ການປັບປຸງ Patch ຂອງເດືອນພຶດສະພາເຮັດໃຫ້ການ patching ຮີບດ່ວນ

Patch ອາທິດທີ່ຜ່ານມານີ້ເລີ່ມຕົ້ນດ້ວຍ 73 ການປັບປຸງ, ແຕ່ສິ້ນສຸດລົງ (ມາຮອດປັດຈຸບັນ) ດ້ວຍການດັດແກ້ສາມຄັ້ງແລະການເພີ່ມເຕີມຊ້າ (CVE-2022-30138) ສໍາລັບຈໍານວນ 77 ຊ່ອງໂຫວ່ທີ່ໄດ້ແກ້ໄຂໃນເດືອນນີ້. ເມື່ອປຽບທຽບກັບຊຸດການປັບປຸງທີ່ກວ້າງຂວາງທີ່ປ່ອຍອອກມາໃນເດືອນເມສາ, ພວກເຮົາເຫັນຄວາມຮີບດ່ວນຫຼາຍກວ່າເກົ່າໃນການ patching Windows - ໂດຍສະເພາະກັບສາມສູນມື້ແລະຂໍ້ບົກພ່ອງທີ່ຮ້າຍແຮງຫຼາຍໃນເຄື່ອງແມ່ຂ່າຍທີ່ສໍາຄັນແລະພື້ນທີ່ການກວດສອບ. ການແລກປ່ຽນຈະຮຽກຮ້ອງໃຫ້ມີຄວາມສົນໃຈ, ເຊັ່ນດຽວກັນ, ເນື່ອງຈາກ ເທກໂນໂລຍີການປັບປຸງເຄື່ອງແມ່ຂ່າຍໃຫມ່.

ບໍ່ມີການປັບປຸງໃນເດືອນນີ້ສໍາລັບຕົວທ່ອງເວັບຂອງ Microsoft ແລະ Adobe Reader. ແລະ Windows 10 20H2 (ພວກ​ເຮົາ​ບໍ່​ຄ່ອຍ​ຮູ້​ວ່າ​ທ່ານ​) ໃນ​ປັດ​ຈຸ​ບັນ​ແມ່ນ​ບໍ່​ໄດ້​ຮັບ​ການ​ຮອງ​ຮັບ​.

ທ່ານສາມາດຊອກຫາຂໍ້ມູນເພີ່ມເຕີມກ່ຽວກັບຄວາມສ່ຽງຂອງການນໍາໃຊ້ການປັບປຸງ Patch Tuesday ເຫຼົ່ານີ້ໃນ ນີ້ infographic ທີ່ເປັນປະໂຫຍດ, ແລະສູນ MSRC ໄດ້ເຜີຍແຜ່ພາບລວມທີ່ດີຂອງວິທີການຈັດການກັບການປັບປຸງຄວາມປອດໄພ ທີ່ນີ້.

ສະຖານະການທົດສອບທີ່ສໍາຄັນ

ເນື່ອງຈາກການປ່ຽນແປງຈໍານວນຫລາຍທີ່ລວມຢູ່ໃນຮອບ Patch ເດືອນພຶດສະພານີ້, ຂ້ອຍໄດ້ແຍກສະຖານະການທົດສອບອອກເປັນກຸ່ມທີ່ມີຄວາມສ່ຽງສູງແລະມາດຕະຖານ:

ມີ​ຄວາມ​ສ່ຽງ​ສູງ: ການ​ປ່ຽນ​ແປງ​ເຫຼົ່າ​ນີ້​ມີ​ແນວ​ໂນ້ມ​ທີ່​ຈະ​ປະ​ກອບ​ມີ​ການ​ປ່ຽນ​ແປງ​ການ​ທໍາ​ງານ​, ອາດ​ຈະ​ປະ​ຕິ​ເສດ​ຫນ້າ​ທີ່​ທີ່​ມີ​ຢູ່​ແລ້ວ​ແລະ​ອາດ​ຈະ​ຕ້ອງ​ການ​ສ້າງ​ແຜນ​ການ​ທົດ​ສອບ​ໃຫມ່​:

