5月のパッチ火曜日アップデートには3つのゼロが含まれます

Greg Lambert 著、Computerworld 寄稿者 |

Greg Lambert は、毎月のパッチ火曜日サイクルで既存のアプリケーションと環境に対するリスクを評価します。

Microsoftは5月のアップデートで、Windows、Microsoft Office、Visual Studioの51件の脆弱性に対処した。 また、Windows には緊急に対処する必要がある 3 つのゼロデイ欠陥 (CVE-2023-24932、CVE-2023-29325、および CVE-2023-29336) があるため、今月は Windows と Microsoft Office の両方を迅速に更新することに重点を置く必要があります。 どちらのプラットフォームでも「今すぐパッチを適用する」推奨事項が適用されます。

このパッチ サイクルのテストには、Windows セキュア ブート、リモート デスクトップ、および VPN 転送の検証、および Microsoft Outlook がドキュメント (RTF および DOC) ファイルを正しく処理することの確認が含まれる必要があります。 Application Readiness チームは、このサイクルの各アップデートに関連するリスクの概要を説明するために、この役立つインフォグラフィックを作成しました。

Microsoft では毎月、最新の更新プログラムに含まれるオペレーティング システムとプラットフォームに関連する既知の問題のリストを掲載しています。 5 月の場合は次のとおりです。

(過去 3 か月間同様) Windows 10 のすべてのバージョンに依然として影響を及ぼしている問題の 1 つは、キオスク デバイス プロファイルが依然として自動的にサインインしないことです。 Microsoft は修正に取り組んでいます。 そして、ゲームのアップデートに何らかの価値を求めている人のために（最近はそうではない人がいるでしょうか？）、レッド・デッド・リデンプション 2 が起動できるようになったと報告されています。 よくやった。

今月は、CVE の更新や以前のパッチの大幅なリビジョンはありませんでした。

Microsoft は、今月のパッチに対するこれ以上の緩和策や回避策を公開していません。

毎月、Readiness チームは最新の Patch Tuesday アップデートを分析し、詳細で実用的なテスト ガイダンスを提供します。 このガイダンスは、大規模なアプリケーション ポートフォリオの評価と、Microsoft のパッチと Windows およびアプリケーションのインストールに対する潜在的な影響の詳細な分析に基づいています)。

このサイクルには多数のシステム レベルの変更が含まれるため、テスト シナリオを標準プロファイルと高リスク プロファイルに分類しました。

Microsoft は今月、TPM モジュール、特にセキュア ブートと BitLocker に大幅な変更を加えました。 Readiness チームは、このアップデートに対して次の基本テストを提案しています。

この 5 月のパッチ火曜日アップデートが適用された後のリカバリ メディアの有効性については不明です。 このアップデートより前のシステムで作成されたブート リカバリ メディアは失敗する可能性があります。 この更新を実行したら、完全バックアップが完了し、テストされていることを確認する必要があります。 このシナリオは、Windows 11 (22H2) デスクトップと Windows Server 2022 の両方に影響します。

今月のアップデートに含まれる次の変更は、リスクの高い調整としては取り上げられておらず、機能上の変更は含まれていません。

これらすべてのテスト シナリオでは、一般的な展開の前に重要なアプリケーション レベルのテストが必要です。 これらのパッチに含まれる変更の性質を考慮して、準備チームは次のことを推奨します。

自動テストは、これらのシナリオに役立ちます (特に「デルタ」またはビルド間の比較を提供するテスト プラットフォームを使用する場合)。 アプリケーション所有者 (UAT を実行する) にテストを依頼し、テスト結果を承認してもらう必要がある基幹業務アプリケーションの場合、これは依然として不可欠です。

このセクションには、Windows デスクトップおよびサーバー プラットフォームのサービス (およびほとんどのセキュリティ更新プログラム) に対する重要な変更が含まれています。

