十月补丁星期二:更改,紧急更新以及什么’s coming next

十月补丁星期二叶子不是这个10月唯一改变的事情。补丁星期二在这里,它有一些来自软件空间中的大名称的有趣更新。本月,微软实施了维修模型的变化,Adobe改变了Adobe Flash的分布并宣布这将是Flash Player的ESR分支的最后一个月,并在下周左右,Oracle将揭示其季度关键补丁更新。

周二改变了这个补丁

微软在新的服务模式下正式发布了首次交付,并且仍然存在如何影响组织的变化如何不确定性。

与Landesk CSO Phil Richard一起,我们对新模式带来的东西进行了一些预测。首先,虽然善意,微软的变化可能会影响许多公司,在某些情况下,推动他们做出艰难的决定。乍一看,看似应用程序兼容性将是最重要的变化。也就是说,因为大多数公司已经知道哪些产品对更新敏感,因此特别积极地提前与这些供应商联系并确认他们了解变化和潜在的影响。值得注意的是,虽然这些变化可能会刺激组织做出一些具有挑战性的决策,以及规划和其他安全措施,公司可以克服这些问题。

微软不是唯一一个制作修改的人; Adobe已更改Flash Player进行分发的可用性。这项调整已经令人束缚了一段时间。我们首先听说2015年底的变化谣言;从那时起,Adobe已经多次推出了日期,最终在2016年9月29日登陆。访问分销页面后,用户现在看到两个选项:一个用于消费者,另一个用于寻找重新分发许可的企业客户。我个人测试了企业选项,发现该过程是快速而无痛的。无论如何,我被批准接收有关如何访问Flash Player的企业现时版本的额外详细信息,以便在公司环境中分发。

在微软和Adobe的新闻之上,Oracle本月将释放其季度关键补丁更新(CPU)。与其他两个软件泰坦不同,Oracle eSchews修补程序周二,而是选择在下面的周二发布。今年10月,这意味着他们将于2016年10月18日星期二发布。Oracle CPU的重要性不能夸大,因为它为某些严重破坏性漏洞带来了修复。例如,看看七月的JURE发布。

7月JRE更新包括13个安全修复程序,其中九个是远程可利用的无需身份验证。事实上,四个更新被评为CVSSv2 9.6,在没有身份验证的情况下远程可在没有身份验证,并排名为低复杂性,这意味着它们更容易利用,并且为机密性,可用性和完整性高。根据Verizon 2015年数据违约调查报告的分析,这些将符合供应商发布后两周内可能被剥削的漏洞模式。

如何处理新的Microsoft维修模型

随着管道的增加,考虑不同的情景并弄清楚这个月,超越的行动计划是有价值的。虽然没有单尺寸适合的解决方案,但这里有一些关于如何最好地管理最新更新的提示:

对于目前运营中的系统: 请务必测试和推出10月的安全包,这将包括IE和单个包中的OE和OS的更新。此包仅包含安全更新,不应该是累积的。换句话说,如果您需要以某种原因排除此捆绑包,则应能够实现11月的安全捆绑包,而无需强制应用10月份的捆绑包。尽管如此,您还应期望每个月拍摄安全包,直到您击中非安全更新(错误修复)将强制需要应用累积汇总的点。

对于服务模型更改后实现的新系统: 从累计汇总开始,这是一个好主意,直​​到它击中异常。在这种情况下,最好切换到这些系统的安全包,直到导致异常的事件已解决,允许应用累积汇总以恢复。

一个好的经验法则: 最后,我想重新强调我上个月共享的提示,这是为了扩展您的试点组以进行应用程序兼容性测试。来自您组织的不同部分的争吵的争夺公司依赖业务关键项应用程序将帮助您验证这些更大的更新套房,并确保在测试过程中不会对其产生影响。

许多组织具有测试系统,但仅使用它们来验证像记录到系统和基本数据渲染等高级功能。现实是,在遗留应用程序中,问题可能会更深入,无论是通过渲染PDF还是打印文件。今年独自一人,我们已经看到了PDF和GDI每月从微软都能更新。这些是定期更新的组件,因为它们是用户中心攻击的高调目标,如网络钓鱼诈骗。值得重复:利用用户的漏洞通常是进入公司网络的第一点。

需要紧急关注

MS16-118 是Internet Explorer的关键更新。此公告解决了11个漏洞,包括野外的一个漏洞(CVE-2016-3298)。在此公告中有多种漏洞,该漏洞是用户的目标,这意味着攻击者可以说服用户开立专制的Web内容以利用漏洞。如果用户运行少于完整管理员,也可以减轻漏洞的几种漏洞。在这种情况下,攻击者只会获得用户的平等权利,如果被剥削,则会降低影响。

MS16-119 是Edge浏览器的关键更新。此公告解决了13个漏洞,包括野外的一个漏洞(CVE-2016-7189)。此公告中已解决的许多漏洞是用户的目标。如上所述,成功利用漏洞的攻击者可以获得与当前用户相同的用户权限。其帐户被配置为在系统上具有更少用户权限的客户可能会影响与具有提高管理权限的用户影响。

MS16-120 是.NET Framework,Office,Skype for Business,Lync和Silverlight的关键更新。公告可以解决七种漏洞,包括野外的一个漏洞(CVE-2016-3393)。此公告包括用户所针对的漏洞,使攻击者能够托管专门制作的Web内容或旨在利用漏洞的文档文件。其中一个漏洞(CVE-2016-3396)也可以通过Outlook预览窗格进行利用。使用缩小权限运行的用户可能会削减受利用的影响。

MS16-121 是办公室的一个重要更新。公告可以解决一个漏洞,这些漏洞已经在野外(CVE-2016-7193)。因此,攻击者可以通过电子邮件或专门制作Web内容来制作一个文件,旨在利用该漏洞。使用减少权限运行的用户可能有助于如果已被剥削,则可以帮助降低影响。

MS16-122 是Windows的关键更新。公告可以解决一个漏洞。攻击者可以通过说服用户从网页或电子邮件中打开特制文件或电子邮件来利用此漏洞。 Outlook Preview Pane是此漏洞的攻击向量。同样,通过减少权限运行的用户可以减少如果被剥削的影响。

MS16-126 是适用于Windows的适度更新。公告可以解决一个漏洞,这已在野外被利用(CVE-2016-3298)。这与Internet Explorer MS16-118中的CVE ID相同。要完全解决漏洞,必须安装MS16-118和MS16-126。对于Windows Vista和Server 2008,这意味着安装两个单独的包。对于较新的OSS,两者都将包含在安全性或安全汇总包中。

MS16-127 是Internet Explorer Flash Player的关键更新。此更新在Internet Explorer中解析了Adobe Flash Player插件中的12个漏洞。要完全解决Flash Player漏洞,您必须为IE安装Flash,IE的Flash更新,用于Firefox的Chrome和Flash,这可能需要在单个系统上进行多个可安装的更新。

APSB16-32 是Adobe Flash Player的优先级更新。此更新解决了12个漏洞。许多漏洞是用户目标,如果已被剥削,则可以允许攻击者控制受影响的系统。

作为提醒,Oracle将于2016年10月18日发布,因此期望Java的关键更新以及许多其他Oracle解决方案。

自2016年9月15日之初,自上次谷歌浏览以来近一个月。谷歌在该月份重新发布,但它只包括一个小变化。桌面的测试频道上周更新,因此更新即将来临。

分享这个