• ທົດສອບໃບຢັ້ງຢືນ CA ວິສາຫະກິດຂອງທ່ານ (ທັງໃໝ່ ແລະຕໍ່ອາຍຸ). ເຊີບເວີໂດເມນຂອງທ່ານ ບໍລິສັດ KDC ຈະກວດສອບສ່ວນຂະຫຍາຍໃໝ່ທີ່ຮວມຢູ່ໃນການອັບເດດນີ້ໂດຍອັດຕະໂນມັດ. ຊອກຫາການກວດສອບທີ່ລົ້ມເຫລວ!
• ການອັບເດດນີ້ລວມມີການປ່ຽນລາຍເຊັນຄົນຂັບທີ່ຕອນນີ້ລວມມີການກວດສອບເວລານຳ ລາຍເຊັນຂອງລະຫັດຢືນຢັນ. ໄດເວີທີ່ລົງນາມຄວນໂຫລດ. ຄົນຂັບລົດທີ່ບໍ່ມີລາຍເຊັນບໍ່ຄວນ. ກວດເບິ່ງການທົດສອບຄໍາຮ້ອງສະຫມັກຂອງທ່ານສໍາລັບການໂຫຼດໄດເວີທີ່ລົ້ມເຫລວ. ລວມເອົາການກວດສອບ EXEs ແລະ DLLs ທີ່ເຊັນແລ້ວ.

ການ​ປ່ຽນ​ແປງ​ດັ່ງ​ຕໍ່​ໄປ​ນີ້​ບໍ່​ໄດ້​ຖືກ​ບັນ​ທຶກ​ລວມ​ທັງ​ການ​ປ່ຽນ​ແປງ​ທີ່​ເປັນ​ປະ​ໂຫຍດ​, ແຕ່​ຍັງ​ຈະ​ຕ້ອງ​ການ​ຢ່າງ​ຫນ້ອຍ "ການທົດສອບຄວັນຢາສູບ” ກ່ອນ​ການ​ນໍາ​ໃຊ້​ທົ່ວ​ໄປ​ຂອງ​ການ​ເພີ້ມ​ຂອງ​ເດືອນ​ພຶດ​ສະ​ພາ​:

• ທົດສອບລູກຄ້າ VPN ຂອງທ່ານໃນເວລາໃຊ້ RRAS ເຊີບເວີ: ລວມມີການເຊື່ອມຕໍ່, ຕັດການເຊື່ອມຕໍ່ (ໃຊ້ໂປຣໂຕຄໍທັງໝົດ: PPP/PPTP/SSTP/IKEv2).
• ທົດສອບວ່າໄຟລ໌ EMF ຂອງທ່ານເປີດຕາມທີ່ຄາດໄວ້.
• ທົດສອບປື້ມທີ່ຢູ່ Windows ຂອງທ່ານ (WAB) ການ​ຂຶ້ນ​ກັບ​ຄໍາ​ຮ້ອງ​ສະ​ຫມັກ​.
• ທົດສອບ BitLocker: ເລີ່ມຕົ້ນ / ຢຸດເຄື່ອງຂອງທ່ານດ້ວຍ Bitlocker ເປີດໃຊ້ງານແລ້ວປິດໃຊ້ງານ.
• ກວດສອບວ່າຂໍ້ມູນປະຈຳຕົວຂອງເຈົ້າສາມາດເຂົ້າເຖິງໄດ້ຜ່ານ VPN (ເບິ່ງ Microsoft Credential Manager).
• ທົດສອບຂອງເຈົ້າ ໄດເວີເຄື່ອງພິມ V4 (ໂດຍສະເພາະກັບການມາເຖິງຕໍ່ມາຂອງ CVE-2022-30138). 

ການທົດສອບຂອງເດືອນນີ້ຈະຮຽກຮ້ອງໃຫ້ມີການ reboot ຫຼາຍຄັ້ງຕໍ່ກັບຊັບພະຍາກອນການທົດສອບຂອງທ່ານແລະຄວນຈະປະກອບມີທັງສອງ (BIOS / UEFI) virtual ແລະເຄື່ອງຕົວຈິງ.