毎月、更新サイクルを次の基本グループに分けて製品ファミリー (Microsoft の定義に従って) に分類します。

Microsoft は、ブラウザ ポートフォリオに対して 11 件の目立たないアップデートをリリースしましたが、それらはすべて重要と評価されています。 古いコード ベース (IE) をまだ使用しているユーザーのために、サポートが終了した Internet Explorer 11 デスクトップ アプリケーションは、2 月の Windows セキュリティ更新プログラム (「B」リリース) の一部として完全にオフになりました。 これらの更新を標準のパッチ リリース スケジュールに追加します。

今月、Microsoft は Windows プラットフォームにとって重要と評価される 5 つの重要なアップデートと 22 のパッチをリリースしました。 これらは次の主要なコンポーネントをカバーしています。

一見すると、5 月の Windows リリースは、重要なアップデートの数が通常よりも少なく、かなり軽いように見えました。 ただし、Microsoft は Windows セキュア ブート プロセスの脆弱性を特定し、段階的リリースが必要なほど複雑であることを発見しました。 CVE-2023-24932 として識別されるこの脆弱性により、Microsoft は「セキュア ブートが有効になっているときに、攻撃者が Unified Extensible Firmware Interface (UEFI) レベルで自己署名コードを実行する」可能性があると警告しています。

そう、お聞きのとおりです。セキュア ブート プロセスが侵害されました (Black Lotus によってもたらされました)。 上記のテスト ガイダンスのセクションで述べたように、ブート メディアは慎重に分析する必要があります。 そうしないと、サーバーが「ブリック」される可能性が実際にあります。 続行する前に、CVE-2023-24932 に関するこの更新されたガイダンスをお読みください。Black Lotus キャンペーンに関する詳細情報は、こちらからご覧いただけます。

このアップデートを「Patch Now」リリース スケジュールに追加してください。

Microsoft は今月、SharePoint Server に重要な更新プログラムを 1 つリリースしました。 これに加えて、Word、Excel、Teams に影響を与える重要と評価された他の 6 つの更新プログラムが到着しました。 重大な特権昇格 (EOP) の脆弱性を解決するには、(以前の緩和策に) 更新されたパッチを適用した Microsoft Outlook (CVE-2023-29324) に重点を置く必要があります。 Microsoft は、この深刻なセキュリティ問題を説明するために、Update(d) 緩和策に関するドキュメントを公開しました。

Windows OLE 関連の脆弱性 (CVE-2023-29325) は今月の Windows セクションに含める必要がありますが、このコア システム ライブラリの本当の問題は、Microsoft Outlook が RTF および Word Doc の「開く」要求をどのように処理するかに関係しています。 これらの Microsoft Office 関連の他の脆弱性が実際に悪用されているという報告はなく、Excel については公開されていません。 これらの Microsoft Outlook およびコア Microsoft Office (OLE) パッチの緊急性を考慮して、これらの Office 更新プログラムを「今すぐパッチ」リリース スケジュールに追加してください。

朗報です。このサイクルでは Exchange Server は更新されません。

Microsoft が今月リリースした更新プログラムは 2 つだけ (CVE-2023-29338 および CVE-2023-29343) で、どちらも重要と評価されています。 Visual Studio と Sysmon のみに影響します (ありがとう、Mark)。どちらの更新プログラムもテスト プロファイルが非常に低くなっています。 これらの更新を標準の開発者リリース スケジュールに追加してください。

Adobe Reader (まだありますが、今月はありません)

幸せな日々！ 5 月に Microsoft から Adob​​e Reader のアップデートはありません。

Greg Lambert は、オンライン評価およびアプリケーション変換のスペシャリストである Application Readiness のエバンジェリストです。 Greg は ChangeBASE の共同創設者であり、現在は Application Readiness の CEO であり、アプリケーション パッケージング テクノロジとその導入に関して豊富な経験を持っています。

著作権 © 2023 IDG コミュニケーションズ株式会社