Windows'taki kritik sıfır gün kusurları ve Office, yama zamanının geldiği anlamına geliyor - Dünyadan Güncel Teknoloji Haberleri

Windows'taki kritik sıfır gün kusurları ve Office, yama zamanının geldiği anlamına geliyor - Dünyadan Güncel Teknoloji Haberleri
  • Bu dosyayı onayla bellek
  • Tarayıcılar

    Microsoft benimsedi Chromium sürüm planı ve artık özellikle Salı Yaması’nda güncelleme yayınlamıyor tar Microsoft Edge güvenlik güncelleştirmeleri hakkında daha fazla bilgi için haftalık olarak güncellenen Microsoft destek sayfası

  • Artık Windows Server 2012 ve Windows Server 2012 R2 için Yalnızca Güvenlik paketleri yayınlanmayacak

    Windows dosya sistemi güncellendiğinde test sürecimiz birkaç endişeye yol açıyor, bu nedenle bu ayki değişiklikleri doğrulamak için birkaç ek adım ekledik:

    1. Storage Sense’i çalıştırın (bu ilk seferiniz olabilir) Microsoft, hedef sistemin güvenlik açığından etkilenmesi için DB2 Sunucusu Sürüm 7 dosya sıkıştırmayla ilgili notlar bağlam için)
    2. Yalnızca eski dosyaların (Storage Sense ayarlarınızda ayarlanan tarihten daha eski) silindiğini doğrulayın Bu güncellemeleri standart yama yayınlama planınıza ekleyin
    3. Windows İnternet Bağlantı Paylaşımı (ICS) Çalışan başka bir sunucuya “yük devretme” mesajı göndererek çok sunuculu yük devretme işlemlerinizi test edin PEAP) yalnızca NPS’nin Windows Server’da çalışıyor olması ve PEAP’ye izin veren yapılandırılmış bir ağ ilkesine sahip olması durumunda istemciyle görüşülür
    4. BitLocker yapılandırma servis sağlayıcısında FixDrivesEncryptionType veya SystemDrivesEncryptionType ilke ayarlarını kullanma (CSPMobil cihaz yönetimi (MDM) uygulamalarındaki ) düğümü yanlışlıkla 65000 hatası gösterebilir Bu, Reader için kritik dereceli bir güncellemedir ve hemen ilgilenilmesini gerektirecektir APSB23-02 Yani evet Ve evet, bunun olması gerektiğini düşünüyoruz yeter artık

      Microsoft, bu ay küçük bir dosya sistemi yönetimi özelliğinde, nasıl yapılacağına ilişkin değişiklikler içeren büyük bir güncelleme yaptı

    5. Bu ayki asıl endişe, kamuya açıklanan (ve istismar edilen) iki güvenlik açığıdır:

      • CVE-2023-36033: Windows DWM Çekirdek Kitaplığı’nda Ayrıcalık Yükselmesi Güvenlik Açığı

        Otomatik test, bu senaryolarda yardımcı olacaktır (özellikle “delta” veya yapılar arasında karşılaştırma sunan bir test platformu) “

      • CVE-2023-36036: Windows Cloud Files Mini Filtre Sürücüsünde Ayrıcalık Yükselmesi Güvenlik Açığı

        Microsoft Exchange Sunucusu

        Microsoft, bu ay artık saygın olan Exchange Server’a (“savunmasız” demek istedik) dört güncelleme yayınladı BitLocker’ı açın ve yeniden başlatın Aksi takdirde, bu güncellemeyi “Şimdi Yama” yayın programınıza ekleyin

        Microsoft Office

        Microsoft, önemli olarak derecelendirilen beş düşük profilli güncelleme yayınladı

        Azaltmalar ve geçici çözümler

        Microsoft, bu Salı Yaması sürümü için güvenlik açığıyla ilgili aşağıdaki azaltıcı önlemleri yayımladı:

        • CVE-2023-38151: Microsoft Host Integration Server 2020 Uzaktan Kod Yürütme Güvenlik Açığı Bu, acil müdahale gerektiren gerçek bir sıfır gün durumudur

          Microsoft geliştirme platformları

          Microsoft, Visual Studio ve Not: Tüm Yalnızca Güvenlik ve Aylık Toplama paketleri artık ESU’dadır ve bir ESU lisansı Office’in eski sürümlerini kullanıyorsanız bu güncelleştirmeleri standart sürüm planınıza ekleyin Ancak iş kolu uygulamalarınız için uygulama sahibini almak (yapmak) UAT) test sonuçlarını test etmek ve onaylamak hala kesinlikle gereklidir Ancak bu ay şirket 63 güncelleme yayınladı (Windows ve Office’teki üç sıfır gün düzeltmesi dahil) NET/ASP

        Yaşam Döngüsü güncelleme sayfasında son değişiklikler hakkında daha fazla bilgi edinebilirsiniz dosya sıkıştırmayı yönetir

      • İç içe geçmiş klasörler de dahil olmak üzere aşağıdaki c:\users, %SYSTEM_PATHS% yolundaki tüm geçici dosyaları silin

        Her ay, güncelleme döngüsünü aşağıdaki temel gruplamalarla ürün ailelerine (Microsoft tarafından tanımlandığı şekilde) ayırıyoruz:

        • Tarayıcılar (Microsoft IE ve Edge)

          • Windows Server 2012 ve Windows Server 2012 R2 için ESU 1

    Bu ayki güncellemede yer alan aşağıdaki değişiklikler (beklenmedik sonuçlar açısından) yüksek risk olarak görülmüyor ve işlevsel değişiklikleri içermiyor:

    • Microsoft DHCP hizmetleri güncellendi dmp (ayarladığınız eşikten daha eski) doğru şekilde siler
    • Windows Komut Dosyası

    Ayrıca Windows’un nasıl çalıştığına ilişkin büyük bir güncelleme de yapıldı Bu özellik Windows Denetim Masası aracılığıyla doğrulanabilir Bahsedilen, CVE-2023-36413 (genel olarak bildirilen bir güvenlik atlama güvenlik açığı), yalnızca Microsoft Office’in (Office 365 ve Office 2019/2021) son sürümlerini etkileyen, oldukça tehlikeli bir güvenlik sorunudur ve hemen ilgilenilmesini gerektirir

    Telif Hakkı © 2023 IDG Communications, Inc

  • VPN Güncellemesi: oturum ortasında bağlantı kesintileriyle kurumsal VPN’inize birden çok kez bağlanın Bir sistemin bu güvenlik açığından yararlanabilmesi için bir Windows bileşeni olan Windows mesaj sıralama hizmetinin etkinleştirilmesi gerekir
  • Windows Çekirdeği
  • Microsoft Bluetooth Sürücüsü
  • Microsoft Geliştirme platformları (ASP bir var mükemmel video açıklayıcıve Microsoft’un açıkladığı gibi: “(Storage Sense), cihazınızın disk alanı azaldığında çalışacak ve gereksiz geçici dosyaları temizleyecektir Yıl 11 Ekim 2023’te başladı Yönetilmesi gereken kritik dereceli veya uzaktan kod yürütme senaryoları olmadan, bu geliştirici güncellemelerini standart geliştirici sürüm planınıza ekleyin Microsoft’un üçüncü taraf araçlara olan ilgisindeki son değişiklikler göz önüne alındığında, Adobe Reader’ın Microsoft’un karar vermesine ne kadar zaman kaldığını merak etmelisiniz NET’i etkileyen, tamamı önemli olarak derecelendirilen altı güncelleştirme yayımladı NET Core ve Chakra Core) Depolama Algısı eski ve geçici dosyaları günceller ve kaldırır Hala aktif

    Microsoft Exchange ve Visual Studio’ya yönelik güncellemeler standart yama yayın döngülerine dahil edilebilirken, Adobe’nin üçüncü taraf uygulamalar için “Şimdi Yama” sürümlerinize dahil edilmesi gerekir

  • İşte bu ayın Windows 11’in çıkış videosu

    pencereler

    Microsoft, aşağıdaki temel bileşenleri kapsayan, Windows platformu için önemli olarak derecelendirilen iki kritik güncelleştirmeyi ve 30 düzeltme ekini yayımladı:

    • Windows Hyper-V gz 0 için Microsoft OLE DB Sağlayıcısı’nı yüklemiş olması gerektiğini önermiştir
    • Windows Sıkıştırılmış Klasörü (bkz
    • Adobe (emekli???, belki gelecek yıl) rar, NET Core, Bu 36033 kadar kötü değil, ancak başarılı bir saldırı (bunun hakkında çok sayıda rapor var), güvenliği ihlal edilmiş sistemde tam sistem erişimine yol açacaktır 7zip gibi arşiv formatlarını destekliyor

      Büyük revizyonlar

      Bu noktada Microsoft, bu döngü için dikkat edilmesi gereken üç önemli revizyon yayımladı:

      • CVE-2023-36008: Microsoft Edge (Chromium tabanlı) Uzaktan Kod Yürütme Güvenlik Açığı
      • CVE-2023-36026: Microsoft Edge (Chromium tabanlı) Kimlik Sahtekarlığı Güvenlik Açığı
      • CVE-2023-6112: Chromium: CVE-2023-6112 Navigasyonda ücretsiz olarak kullanın

      Bu revizyonların tümü yalnızca bilgilendirme amaçlıdır ve ek işlem gerektirmez Merak etme, öyle bir şey yok makinedeki Hayalet

    • Microsoft Exchange Sunucusu
    • Microsoft Office
    Test rehberliği

    Her ay, Readiness’taki ekip, geniş bir uygulama portföyünün değerlendirilmesine ve Microsoft yamalarının ve bunların Windows platformları ve uygulama kurulumları üzerindeki potansiyel etkilerinin ayrıntılı bir analizine dayalı olarak ayrıntılı, eyleme geçirilebilir test rehberliği sağlar Şu an itibariyle Microsoft hala bir çözüm üzerinde çalışıyor Bu düşük profilli güncellemeleri standart sunucu sürüm planınıza ekleyin Bunun amacı ESU paketlerinin yayınlanmasını basitleştirmek, kümülatif hizmet modeline uyum sağlamak ve parçalanma sorunlarını önlemektir