ບັນຫາທີ່ໄດ້ຮັບຮູ້

Microsoft ປະກອບມີບັນຊີລາຍຊື່ຂອງບັນຫາທີ່ຮູ້ຈັກທີ່ມີຜົນກະທົບຕໍ່ລະບົບປະຕິບັດການ ແລະແພລະຕະຟອມທີ່ລວມຢູ່ໃນວົງຈອນການປັບປຸງນີ້:

• ຫຼັງ​ຈາກ​ການ​ຕິດ​ຕັ້ງ​ການ​ປັບ​ປຸງ​ເດືອນ​ນີ້​, ອຸ​ປະ​ກອນ Windows ທີ່​ໃຊ້ GPUs ບາງ​ຄົນ​ອາດ​ຈະ​ເຮັດ​ໃຫ້​ເກີດ​ apps ເພື່ອປິດໂດຍບໍ່ຄາດຄິດ, ຫຼືສ້າງລະຫັດຍົກເວັ້ນ (0xc0000094 ໃນໂມດູນ d3d9on12.dll) ໃນ apps ການ​ນໍາ​ໃຊ້ Direct3D ເວີ​ຊັນ 9. Microsoft ໄດ້​ຈັດ​ພີມ​ມາ a KIR ອັບເດດນະໂຍບາຍກຸ່ມເພື່ອແກ້ໄຂບັນຫານີ້ດ້ວຍການຕັ້ງຄ່າ GPO ຕໍ່ໄປນີ້: ດາວໂຫລດສໍາລັບ Windows 10, ຮຸ່ນ 2004, Windows 10, ຮຸ່ນ 20H2, Windows 10, ຮຸ່ນ 21H1, ແລະ Windows 10, ຮຸ່ນ 21H2.
• ຫຼັງ​ຈາກ​ການ​ຕິດ​ຕັ້ງ​ການ​ປັບ​ປຸງ​ປ່ອຍ​ອອກ​ມາ​ເມື່ອ​ເດືອນ​ມັງ​ກອນ 11, 2022 ຫຼື​ຫຼັງ​ຈາກ​ນັ້ນ​, apps ທີ່ໃຊ້ Microsoft .NET Framework ເພື່ອຮັບ ຫຼືຕັ້ງ Active Directory Forest Trust Information ອາດຈະລົ້ມເຫລວ ຫຼືສ້າງຄວາມຜິດພາດໃນການເຂົ້າເຖິງ (0xc0000005). ມັນປາກົດວ່າຄໍາຮ້ອງສະຫມັກທີ່ຂຶ້ນກັບ API System.DirectoryServices ໄດ້ຮັບຜົນກະທົບ.

Microsoft ໄດ້ປັບປຸງເກມຂອງຕົນແທ້ໆເມື່ອເວົ້າເຖິງການແກ້ໄຂ ແລະອັບເດດຫຼ້າສຸດສຳລັບລຸ້ນນີ້ດ້ວຍປະໂຫຍດ ອັບເດດຈຸດເດັ່ນ ວິດີໂອ.

ການປັບປຸງທີ່ສໍາຄັນ

ເຖິງແມ່ນວ່າມີບັນຊີລາຍຊື່ຂອງ patches ຫຼຸດລົງຫຼາຍໃນເດືອນນີ້ເມື່ອທຽບກັບເດືອນເມສາ, Microsoft ໄດ້ອອກສາມສະບັບປັບປຸງລວມທັງ:

