Patch agora para resolver o Windows zero crítico

Jun 21, 2023

Por Greg Lambert, Colaborador, Computerworld |

Greg Lambert avalia os riscos para aplicativos e ambientes existentes no ciclo Patch Tuesday de cada mês.

O primeiro Patch Tuesday do ano da Microsoft aborda 98 vulnerabilidades de segurança, sendo 10 classificadas como críticas para o Windows. Uma vulnerabilidade (CVE-2023-21674) em uma seção central do código do Windows é um dia zero que requer atenção imediata. E a Adobe voltou com uma atualização crítica, combinada com alguns patches discretos para o navegador Microsoft Edge.

Adicionamos as atualizações do Windows e da Adobe à nossa lista “Patch Now”, reconhecendo que as implantações de patch deste mês exigirão testes e esforços de engenharia significativos. A equipe do Application Readiness forneceu um infográfico útil que descreve os riscos associados a cada uma das atualizações deste ciclo de atualização de janeiro.

Todos os meses, a Microsoft inclui uma lista de problemas conhecidos relacionados ao sistema operacional e às plataformas incluídas neste ciclo de atualização.

Ainda existem alguns problemas conhecidos pendentes no Windows 7, Windows 8.x e Windows Server 2008, mas como acontece com esses sistemas operacionais que envelhecem rapidamente (e não são muito seguros), é hora de seguir em frente.

A Microsoft não publicou nenhuma revisão importante este mês. Houve diversas atualizações em patches anteriores, mas apenas para fins de documentação. Nenhuma outra ação é necessária aqui.

A Microsoft não publicou nenhuma mitigação ou solução alternativa específica para o ciclo de lançamento do Patch Tuesday de janeiro deste mês.

Todos os meses, a equipe do Readiness analisa as atualizações mais recentes do Patch Tuesday da Microsoft e fornece orientações de teste detalhadas e acionáveis. Esta orientação baseia-se na avaliação de um grande portfólio de aplicativos e em uma análise detalhada dos patches da Microsoft e seu impacto potencial nas plataformas Windows e nas instalações de aplicativos.

Dado o grande número de alterações incluídas neste ciclo de patch de janeiro, dividi os cenários de teste em grupos de alto risco e de risco padrão:

Alto risco : esta atualização de janeiro da Microsoft oferece um número significativo de alterações de alto risco no kernel do sistema e nos subsistemas de impressão do Windows. Infelizmente, essas alterações incluem arquivos críticos do sistema, como win32base.sys, sqlsrv32.dll e win32k.sys, ampliando ainda mais o perfil de teste para este ciclo de patch.

Como todas as alterações de alto risco afetam o subsistema de impressão do Microsoft Windows (embora não tenhamos visto nenhuma alteração de funcionalidade publicada), recomendamos fortemente os seguintes testes focados na impressão:

Todos esses cenários exigirão testes significativos em nível de aplicativo antes da implantação geral da atualização deste mês. Além desses requisitos específicos de teste, sugerimos um teste geral dos seguintes recursos de impressão:

De forma mais geral, dada a natureza ampla desta atualização, sugerimos testar os seguintes recursos e componentes do Windows:

Além dessas mudanças e dos requisitos de teste subsequentes, incluí alguns dos cenários de teste mais difíceis para esta atualização de janeiro:

Com todos esses cenários de testes mais difíceis, recomendamos que você verifique seu portfólio de aplicativos em busca de componentes de aplicativos atualizados ou dependências no nível do sistema. Essa verificação deve fornecer uma lista restrita de aplicativos afetados, o que deve reduzir o esforço de teste e de implantação subsequente.

Esta seção conterá alterações importantes na manutenção (e na maioria das atualizações de segurança) nas plataformas de desktop e servidor Windows. Com o Windows 10 21H2 agora fora do suporte principal, temos os seguintes aplicativos da Microsoft que atingirão o fim do suporte principal em 2023:

Todos os meses, dividimos o ciclo de atualização em famílias de produtos (conforme definido pela Microsoft) com os seguintes agrupamentos básicos: