另一个横幅补丁星期二,有一个单词零天和几个错误

2022-03-19 19:46:45来源:

它将成为一个横幅修补月。我计算151个单独的安全补丁和48个知识库文章,以及奇怪的安全咨询。

Windows更新错误

Windows修补程序发行注释指向四个已知的错误:

Windows 10创建者更新的累积更新,版本1703 - 哪些体育运动的修复 - 有几个问题:为USB Type-C连接器系统软件界面(UCSI)启用了支持的系统可能会在启动系统关闭时遇到蓝屏或停止响应黑屏,并且可能将捷克语和阿拉伯语语言更改为Microsoft Edge和其他的英语应用程序。

Windows 10周年更新的累积更新版本1607具有少数问题:安装Delta Update Package后,使用Express安装文件下载更新可能会失败; KB号显示在安装更新下两次;包用户可能会看到一个错误对话框,表示关闭某些应用程序时发生了应用程序异常。

Windows 10的原始版本的累积更新通常称为1507,具有类似的问题:包用户可能会看到一个错误对话框,指示关闭某些应用程序时发生了应用程序异常。显然这个修复仅适用于LTSC版本。

Windows 7的每月汇总也有一个确认的错误:一个错误对话框,指示在关闭某些应用程序时发生了应用程序异常。

Windows安全问题

Martin Brinkmann在Ghacks上有通常的详尽彻底列表:

Windows 7的:20个漏洞,其中5个是至关重要的,15重要

Windows 8.1:23个漏洞,其中6个被评为至关重要,17重要

Windows 10版1607:29个漏洞,6个至关重要,23重要

Windows 10版本1703:29个漏洞,其中6个被评为至关重要,23重要

SANS Internet Storm Center已发布其列表 - 与零日倡议一样。

有一些令人担忧的风险,我们将紧密关注:

CVE-2017-11779 - DNS安全性的一个主要问题,但如果您的DNS服务器已超越,则只是一个问题。Nick Freeman在Bishop Fox注意:

如果攻击者控制您的DNS服务器(例如,通过中间人攻击或恶意咖啡店热点) - 它们可以访问您的系统。这不仅影响Web浏览器 - 您的计算机在后台始终会在后台进行DNS查询,并且可以响应任何查询以触发此问题。

[评论这个故事,请访问Computerworld的Facebook页面。]

听起来很棒,但微软说,缺陷尚未被剥削并将其汇率为“剥削不太可能”。如果有人可以劫持你的DNS服务器,你就在一个受伤的世界。

CVE-2017-11826 - Qihoo 360发现了一个已知的和被利用的零日攻击,由Qihoo 360发现。这是另一个攻击,它依赖于伪装RTF文件作为Word Doc或DocX,然后使用Word(或其查看者)的良好服务来扑入机器上的扑克。Microsoft Security Advisory表示,本月在所有版本的Word,Word Viewer和Office兼容性包中已修复。

最后,Security Advisory Adv170012 - TPM中的漏洞可能允许安全功能旁路包含这个小拍摄:

警告:在应用Windows操作系统缓解更新之前,请勿应用TPM固件更新。这样做会渲染您的系统无法确定您的系统是否受到影响。您将需要此信息来进行全面的完整。

ZDI继续解释:

Microsoft提供的补丁只是一个临时措施,而且这里是真正复杂的地方。TPM制造商需要生成固件更新以完全解决此问题,因为错误本身存在于TPM固件中 - 而不是Windows本身。此补丁是几种设计,可以通过在尽可能生成基于软件的键来实现替代方法之一。即使应用了供应商的固件更新,您也需要重新生成新密钥以替换先前生成的弱键。

这只是一个停止缺口措施,仍需要手动干预。当实际固件更新从TPM供应商中推出时,此过程需要重新发生 - 除此时,需要在每个受影响的设备上安装新的TPM固件。

听起来它将成为一个羊毛月。

作为ComputerWorld“GREGG Keizer Notes,今天标志着Windows 10秋季更新的最后更新(后来称为11月更新),版本1511。您在长期服务频道(以前是长期服务分支机构)的人不需要恐惧 - 1511将永远支持,或者至少直到2025年10月14日。但是那些没有LTSC的人和其必需的批量许可证,软件保证更好地迁移到1511。专家提示:如果您在1511年,请在10月17日之前迁至1703,之后避免1709年。

请注意,微软在过去发布了真正关键的安全修补程序,适用于超出生命结束的Windows版本 - 这是一个有趣的哲学观察。

今天还纪念了Office 2007的消亡。不,你不需要用完和购买办公室或租赁办公室365。但是你确实需要意识到办公室2007将要发芽安全漏洞 - 而且你将无法获得任何补丁,除非redmond绑定和ps定位办公室生态系统的老年分支机构值得时间和努力。

击中了一个有问题的补丁?askwoody lounge上的holler。


返回科技金融网首页 >>

版权及免责声明:凡本网所属版权作品,转载时须获得授权并注明来源“科技金融网”,违者本网将保留追究其相关法律责任的权力。凡转载文章,不代表本网观点和立场,如有侵权,请联系我们删除。


相关文章