• CVE-2022-1096: Chromium: CVE-2022-1096 ປະເພດຄວາມສັບສົນໃນ V8. patch ເດືອນມີນານີ້ໄດ້ຖືກປັບປຸງເພື່ອປະກອບມີການສະຫນັບສະຫນູນສໍາລັບ Visual Studio ຮຸ່ນຫຼ້າສຸດ (2022) ເພື່ອອະນຸຍາດໃຫ້ມີການອັບເດດເນື້ອຫາ webview2. ບໍ່ຈຳເປັນຕ້ອງດຳເນີນການຕໍ່ໄປ.
• CVE-2022-24513: Visual Studio Elevation of Privilege Vulnerability. patch ເດືອນເມສານີ້ໄດ້ຖືກປັບປຸງໃຫ້ລວມເອົາທຸກລຸ້ນທີ່ຮອງຮັບຂອງ Visual Studio (15.9 ຫາ 17.1). ແຕ່ຫນ້າເສຍດາຍ, ການປັບປຸງນີ້ອາດຈະຮຽກຮ້ອງໃຫ້ມີການທົດສອບຄໍາຮ້ອງສະຫມັກຈໍານວນຫນຶ່ງສໍາລັບທີມງານພັດທະນາຂອງທ່ານ, ຍ້ອນວ່າມັນມີຜົນກະທົບວິທີການສະແດງເນື້ອຫາ webview2.
• CVE-2022-30138: Windows Print Spooler Elevation of Privilege Vulnerability. ນີ້ແມ່ນການປ່ຽນແປງຂໍ້ມູນເທົ່ານັ້ນ. ບໍ່ຈຳເປັນຕ້ອງດຳເນີນການຕໍ່ໄປ.

ການຫຼຸດຜ່ອນແລະການແກ້ໄຂບັນຫາ

ສໍາລັບເດືອນພຶດສະພາ, Microsoft ໄດ້ເຜີຍແຜ່ການຫຼຸດຜ່ອນທີ່ສໍາຄັນຫນຶ່ງສໍາລັບຄວາມອ່ອນແອຂອງລະບົບໄຟລ໌ເຄືອຂ່າຍ Windows ທີ່ຮ້າຍແຮງ:

• CVE-2022-26937: Windows Network File System Remote Code Execution Vulnerability. ທ່ານສາມາດຫຼຸດຜ່ອນການໂຈມຕີໂດຍການປິດການໃຊ້ງານ NFSV2 ແລະ NFSV3. ຄຳສັ່ງ PowerShell ຕໍ່ໄປນີ້ຈະປິດການໃຊ້ງານເວີຊັນເຫຼົ່ານັ້ນ: “PS C:Set-NfsServerConfiguration -EnableNFSV2 $false -EnableNFSV3 $false.” ສຳເລັດຄັ້ງດຽວ. ທ່ານຈະຕ້ອງປິດເປີດເຄື່ອງເຊີບເວີ NFS ຂອງທ່ານຄືນໃໝ່ (ຫຼືມັກເປີດເຄື່ອງໃໝ່). ແລະເພື່ອຢືນຢັນວ່າເຊີບເວີ NFS ໄດ້ຖືກປັບປຸງຢ່າງຖືກຕ້ອງ, ໃຫ້ໃຊ້ຄໍາສັ່ງ PowerShell “PS C:Get-NfsServerConfiguration.”

ໃນແຕ່ລະເດືອນ, ພວກເຮົາແບ່ງວົງຈອນການອັບເດດອອກເປັນຄອບຄົວຜະລິດຕະພັນ (ຕາມທີ່ Microsoft ໄດ້ກຳນົດໄວ້) ດ້ວຍການຈັດກຸ່ມພື້ນຖານຕໍ່ໄປນີ້: 

• ຕົວທ່ອງເວັບ (Microsoft IE ແລະ Edge);
• Microsoft Windows (ທັງ desktop ແລະ server);
• ຫ້ອງການ Microsoft;
• Microsoft Exchange;
• ເວທີການພັດທະນາ Microsoft ( ASPNET Core, .NET Core ແລະ Chakra Core);
• Adobe (ບໍານານ ???, ອາດຈະເປັນປີຫນ້າ).

ຕົວທ່ອງເວັບ

Microsoft ບໍ່ໄດ້ອອກການອັບເດດໃດໆຕໍ່ກັບບຣາວເຊີເກົ່າ (IE) ຫຼື Chromium (Edge) ໃນເດືອນນີ້. ພວກເຮົາກໍາລັງເຫັນທ່າອ່ຽງຫຼຸດລົງຂອງຈໍານວນບັນຫາທີ່ສໍາຄັນທີ່ plaguing Microsoft ສໍາລັບທົດສະວັດທີ່ຜ່ານມາ. ຄວາມຮູ້ສຶກຂອງຂ້ອຍແມ່ນວ່າການຍ້າຍໄປໂຄງການ Chromium ແມ່ນ "super plus-plus win-win" ທີ່ແນ່ນອນສໍາລັບທັງທີມງານພັດທະນາແລະຜູ້ໃຊ້.

