Quatro zero

Jul 09, 2023

Por Greg Lambert, Colaborador, Computerworld |

Greg Lambert avalia os riscos para aplicativos e ambientes existentes no ciclo Patch Tuesday de cada mês.

Com a atualização Patch Tuesday deste mês, a Microsoft corrigiu 130 vulnerabilidades de segurança, publicou dois comunicados e incluiu quatro revisões principais do CVE. Também temos quatro dias zero para gerenciar no Windows (CVE-2023-32046, CVE-2023-32049, CVE-2023-36874 e CVE-2023-36884), trazendo a plataforma Windows para um cronograma de “patch agora”.

Deve ser mais fácil focar nos testes do Microsoft Office e do Windows este mês, já que não temos nenhuma atualização do Adobe, Exchange ou navegador. Certifique-se de revisar cuidadosamente o Storm 0978 da Microsoft, pois ele fornece orientações específicas e práticas sobre o gerenciamento da grave vulnerabilidade de HTML no Microsoft Office (CVE-2022-38023).

A equipe do Readiness elaborou este infográfico útil para descrever os riscos associados a cada uma das atualizações.

A Microsoft lista todos os meses os problemas conhecidos relacionados ao sistema operacional e às plataformas incluídas no ciclo de atualização mais recente.

A Microsoft publicou duas revisões principais:

A Microsoft publicou as seguintes mitigações relacionadas à vulnerabilidade para esta versão:

Todos os meses, a equipe do Readiness fornece orientações de teste detalhadas e práticas para as atualizações mais recentes. Esta orientação baseia-se na avaliação de um grande portfólio de aplicativos e em uma análise detalhada dos patches da Microsoft e seu impacto potencial nas plataformas Windows e nas instalações de aplicativos.

Se você empregou servidores internos da web ou de aplicativos, valerá a pena testar o protocolo HTTP3 – especialmente usando o Microsoft Edge. Além desta atualização de manipulação de protocolo, a Microsoft fez um número significativo de alterações e atualizações na pilha de rede, exigindo os seguintes testes:

Dado o grande número de alterações no nível do sistema este mês, dividi os cenários de teste em perfis padrão e de alto risco.

Dado que esta atualização inclui correções para quatro (alguns dizem cinco) falhas de dia zero, temos dois fatores principais de mudança neste mês: alterações importantes nas funcionalidades dos sistemas principais e uma necessidade urgente de fornecer atualizações. A Microsoft documentou que duas áreas principais foram atualizadas com alterações significativas de funcionalidade, incluindo impressão e pilha de rede local (com foco no roteamento). Como resultado, os seguintes testes devem ser incluídos antes da implantação geral:

As seguintes alterações foram incluídas este mês e não foram consideradas de alto risco (com resultados inesperados) e não incluem alterações funcionais.

Todos esses cenários de teste exigirão testes significativos no nível do aplicativo antes de uma implantação geral. Dadas as alterações incluídas nos patches deste mês, a equipe de Preparação recomenda que os seguintes testes sejam realizados antes da implantação geral:

Este mês pode ser um pouco difícil para testar a automação/scripts do Microsoft Office e a integração com aplicativos de terceiros devido à mudança no OLE e como a Microsoft abordou o CVE-2023-36884. Recomendamos um teste completo de macros do Excel (se usarem OLE/COM/DCOM) e quaisquer scripts VBS que incluam o Word.

Aqui estão as mudanças importantes na manutenção (e na maioria das atualizações de segurança) nas plataformas de desktop e servidor Windows.

Todos os meses, dividimos o ciclo de atualização em famílias de produtos (conforme definido pela Microsoft) com os seguintes agrupamentos básicos:

Difícil de acreditar, mas não há atualizações de navegador neste ciclo de atualização. E também não vemos nada chegando ao pipeline para um lançamento no meio do ciclo. Esta é uma grande mudança e uma grande melhoria desde os dias de atualizações de navegador grandes, complexas e urgentes. Vá Microsoft!

A Microsoft lançou oito atualizações críticas e 95 patches classificados como importantes para a plataforma Windows, cobrindo estes componentes principais: