Вторник обновлений — Май 2021

Май принес немного исправлений, по сравнению с апрелем, когда было устранено более ста уязвимостей. 11 мая Microsoft выпустил исправления для 55 проблем безопасности в Windows и других продуктах корпорации. В Windows 10 v20H2 исправлено 24 уязвимости, а версиях 1903 и 1909 — по 16 уязвимостей. В Windows Server 2019 было исправлено 16 уязвимостей, а в Server 2016 и 2012 R2 — по 12.

Некоторые из этих проблем представляют серьезную угрозу для клиентских и серверных систем Windows. Четыре уязвимости оцениваются как критические, и необходимо как можно скорее применить исправления, чтобы предотвратить атаки и захват контроля над системой.

Три уязвимости, исправленные на этот раз, классифицируются как проблемы нулевого дня, то есть они были обнаружены до того, как исправление было доступно.

Обзор

Вы можете загрузить электронную таблицу Excel с веб-сайта Microsoft Security Update Guide и посмотреть полный список майских выпусков. Исправления этого месяца касаются следующих продуктов и функций:

.NET Core и Visual Studio, HTTP.sys, Internet Explorer, Microsoft Accessibility Insights для Интернета, драйвер Microsoft Bluetooth, Microsoft Dynamics Finance & Operations, Microsoft Edge (на основе Chromium), Microsoft Exchange Server, графический компонент Microsoft, Microsoft Office, Microsoft Office Access, Microsoft Office Excel, Microsoft Office SharePoint, Microsoft Office Word, библиотека кодеков Microsoft Windows, Microsoft Windows IrDA, программное обеспечение с открытым исходным кодом, роль Hyper-V, Skype для бизнеса и Microsoft Lync, Visual Studio, Visual Studio Code, драйвер Windows Container Isolation FS Filter, служба диспетчера контейнеров Windows, криптографические службы Windows, служба Windows CSC, мост рабочих столов Windows, Windows OLE, фильтр Windows Projected File System FS, клиент Windows RDP, Windows SMB, служба Windows SSDP, службы Windows WalletService и Windows Wireless Networking.

Если вы используете какой-либо из этих программных продуктов, перейдите на страницу обновлений, чтобы получить дополнительную информацию о каждом из них (включая меры защиты для пользователей, которые по каким-либо причинам не могут установить обновления), а также о любых известных проблемах с исправлениями.

Также обязательно ознакомьтесь со списком уязвимостей в примечаниях к выпуску, для которых существуют способы минимизации, обходные пути или ответы на часто задаваемые вопросы.

И, наконец, есть известные неизбежные проблемы с некоторыми из этих патчей, затрагивающие разные версии Windows Server и клиента, а также Exchange Server.

5003169 Windows 10, версия 1909; Windows Server, версия 1909.

5003171 Windows 10 версия 1809; Windows Server 2019.

5003173 Windows 10, версия 2004; Windows Server, версия 2004; Windows 10, версия 20H2; Windows Server, версия 20H2.

5003197 Windows 10, версия 1607; Windows Server 2016.

5003203 Windows Server 2012 (только обновления системы безопасности).

5003208 Windows Server 2012 (ежемесячный накопительный пакет обновлений).

5003209 Windows 8.1, Windows Server 2012 R2 (ежемесячный накопительный пакет обновлений).

5003210 Windows Server 2008 SP2 (ежемесячный накопительный пакет обновлений).

5003220 Windows 8.1 Windows Server 2012 R2 (только обновления системы безопасности).

5003225 Windows Server 2008 SP2 (только обновления системы безопасности).

5003228 Windows 7 SP1, Windows Server 2008 R2 (только обновления системы безопасности).

5003233 Windows 7 SP1, Windows Server 2008 R2 (только обновления системы безопасности).

5003435 Exchange Server 2019, 2016 и 2013.

Уязвимости нулевого дня и критические уязвимости

Категория критичности присваивается уязвимости, использование которой может привести к выполнению кода без вмешательства пользователя. Например, это может произойти при использовании самораспространяющихся вредоносных ПО (например, сетевых червей). В распространенных сценариях использования выполнение кода происходит без предупреждений или подсказок. Например, при просмотре веб-страницы или открытии электронной почты.