ເວົ້າກ່ຽວກັບຕົວທ່ອງເວັບທີ່ເປັນມໍລະດົກ, ພວກເຮົາຈໍາເປັນຕ້ອງໄດ້ກະກຽມສໍາລັບ ການບໍານານຂອງ IE ຈະມາເຖິງໃນກາງເດືອນມິຖຸນາ. ໂດຍ "ກະກຽມ" ຂ້າພະເຈົ້າຫມາຍຄວາມວ່າສະເຫຼີມສະຫຼອງ - ຫຼັງຈາກ, ແນ່ນອນ, ພວກເຮົາໄດ້ຮັບປະກັນມໍລະດົກນັ້ນ apps ບໍ່ມີການເພິ່ງພາອາໄສຢ່າງຈະແຈ້ງກ່ຽວກັບເຄື່ອງຈັກການສະແດງຜົນ IE ເກົ່າ. ກະລຸນາເພີ່ມ "ສະເຫຼີມສະຫຼອງການອອກບໍານານຂອງ IE" ໃສ່ຕາຕະລາງການນໍາໃຊ້ຕົວທ່ອງເວັບຂອງທ່ານ. ຜູ້ໃຊ້ຂອງທ່ານຈະເຂົ້າໃຈ.

Windows

ແພລະຕະຟອມ Windows ໄດ້ຮັບການປັບປຸງຫົກອັນທີ່ສໍາຄັນໃນເດືອນນີ້ແລະ 56 patches ຈັດອັນດັບທີ່ສໍາຄັນ. ໂຊກບໍ່ດີ, ພວກເຮົາມີການຂູດຮີດສາມສູນ, ຄືກັນ:

• CVE-2022-22713: ຊ່ອງໂຫວ່ທີ່ຖືກເປີດເຜີຍຢ່າງເປີດເຜີຍໃນແພລດຟອມສະເໝືອນຈິງ Hyper-V ຂອງ Microsoft ຈະຮຽກຮ້ອງໃຫ້ຜູ້ໂຈມຕີສາມາດນຳໃຊ້ເງື່ອນໄຂການແຂ່ງຂັນພາຍໃນໄດ້ຢ່າງສຳເລັດຜົນ ເພື່ອນໍາໄປສູ່ສະຖານະການປະຕິເສດການບໍລິການທີ່ອາດເກີດຂຶ້ນ. ມັນເປັນຊ່ອງໂຫວ່ທີ່ຮຸນແຮງ, ແຕ່ຮຽກຮ້ອງໃຫ້ມີການສ້າງຕ່ອງໂສ້ຊ່ອງໂຫວ່ຫຼາຍອັນເພື່ອປະສົບຜົນສໍາເລັດ.
• CVE-2022-26925: ທັງເປີດເຜີຍ ແລະ ລາຍງານຢ່າງເປີດເຜີຍວ່າຖືກຂູດຮີດຢູ່ໃນປ່າ, ນີ້ ບັນຫາການກວດສອບຄວາມຖືກຕ້ອງຂອງ LSA ເປັນຄວາມກັງວົນທີ່ແທ້ຈິງ. ມັນຈະງ່າຍໃນການ patch, ແຕ່ profile ການທົດສອບມີຂະຫນາດໃຫຍ່, ເຮັດໃຫ້ມັນມີຄວາມຫຍຸ້ງຍາກທີ່ຈະນໍາໃຊ້ຢ່າງໄວວາ. ນອກເຫນືອຈາກການທົດສອບການກວດສອບໂດເມນຂອງທ່ານ, ໃຫ້ແນ່ໃຈວ່າການສໍາຮອງຂໍ້ມູນ (ແລະການຟື້ນຟູ) ຫນ້າທີ່ເຮັດວຽກຕາມທີ່ຄາດໄວ້. ພວກເຮົາແນະນໍາໃຫ້ກວດເບິ່ງຫລ້າສຸດ ບັນທຶກການສະຫນັບສະຫນູນຂອງ Microsoft ໃນນີ້ ບັນຫາຢ່າງຕໍ່ເນື່ອງ.
• CVE-2022-29972: ຊ່ອງໂຫວ່ນີ້ເປີດເຜີຍຕໍ່ສາທາລະນະຢູ່ໃນສີແດງshift ODBC ຄົນຂັບແມ່ນຂ້ອນຂ້າງສະເພາະກັບຄໍາຮ້ອງສະຫມັກ Synapse. ແຕ່ຖ້າຫາກວ່າທ່ານມີການສໍາຜັດກັບໃດໆຂອງ Azure Synapse RBAC ພາລະບົດບາດ, ການປະຕິບັດການປັບປຸງນີ້ແມ່ນບູລິມະສິດສູງສຸດ.