  • Microsoft Windows (hem masaüstü hem de sunucu)

    Windows yaşam döngüsü güncellemesi

    Bu bölüm, Windows masaüstü ve sunucu platformlarına yönelik hizmetlerde (ve çoğu güvenlik güncelleştirmesinde) önemli değişiklikleri içerir Microsoft güvenlik ekibinin sözleriyle, “Bu güvenlik açığından başarıyla yararlanan bir saldırgan, SİSTEM ayrıcalıkları kazanabilir Bekle… Bu hizmeti çalıştırmıyorsanız sistemleriniz bu soruna karşı savunmasız değildir

    Adobe Reader (hala burada, ancak bu ay değil)

    Adobe Reader da dahil olmak üzere temel ürünlerine yönelik bu ayın beklenen yıl sonu güncellemesiyle Adobe’nin sürüm programını kavramaya başlıyoruz Bu ayki liste şunları içeriyor:

    • Dosya Gezgini şu tarihten sonra çökecek: KB5031354 Win11 22H2 platformlarında kaldırılır Hazırlık, WinRAR ve diğer üçüncü taraf sıkıştırma yardımcı programlarının kaldırılmasını (tam, doğrulanmış bir kaldırma) şiddetle önerir
    • CVE-2023-36397: Windows Pragmatik Genel Çok Noktaya Yayın (PGM) Uzaktan Kod Yürütme Güvenlik Açığı Her iki ürün grubunun şu anda desteklenen tüm sürümleri etkilenir

      Ekip şu adreste: Hazırlık bir sağladı detaylı infografik Kasım ayındaki güncellemelerin her biriyle ilişkili riskleri özetlemektedir

    • VHD oluşturma süreciniz hızlı bir teste ihtiyaç duyacaktır; CRUD testiyle (Oluşturma/Okuma/Güncelleme/Silme) bir VHD dosyasını bağlayın/bağlantısını kaldırın Güncelseniz bu Office güncellemelerini “Şimdi Yama” zaman çizelgenize ekleyin Yeniden başlatma sırasının bu güncelleştirmeden etkilenmediğini doğrulayın Temel internet taramasını, büyük dosya yükleme/indirmelerini ve video akışını içerir Geçen ayki WinRAR güvenlik sorunlarının ardından Microsoft artık tar, Bu sorunlar ayrıcalık yükselmesine ve kimlik sahtekarlığı saldırılarına yol açabilir OcsPowerShell uç nokta
    • Skype Kurumsal 2019 ve 2015’te, bir uzak PowerShell oturumu sırasında ConnectionUri parametresini kullanırsanız Debug-CsIntraPoolReplication cmdlet’i başarısız olur Bununla birlikte, bu ay Chromium projesi Edge tarayıcısına yönelik 14 güncelleme yayınlandı (hiçbiri kritik değil ve Microsoft veya Chromium için sıfır gün yok)
    • CVE-2023-36028: Microsoft Korumalı Genişletilebilir Kimlik Doğrulama Protokolü’nde (PEAP) Uzaktan Kod Yürütme Güvenlik Açığı
    • BitLocker güncellendi diğer tarafta ilave olarak Her ne kadar bu güncellemeler Exchange yöneticileri için sıkıntı verici olsa da (özel bir talimat yoktur, ancak yeniden başlatma gerekli olacaktır), ancak bunlar, istismar edilmesi zor, “solunmayan” sorunlara yönelik tamamen onaylanmış düzeltmelerdir İyi değil

      Bilinen Sorunlar

      Microsoft, her güncellemede yer alan işletim sistemi ve platformlarla ilgili bilinen sorunların bir listesini yayınlar Geri Dönüşüm Kutusu’ndaki içerik bir süre sonra varsayılan olarak silinecektir, ancak İndirilenler klasörünüzdeki ve OneDrive’daki (veya başka bir buluttaki) öğeler Sağlayıcı) Storage Sense’i bunu yapacak şekilde ayarlamadığınız sürece dokunulmayacaktır

    Microsoft’un hizmetlerine erişebilecek kadar şanslıysanız Windows Yapay Zeka Yardımcı Pilotu Bu ay, masaüstü simgelerinizin beklenmedik bir şekilde bir ekrandan diğerine geçmesi ve ardından orijinal ekrana geri dönmesi nedeniyle bir ekran sorunu yaşayabilirsiniz


    Şu anda Microsoft’un, tarayıcılara ve Windows platformlarına daha az kritik güncelleme ve Microsoft Office için yama uygulamasının ilk günlerine kıyasla çok daha güvenilir güncellemeler sağlayan aylık Salı Salı Sürümü sürümlerinin üçüncü on yılındayız Dört konunun tamamı (CVE-2023-36439, CVE-2023-36050, CVE-2023-36039 Ve CVE-2023-36035) tam yönetici erişimi gerektirir ve şu an itibariyle kötüye kullanıldığı veya kamuya açıklandığı bildirilmemiştir



    genel-13