Microsoft рекомендует клиентам немедленно применять критические обновления.

Исправленные уязвимости нулевого дня

Были исправлены следующие уязвимости нулевого дня, которые считаются важными:

CVE-2021-31200 — уязвимость удаленного выполнения кода. Эта уязвимость была публично раскрыта, но не использовалась. Уязвимая система может быть использована без какого-либо вмешательства со стороны любого пользователя. В случае использования этой уязвимости может произойти полная потеря конфиденциальности, целостности и доступности. Это уязвимость, которую можно использовать удаленно, и ее можно рассматривать как уязвимость с охватом одного или нескольких маршрутизаторов.

CVE-2021-31204 — уязвимость .NET и Visual Studio, связанная с повышением привилегий. Эта уязвимость была публично раскрыта, но не использовалась. Чтобы использовать эту уязвимость, от пользователя требуется предпринять определенные действия, прежде чем уязвимость может быть использована, поэтому Microsoft оценила ее использование как менее вероятное. Однако в случае использования этой уязвимости может произойти полная потеря конфиденциальности, целостности и доступности.

CVE-2021-31207 — уязвимость обхода функции безопасности Microsoft Exchange Server. Эта уязвимость была публично раскрыта, но не использовалась. Уязвимая система может быть использована без какого-либо вмешательства со стороны любого пользователя. В случае использования этой уязвимости может произойти полная потеря конфиденциальности, целостности и доступности. Это уязвимость, которую можно использовать удаленно, и ее можно рассматривать как уязвимость с охватом одного или нескольких маршрутизаторов.

Исправленные критические уязвимости

Были исправлены следующие критические уязвимости:

CVE-2021-26419 — уязвимость в обработчике сценариев, связанная с нарушением целостности данных в памяти. Эта уязвимость затрагивает Internet Explorer 11 во всех поддерживаемых версиях Windows. Она не была публично раскрыта и не использовалась до выпуска исправлений. От пользователя требуется предпринять определенные действия, прежде чем уязвимость может быть использована. Сложность атаки высока, и успех зависит от условий, на которые не может повлиять злоумышленник. Тем не менее Microsoft оценивает вероятность использования этой уязвимости как более высокую. В случае использования этой уязвимости может произойти полная потеря конфиденциальности, целостности и доступности.

CVE-2021-31194 — уязвимость OLE Automation, связанная с удаленным выполнением кода. Это уязвимость удаленного выполнения кода, которая затрагивает поддерживаемые в настоящее время версии серверных и клиентских операционных систем Windows. Сложность атаки невысока, и злоумышленник может использовать уязвимость неоднократно. Она не была публично раскрыта и не использовалась до выпуска исправлений. От пользователя не требуется никаких действий, прежде чем уязвимость может быть использована. Результатом использования может быть полная потеря конфиденциальности, целостности и доступности, но Microsoft оценила ее использование как менее вероятное.

CVE-2021-31166 — уязвимость стека протокола HTTP, связанная с удаленным выполнением кода. Это еще одна уязвимость удаленного выполнения кода, которая затрагивает Windows 10 и Windows Server 2004, 2012 R2 и 20H2, включая ядро сервера. Сложность атаки невысока, и злоумышленник может использовать уязвимость неоднократно. Она не была публично раскрыта и не использовалась до выпуска исправлений. От пользователя не требуется никаких действий, прежде чем уязвимость может быть использована. Результатом использования может быть полная потеря конфиденциальности, целостности и доступности, и Microsoft оценила ее использование как более вероятное.