ນອກ​ເຫນືອ​ໄປ​ຈາກ​ບັນ​ຫາ zero-day ເຫຼົ່າ​ນີ້​, ມີ​ສາມ​ບັນ​ຫາ​ອື່ນໆ​ທີ່​ຕ້ອງ​ການ​ຄວາມ​ເອົາ​ໃຈ​ໃສ່​ຂອງ​ທ່ານ​:

• CVE-2022-26923: ຊ່ອງໂຫວ່ນີ້ໃນ Active Directory authentication ແມ່ນບໍ່ຂ້ອນຂ້າງ “wormable” ແຕ່ມັນງ່າຍທີ່ຈະຂູດຮີດ, ຂ້ອຍຈະບໍ່ແປກໃຈທີ່ເຫັນມັນຖືກໂຈມຕີຢ່າງຈິງຈັງ soon. ເມື່ອຖືກປະນີປະນອມ, ຊ່ອງໂຫວ່ນີ້ຈະໃຫ້ການເຂົ້າເຖິງໂດເມນທັງໝົດຂອງທ່ານ. ສະເຕກແມ່ນສູງກັບອັນນີ້.
• CVE-2022-26937: ຂໍ້ຜິດພາດຂອງລະບົບໄຟລ໌ເຄືອຂ່າຍນີ້ມີຄະແນນ 9.8 – ຫນຶ່ງໃນລາຍງານທີ່ສູງທີ່ສຸດໃນປີນີ້. NFS ບໍ່ໄດ້ຖືກເປີດໃຊ້ໂດຍຄ່າເລີ່ມຕົ້ນ, ແຕ່ຖ້າທ່ານມີ Linux ຫຼື Unix ໃນເຄືອຂ່າຍຂອງທ່ານ, ທ່ານອາດຈະໃຊ້ມັນ. ແກ້ໄຂບັນຫານີ້, ແຕ່ພວກເຮົາຍັງແນະນໍາໃຫ້ອັບເກຣດເປັນ NFSv4.1 as soon ເປັນ​ໄປ​ໄດ້.
• CVE-2022-30138: patch ນີ້ໄດ້ຖືກປ່ອຍອອກມາເມື່ອ Patch ວັນອັງຄານ. ບັນຫາການພິມ spooler ນີ້ມີຜົນກະທົບພຽງແຕ່ລະບົບເກົ່າ (Windows 8 ແລະ Server 2012) ແຕ່ຈະຮຽກຮ້ອງໃຫ້ມີການທົດສອບທີ່ສໍາຄັນກ່ອນທີ່ຈະນໍາໃຊ້. ມັນບໍ່ແມ່ນບັນຫາຄວາມປອດໄພທີ່ສໍາຄັນ, ແຕ່ທ່າແຮງສໍາລັບບັນຫາກ່ຽວກັບເຄື່ອງພິມແມ່ນໃຫຍ່. ໃຊ້ເວລາຂອງທ່ານກ່ອນທີ່ຈະນໍາໃຊ້ອັນນີ້.

ເນື່ອງຈາກຈໍານວນການຂູດຮີດທີ່ຮ້າຍແຮງແລະສາມສູນໃນເດືອນພຶດສະພາ, ເພີ່ມການອັບເດດ Windows ຂອງເດືອນນີ້ໃສ່ຕາຕະລາງ "Patch Now" ຂອງທ່ານ.

