रखें कि आपको अभी भी (अलग से) मासिक परिनियोजन करना होगा SSU यह सुनिश्चित करने के लिए अपडेट करें कि आपके सर्वर अद्यतित हैं। इस अद्यतन (या EXE) को अपने मानक रिलीज़ शेड्यूल में जोड़ें, यह सुनिश्चित करते हुए कि सभी अद्यतन पूर्ण होने पर एक पूर्ण रीबूट क्रियान्वित किया जाता है।

माइक्रोसॉफ्ट डेवलपमेंट प्लेटफॉर्म

माइक्रोसॉफ्ट ने महत्वपूर्ण रेटिंग वाले पांच अपडेट जारी किए हैं और कम रेटिंग वाला एक पैच जारी किया है। ये सभी पैच विजुअल स्टूडियो और .NET फ्रेमवर्क को प्रभावित करते हैं। जैसा कि आप इन रिपोर्ट की गई कमजोरियों को दूर करने के लिए अपने विजुअल स्टूडियो इंस्टेंस को अपडेट कर रहे हैं, हम अनुशंसा करते हैं कि आप पढ़ें विजुअल स्टूडियो अप्रैल अपडेट गाइड.

सुरक्षा के दृष्टिकोण से संबोधित विशिष्ट मुद्दों के बारे में अधिक जानने के लिए, मई 2022 .NET ब्लॉग पोस्टिंग अपडेट करें उपयोगी हो जाएगा। नोट किया कि ।NET 5.0 अब समर्थन के अंत में पहुंच गया है और इससे पहले कि आप .NET 7 में अपग्रेड करें, यह कुछ संगतता या "परिवर्तन तोड़ रहा है"जिसे संबोधित करने की आवश्यकता है। इन मध्यम-जोखिम वाले अपडेट को अपने मानक अपडेट शेड्यूल में जोड़ें।

एडोब (वास्तव में सिर्फ पाठक)

मैंने सोचा था कि हम एक प्रवृत्ति देख रहे होंगे। इस महीने के लिए कोई Adobe Reader अपडेट नहीं है। उस ने कहा, Adobe ने यहां पाए गए अन्य उत्पादों के लिए कई अपडेट जारी किए हैं: एपीएसबी22-21. देखते हैं जून में क्या होता है - शायद हम रिटायर हो सकते हैं के छात्रों एडोब रीडर और आईई।