CVE-2021-28476 — уязвимость выполнения удаленного кода Hyper-V. Эта уязвимость удаленного выполнения кода в компоненте виртуальной машины Hyper-V затрагивает серверные и клиентские операционные системы Windows. Сложность атаки невысока, и злоумышленник может использовать уязвимость неоднократно. Она не была публично раскрыта и не использовалась до выпуска исправлений. От пользователя не требуется никаких действий, прежде чем уязвимость может быть использована. Результатом использования может быть полная потеря конфиденциальности, целостности и доступности, но Microsoft оценила ее использование как менее вероятное.

Важные уязвимости

В дополнение к уязвимостям нулевого дня и критическим уязвимостям, описанным выше, вторник обновлений содержит исправления для 48 дополнительных проблем, которые считаются важными. Они охватывают обширную базу и включают уязвимости, связанные с фальсификацией данных, обход функций безопасности, раскрытие информации, отказ в обслуживании, удаленное выполнение кода и проблемы с повышением привилегий в ряде компонентов Windows и в Microsoft Exchange, приложениях Office, SharePoint, Skype для бизнеса и Visual Studio.

В соответствии с рекомендациями Microsoft категория важных уязвимостей относится к уязвимостям, использование которых может привести к нарушению конфиденциальности, целостности или доступности пользовательских данных либо целостности или доступности ресурсов обработки. В этих распространенных сценариях использования происходит взлом клиента с предупреждениями или подсказками вне зависимости от происхождения, качества или применимости подсказок. Последовательности пользовательских действий, которые не генерируют подсказки или предупреждения, также учитываются.

Microsoft рекомендует клиентам использовать важные обновления при первой возможности.

Установка обновлений

Большинство организаций будут автоматически развертывать обновления программного обеспечения Microsoft и сторонних производителей на своих серверах и в управляемых клиентских системах, используя выбранную ими систему управления исправлениями, такую ​​как LanGuard от GFI. Автоматическое управление исправлениями экономит время и снижает вероятность ошибок при установке.

Большинство пользователей домашних систем получат обновления через службу Центра обновления Windows, встроенную в операционную систему. Обновления только для системы безопасности и накопительные обновления доступны для поддерживаемых версий клиента и сервера Windows. Microsoft предоставляет возможность прямой загрузки для тех, кому необходимо установить обновления вручную. Вы можете скачать их из каталога Центра обновления Microsoft.

Ссылки на обновления для последних версий Windows:

KB5003173 — Windows 10 v20H2.

KB5003169 — Windows 10 v1909.

ВАЖНОЕ ПРИМЕЧАНИЕ. Поддержка Windows 10 версии 1909 прекращена 11 мая 2021 г. для устройств под управлением выпусков Home, Pro, Pro для рабочих станций, Nano Container и Server SAC. После 11 мая 2021 г. такие устройства больше не будут получать ежемесячные обновления безопасности и исправления для защиты от новейших угроз.

Известные проблемы

Перед установкой обновлений необходимо выяснить возможные известные проблемы, которые могут повлиять на ваши устройства и конфигурации, прежде чем развертывать обновления для ваших производственных систем. В отношении обновлений за этот месяц выявлено множество таких проблем. Полный список ссылок на статьи базы знаний, в которых подробно описаны эти проблемы, можно найти в примечаниях к выпуску обновлений.

Обновление средства удаления вредоносных программ (MSRT)

MSRT используется для поиска и удаления вредоносного программного обеспечения из систем на базе Windows, и его определения регулярно обновляются. Обновления обычно устанавливаются через Центр обновления Windows, но, если вам нужно загрузить и установить их вручную, воспользуйтесь ссылками на 32- и 64-разрядные версии в Центре загрузки Microsoft.

Сторонние выпуски

Помимо обновлений безопасности для продуктов Microsoft, вторник обновлений в мае принес необычно большое количество обновлений от Adobe — двенадцать исправлений для различных продуктов.