Office microsoft

Microsoft ປ່ອຍອອກມາພຽງແຕ່ສີ່ການອັບເດດສໍາລັບແພລະຕະຟອມ Microsoft Office (Excel, SharePoint) ທັງຫມົດທີ່ຖືກຈັດອັນດັບທີ່ສໍາຄັນ. ການປັບປຸງທັງຫມົດເຫຼົ່ານີ້ແມ່ນຍາກທີ່ຈະຂຸດຄົ້ນ (ຕ້ອງການທັງການໂຕ້ຕອບຂອງຜູ້ໃຊ້ແລະການເຂົ້າເຖິງທ້ອງຖິ່ນໃນລະບົບເປົ້າຫມາຍ) ແລະມີຜົນກະທົບພຽງແຕ່ເວທີ 32-bit. ຕື່ມການອັບເດດ Office ທີ່ມີຄວາມສ່ຽງຕໍ່າເຫຼົ່ານີ້ໃສ່ຕາຕະລາງການປ່ອຍມາດຕະຖານຂອງທ່ານ.

Microsoft Exchange Server

Microsoft ປ່ອຍຕົວອັບເດດດຽວໃຫ້ກັບ Exchange Server (CVE-2022-21978) ທີ່​ໄດ້​ຮັບ​ການ​ຈັດ​ອັນ​ດັບ​ສໍາ​ຄັນ​ແລະ​ປະ​ກົດ​ວ່າ​ຍາກ​ທີ່​ຈະ​ຂຸດ​ຄົ້ນ​. ຊ່ອງໂຫວ່ການຍົກລະດັບສິດທິພິເສດນີ້ຮຽກຮ້ອງໃຫ້ມີການເຂົ້າເຖິງເຊີບເວີທີ່ຜ່ານການພິສູດຢືນຢັນຢ່າງເຕັມທີ່, ແລະມາຮອດປັດຈຸບັນຍັງບໍ່ມີລາຍງານໃດໆກ່ຽວກັບການເປີດເຜີຍສາທາລະນະ ຫຼືການຂູດຮີດໃນປ່າທໍາມະຊາດ.

ສໍາຄັນກວ່າໃນເດືອນນີ້, Microsoft ໄດ້ນໍາສະເຫນີໃຫມ່ ວິທີການປັບປຸງເຄື່ອງແມ່ຂ່າຍຂອງ Microsoft Exchange ປະຈຸບັນປະກອບມີ:

• Windows Installer patch file (.MSP), ເຊິ່ງເຮັດວຽກທີ່ດີທີ່ສຸດສໍາລັບການຕິດຕັ້ງອັດຕະໂນມັດ.
• ການສະກັດເອົາເອງ, ການຕິດຕັ້ງການຕິດຕັ້ງອັດຕະໂນມັດ (.exe), ເຊິ່ງເຮັດວຽກທີ່ດີທີ່ສຸດສໍາລັບການຕິດຕັ້ງດ້ວຍຕົນເອງ.

ນີ້ແມ່ນຄວາມພະຍາຍາມທີ່ຈະແກ້ໄຂບັນຫາຂອງ Exchange admins ປັບປຸງລະບົບເຊີບເວີຂອງເຂົາເຈົ້າພາຍໃນບໍລິບົດທີ່ບໍ່ແມ່ນຜູ້ເບິ່ງແຍງ, ສົ່ງຜົນໃຫ້ສະຖານະການເຊີຟເວີທີ່ບໍ່ດີ. ຮູບແບບ EXE ໃໝ່ ອະນຸຍາດໃຫ້ມີການຕິດຕັ້ງເສັ້ນຄໍາສັ່ງແລະບັນທຶກການຕິດຕັ້ງທີ່ດີກວ່າ. Microsoft ໄດ້ຊ່ວຍເຜີຍແຜ່ຕົວຢ່າງເສັ້ນຄໍາສັ່ງ EXE ຕໍ່ໄປນີ້:

“Setup.exe /IAcceptExchangeServerLicenseTerms_DiagnosticDataON /PrepareAllDomains”

