Gli aggiornamenti del Patch Tuesday di giugno si concentrano su Windows e Office

Jun 25, 2023

Di Greg Lambert, Collaboratore, Computerworld |

Greg Lambert valuta i rischi per le applicazioni e gli ambienti esistenti nel ciclo Patch Tuesday di ogni mese.

Microsoft ha rilasciato 73 aggiornamenti per le sue piattaforme Windows, Office e Visual Studio il Patch Tuesday, molti dei quali si occupano di vulnerabilità di sicurezza fondamentali, ma non urgenti. Si tratta di una gradita tregua rispetto ai sei mesi precedenti di urgenti zero-day e divulgazioni pubbliche. Tenendo questo in mente, il team di test di preparazione suggerisce di concentrarsi sui processi di stampa e backup/ripristino per assicurarsi che non siano interessati da questo ciclo di aggiornamento.

Per la prima volta vediamo un fornitore di terze parti (non Adobe) aggiunto a una versione del Patch Tuesday, con tre aggiornamenti minori del plug-in per Visual Studio per AutoDesk. Aspettatevi di vedere altri fornitori di questo tipo aggiunti agli aggiornamenti di Microsoft nel prossimo futuro. Il team di Readiness ha creato un'utile infografica che delinea i rischi associati a ciascuno degli aggiornamenti.

Ogni mese, Microsoft include un elenco di problemi noti relativi al sistema operativo e alle piattaforme nel ciclo di aggiornamento corrente.

Al momento, non disponiamo di informazioni su un programma di aggiornamento anticipato o fuori limite da parte di Microsoft sia per i problemi di Server 20222/VMWare che per quelli dell'interfaccia utente di terze parti. Questi problemi sono seri, quindi ci aspettiamo presto una risposta da Microsoft.

Le seguenti vulnerabilità ed esposizioni comuni (CVE) sono state recentemente riviste nella Guida all'aggiornamento della sicurezza Microsoft:

Microsoft ha pubblicato queste attenuazioni relative alle vulnerabilità per la versione di questo mese:

Ogni mese, il team di Readiness analizza gli ultimi aggiornamenti del Patch Tuesday per sviluppare linee guida dettagliate e utilizzabili per i test. Questa guida si basa sulla valutazione di un ampio portafoglio di applicazioni e su un'analisi dettagliata delle patch Microsoft e del loro potenziale impatto sulle piattaforme Windows e sulle installazioni delle applicazioni.

Dato l’elevato numero di modifiche a livello di sistema incluse in questo ciclo, gli scenari di test sono suddivisi in profili standard e ad alto rischio.

Proprio come le principali modifiche alla sicurezza relative al modo in cui le query SQL vengono gestite sui sistemi desktop, Microsoft ha apportato un aggiornamento fondamentale al modo in cui determinate API di rendering vengono gestite con una nuova serie di restrizioni di sicurezza. Questo è un requisito fondamentale per separare le richieste della modalità utente e del driver della stampante del kernel. Non si tratta di nuove API o nuove funzionalità, ma di un rafforzamento delle routine di callback API esistenti. Si tratta di un grande cambiamento e richiederà un regime completo di test della stampante, che include:

Le seguenti modifiche incluse nell'aggiornamento di questo mese non sono considerate ad alto rischio di risultati imprevisti e non includono modifiche funzionali:

Microsoft ora non consente le opzioni BCD evita memoria insufficiente e tronca memoria quando Secureboot è attivo. Inoltre, Microsoft sta bloccando i boot loader che non sono stati aggiornati con l'aggiornamento di maggio 2023.

Nota: le opzioni di ripristino saranno fortemente limitate a meno che alle immagini di ripristino non sia applicato anche questo importante aggiornamento di maggio 2023. Per questa modifica specifica del processo di avvio, il team di preparazione consiglia il seguente regime di test.

Aggiorna i tuoi supporti di ripristino non appena il regime di test è completo.

Tutti questi scenari di test (sia standard che ad alto rischio) richiederanno test significativi a livello di app prima della distribuzione generale. Data la natura delle modifiche incluse nelle patch di questo mese, il team di preparazione consiglia i seguenti test prima della distribuzione:

I test automatizzati saranno utili in questi scenari (in particolare una piattaforma di test che offre un "delta" o un confronto tra build. Tuttavia, per le applicazioni line-of-business, convincere il proprietario dell'applicazione (eseguendo UAT) a testare e approvare i risultati è assolutamente essenziale .

Aggiornamento del ciclo di vita di Windows

Questa sezione conterrà importanti modifiche alla manutenzione (e alla maggior parte degli aggiornamenti di sicurezza) per le piattaforme desktop e server Windows.