微软今年的第一个补丁星期二修复了 98 个安全漏洞,其中 10 个被归类为 Windows 的关键漏洞。 Windows 代码核心部分中的一个漏洞 (CVE-2023-21674) 是一个零日漏洞,需要立即引起注意。 Adobe 带来了一个重要的更新,并为 Microsoft Edge 浏览器提供了一些低调的补丁。
我们已将 Windows 和 Adobe 更新添加到我们的“立即补丁”列表中,认识到本月的补丁部署将需要大量的测试和工程工作。 Application Readiness 团队提供了一个有用的信息图,其中概述了与今年 1 月更新周期的每个更新相关的风险。
已知的问题
每个月,Microsoft 都会包含一份与此更新周期中包含的操作系统和平台相关的已知问题列表。
[相关:Windows 11 Insider Previews:最新版本有什么? ]
Microsoft Exchange(2016 和 2019):安装此 1 月更新后,无法正确呈现在 Outlook 网页版 (OWA) 中共享的 URL 的网页预览。 Microsoft 现在正在为此进行修复。
Windows 10:安装 KB5001342 或更高版本后,Microsoft Cluster Service 可能无法启动,因为未找到 Cluster Network Driver。
Windows 7、Windows 8.x 和 Windows Server 2008 仍然存在许多未解决的已知问题,但是对于这些快速老化(并且不是很安全)的操作系统,是时候继续前进了。
主要修订
微软本月未发布任何重大修订。 对以前的补丁进行了多次更新,但仅用于文档目的。 此处不需要其他操作。
缓解措施和解决方法
Microsoft 尚未发布任何针对本月 1 月补丁星期二发布周期的缓解措施或解决方法。
测试指导
每个月,准备团队都会分析来自 Microsoft 的最新补丁星期二更新,并提供详细的、可操作的测试指南。 本指南基于对大型应用程序组合的评估以及对 Microsoft 补丁及其对 Windows 平台和应用程序安装的潜在影响的详细分析。
鉴于今年 1 月的补丁周期中包含大量更改,我将测试场景分为高风险组和标准风险组:
高风险:Microsoft 今年 1 月的更新对 Windows 中的系统内核和打印子系统进行了大量高风险更改。 不幸的是,这些更改包括关键系统文件,例如 win32base.sys、sqlsrv32.dll 和 win32k.sys,进一步扩大了此补丁周期的测试配置文件。
由于所有高风险更改都会影响 Microsoft Windows 打印子系统(尽管我们尚未看到任何已发布的功能更改),我们强烈建议进行以下以打印为中心的测试:
打印时添加和删除水印。
更改默认打印假脱机目录。
连接到蓝牙打印机并打印黑白和彩色页面。
尝试使用 (Microsoft) MS Publisher 照排机驱动程序。 这是一个“通用”打印机驱动程序,可以安装在任何 Windows 8.x 或更高版本的机器上。 由于提供此驱动器的下载站点数量众多,请确保您的下载经过数字签名并来自信誉良好的来源(例如 Windows 更新)。
在本月更新的一般部署之前,所有这些场景都需要进行大量的应用程序级测试。 除了这些特定的测试要求外,我们还建议对以下打印功能进行一般测试:
从直接连接的打印机打印。
远程打印(使用 RDP 和 VPN)。
在 64 位计算机上使用 32 位应用程序测试物理和虚拟场景。
更一般地说,鉴于此更新的广泛性,我们建议测试以下 Windows 功能和组件:
测试依赖于接触点和手势支持的基于用户的场景。
尝试连接/断开 STTP VPN 会话。 您可以在此处阅读有关这些更新协议的更多信息。
使用 Microsoft LDAP 服务测试需要访问 Active Directory 查询的应用程序。
除了这些更改和后续测试要求之外,我还为今年 1 月的更新包括了一些更困难的测试场景:
SQL 查询:哦,亲爱的。 您将必须确保使用 SQL 的业务关键型应用程序(以及哪些应用程序不使用?)能够正常运行。 正如“从极其复杂、多源、异构的数据库查询中返回正确的数据集”。 尽管如此,微软表示,“此更新解决了一个已知问题,该问题会影响使用 Microsoft 开放式数据库连接 (ODBC) SQL Server 驱动程序 (sqlsrv32.dll) 连接到数据库的应用程序。” 因此,我们应该会在本月看到这种情况有所改善。
遗留应用程序:如果您有可能使用现已弃用的 Windows 类的旧(遗留)应用程序,则除了任何基本的冒烟测试之外,您还必须运行完整的应用程序测试。
对于所有这些更困难的测试场景,我们建议您扫描您的应用程序组合以查找更新的应用程序组件或系统级依赖项。 然后,此扫描应提供受影响应用程序的候选名单,这将减少您的测试和后续部署工作。
Windows 生命周期更新