ໝາຍເຫດ, Microsoft ແນະນຳໃຫ້ທ່ານມີຕົວແປສະພາບແວດລ້ອມ %Temp% ກ່ອນທີ່ຈະໃຊ້ຮູບແບບການຕິດຕັ້ງ EXE ໃໝ່. ຖ້າທ່ານປະຕິບັດຕາມວິທີການໃຫມ່ຂອງການນໍາໃຊ້ EXE ເພື່ອອັບເດດ Exchange, ຈື່ໄວ້ວ່າທ່ານຍັງຈະຕ້ອງ (ແຍກຕ່າງຫາກ) ນໍາໃຊ້ປະຈໍາເດືອນ. ສ. ວ. ສ ອັບເດດເພື່ອຮັບປະກັນວ່າເຊີບເວີຂອງທ່ານອັບເດດແລ້ວ. ເພີ່ມການອັບເດດນີ້ (ຫຼື EXE) ເຂົ້າໃນຕາຕະລາງການປ່ອຍມາດຕະຖານຂອງທ່ານ, ໃຫ້ແນ່ໃຈວ່າມີການດໍາເນີນການ reboot ຢ່າງເຕັມທີ່ເມື່ອການປັບປຸງທັງຫມົດສໍາເລັດ.

ເວທີການພັດທະນາ Microsoft

Microsoft ໄດ້ປ່ອຍອອກມາເມື່ອຫ້າການປັບປຸງການຈັດອັນດັບທີ່ສໍາຄັນແລະເປັນ patch ດຽວທີ່ມີການຈັດອັນດັບຕ່ໍາ. ແຜ່ນແພທັງໝົດເຫຼົ່ານີ້ມີຜົນກະທົບຕໍ່ Visual Studio ແລະກອບ .NET. ດັ່ງທີ່ເຈົ້າຈະອັບເດດ Visual Studio ຂອງເຈົ້າເພື່ອແກ້ໄຂຈຸດອ່ອນທີ່ຖືກລາຍງານເຫຼົ່ານີ້, ພວກເຮົາຂໍແນະນຳໃຫ້ທ່ານອ່ານ ຄູ່ມືອັບເດດ Visual Studio ເດືອນເມສາ.

ເພື່ອຊອກຫາເພີ່ມເຕີມກ່ຽວກັບບັນຫາສະເພາະທີ່ແກ້ໄຂຈາກທັດສະນະຄວາມປອດໄພ, ໄດ້ ເດືອນພຶດສະພາ 2022 .NET ອັບເດດ blog posting ຈະເປັນປະໂຫຍດ. ໃຫ້ສັງເກດວ່າ.NET 5.0 ມາຮອດປະຈຸບັນການສະຫນັບສະຫນູນ ແລະກ່ອນທີ່ທ່ານຈະອັບເກຣດເປັນ .NET 7, ມັນອາດຈະຄຸ້ມຄ່າໃນການກວດສອບບາງຄວາມເຂົ້າກັນໄດ້ ຫຼື “ການປ່ຽນແປງທີ່ແຕກຫັກ” ທີ່​ຈໍາ​ເປັນ​ຕ້ອງ​ໄດ້​ຮັບ​ການ​ແກ້​ໄຂ​. ເພີ່ມການອັບເດດທີ່ມີຄວາມສ່ຽງປານກາງເຫຼົ່ານີ້ໃສ່ຕາຕະລາງການອັບເດດມາດຕະຖານຂອງທ່ານ.

Adobe (ພຽງ​ແຕ່ Reader​)

ຂ້າພະເຈົ້າຄິດວ່າພວກເຮົາອາດຈະເຫັນແນວໂນ້ມ. ບໍ່ມີການປັບປຸງ Adobe Reader ສໍາລັບເດືອນນີ້. ທີ່ເວົ້າວ່າ, Adobe ໄດ້ປ່ອຍອອກມາເມື່ອຈໍານວນຂອງການປັບປຸງຜະລິດຕະພັນອື່ນໆທີ່ພົບເຫັນຢູ່ທີ່ນີ້: APSB22-21. ມາເບິ່ງວ່າມີຫຍັງເກີດຂຶ້ນໃນເດືອນມິຖຸນາ — ບາງທີເຮົາສາມາດອອກກິນເບັ້ຍບໍານານໄດ້ ທັງສອງ Adobe Reader ແລະ IE.