本节将包含对 Windows 桌面和服务器平台的服务(以及大多数安全更新)的重要更改。 随着 Windows 10 21H2 现已脱离主流支持,我们有以下 Microsoft 应用程序将在 2023 年结束主流支持:
Microsoft Endpoint Configuration Manager,版本 2107(我们现在有 Intune,所以没问题)。
Windows 10 企业版和教育版 20H2(我们有 5 个月的时间进行迁移——应该没问题)。
Windows 10 家庭版和专业版,版本 21H2(截止日期为 2023 年 6 月)。
Exchange Server 2013 扩展支持(2023 年 4 月 11 日)。
每个月,我们都会将更新周期分解为具有以下基本分组的产品系列(由 Microsoft 定义):
浏览器(Microsoft IE 和 Edge)
Microsoft Windows(台式机和服务器)
微软办公软件
微软交换服务器
Microsoft 开发平台(NET Core、.NET Core 和 Chakra Core)
Adobe(退休?也许明年)
浏览器
微软本月为其 Chromium 浏览器发布了五次更新,均解决了 Chromium 引擎中与“释放后使用”内存相关的漏洞。 您可以在此处找到这些发行说明的 Microsoft 版本以及在此处找到 Google 桌面频道发行说明。 本月没有对 Microsoft 浏览器(或渲染引擎)的其他更新。 将这些更新添加到您的标准补丁发布计划中。
视窗
1 月带来了 10 个关键更新以及 67 个对 Windows 平台重要的补丁。 它们涵盖以下关键组件:
Microsoft 本地安全机构服务器 (lsasrv)
用于 SQL 的 Microsoft WDAC OLE DB 提供程序(和 ODBC 驱动程序)
Windows 备份引擎
Windows 加密服务
Windows 错误报告 (WER)
Windows LDAP – 轻型目录访问协议
一般来说,这是一个专注于更新网络和本地身份验证堆栈的更新,对上个月的补丁周期进行了一些修复。 不幸的是,Windows 代码 (ALPC) 核心部分中的一个漏洞 (CVE-2023-21674) 已被公开报告。 微软将这种情况描述为“成功利用此漏洞的攻击者可以获得 SYSTEM 权限”。 谢谢你,Stiv,感谢你在这方面的辛勤工作。
请注意:作为 CISA 的“具有约束力的操作命令”(BOD) 的一部分,所有美国联邦机构都已被指示在 1 月底之前修补此漏洞。
将此更新添加到您的“立即修补”发布计划中。
微软办公软件
Microsoft 解决了 SharePoint Server 的一个严重问题 (CVE-2023-21743) 和其他八个被 Microsoft 评为重要的影响 Visio 和 Office 365 应用程序的安全漏洞。 我们的测试没有提出任何与补丁星期二更改相关的重大问题,因为大多数更改都包含在 Microsoft 即点即用版本中——其部署和测试配置文件要低得多。 将这些 Microsoft Office 更新添加到您的标准部署计划中。
微软交换服务器
对于今年 1 月的 Microsoft Exchange Server 补丁版本,Microsoft 提供了五个更新,所有更新都被评为对 2016 和 2019 版本重要:
CVE-2023-21745 – Microsoft Exchange 服务器欺骗漏洞
CVE-2023-21761 – Microsoft Exchange Server 信息泄露漏洞
CVE-2023-21762 – Microsoft Exchange 服务器欺骗漏洞
CVE-2023-21763 – Microsoft Exchange Server 特权提升漏洞
CVE-2023-21764 – Microsoft Exchange Server 特权提升漏洞
这些漏洞都没有公开发布,没有被报告为在野被利用,也没有被记录为导致任意代码执行。 对于这几个低风险的安全问题,我们建议您花时间测试和更新每台服务器。 需要注意的是,微软在此“补丁”版本中引入了一项新功能(PowerShell 证书签名),可能需要额外测试。 将这些 Exchange Server 更新添加到您的标准服务器发布计划中。
微软开发平台
Microsoft 发布了两个影响 Visual 和 Microsoft .NET 6.0 的开发者平台更新(CVE-2023-21779 和 CVE-2023-21538)。 这两个更新都被 Microsoft 评为重要更新,可以添加到您的标准发布计划中。
Adobe 阅读器
Adobe Reader 的更新已于本月回归,但微软尚未发布最新补丁。 最新的一组更新 (APSB 23-01) 解决了八个与内存相关的关键问题和七个重要更新,其中最糟糕的可能导致在未打补丁的系统上执行任意代码。 由于 CVSS 评级高于平均水平 (7.8),我们建议您将此更新添加到您的“立即补丁”发布周期。
