Huhtikuussa on paljon haavoittuvuuksia. Pitäkää entistä parempi huoli päätelaitteista runsaan etäkäytön takia.

Haavoittuvuudet ovat olleet määrällisesti runsaita viimeisien kuukausien aikana. Huhtikuu ei ole poikkeus. Tällä kertaa Microsoftin tietoturvatiistain päivitykset tuovat paikkauksen 113 haavoittuvuuteen. Käyttöjärjestelmiin, selaimiin tai Officeen ei ole yhtään aivan kriittisen tason päivitystä tarjolla. CVSS-arvo nousee korkeimmillaan 8,8:aan. Toisin sanoen käyttöjärjestelmien haavoittuvuudet ja niiden paikkaukset ovat hyvin tavanomaisia.

Sen sijaan Windows-käyttöjärjestelmiin kohdistuu kaksi yleisesti julkistettua nollapäivähaavoittuvuutta (CVE-2020-1020 ja CVE-2020-0938). Näistä Adobe Font Manager -kirjastoon kohdistuvista haavoittuvuuksista julkaistiin ilmoitus jo maaliskuun puolessa välissä. Näissäkin haavoittuvuuksissa vaikutukset ovat paljon suurempia Windows 10 1709 -ominaisuusversiota vanhempiin käyttöjärjestelmiin. Tarkempia tietoja koskien näitä lähes identtisiä haavoittuvuuksia voi lukea Microsoftin MRSC-portaalista.

Näiden ja muidenkin haavoittuvuuksien ominaisuuksia ja vaikutuksia on mahdollista tutkia tarkemmin CVSS-laskimella. Microsoft ilmoittaa NVD:n (National Vulnerability Database) CVSS-laskimen linkit per haavoittuvuus omissa haavoittuvuusartikkeleissaan.

Vaikka Microsoft on jälleen pitänyt hyvää huolta tuotteistaan ja tarjoaa tunnettuihin haavoittuvuuksiin korjaukset, on organisaatioiden silti syytä olla entistä tarkempia päivitysten kanssa. Korona-tilanteesta (COVID19) johtuen entistä suurempi osa organisaatioiden loppukäyttäjistä työskentelevät kotonaan. Tällöin päätelaitteet eivät ole enää välttämättä organisaation sisäverkon ja moninaisten tietoturvakontrollien piirissä.

Toinen ehdoton suositus on siirtyä Windows 7 -käyttöjärjestelmästä tuoreimpaan Windows 10 -käyttöjärjestelmään. Tässäkin kuussa osa haavoittuvuuksista on vaikutukseltaan suurempia tähän vanhaan käyttöjärjestelmään ja sen lisäksi päivitykset ovat pääosin maksullisia.

Microsoftin käyttöjärjestelmien tunnetut ongelmat ovat maltillisia tässä kuussa.

Käyttöjärjestelmä Tunnetut ongelmat (ed. kk)
Windows 10, version 1909 ja 1903* and Windows Server, version 1903 0 (1)
Windows 10, version 1809 and Windows Server 2019 1 (2)
Windows 10, version 1803** 1 (0)
Windows 10, version 1709** and Windows Server, version 1709 1 (0)
Windows 10, version 1703*** 1 (0)
Windows 10, version 1607*** and Windows Server 2016 1 (2)
Windows 8.1**** and Windows Server 2012 R2 1 (1)
Windows Server 2012 1 (1)
Windows 7**** and Windows Server 2008 R2 SP1 1 (2)

* 1909 jakaa edeltäjänsä 1903 saman käyttöjärjestelmän ytimen ja identtiset järjestelmätiedostot.
** Windows 10:n kyseisen koontiversion tuki on päättynyt versioilla: Home, Pro ja Enterprise.
*** Windows 10:n kyseisen koontiversion tuki on päättynyt kaikilla versioilla.
**** Windows version Mainstream-tukijakso on päättynyt. Extended-tukijaksot päättyvät: Windows 8.1 10.1.2023 ja Windows 7 14.1.2020.

Vaikka tietoturvapäivitysten kanssa ei tässä kuussa vaadita poikkeuksellisia toimia, on jokaisen ylläpitäjän syytä varmistaa, että ne on asennettu päätelaitteille. Centero suosittelee testaamaan päivitykset huolella ennen tuotantoon siirtämistä. Tämän lisäksi tunnetut ongelmat kannattaa käydä läpi ennen kuin päivityksiä jaellaan.

Microsoft ylläpitää listaa Windows-päivityksistä ja niiden tunnetuista ongelmista seuraavilla sivuilla. Lisätietoja Windows-versioiden elinkaarista löytyy alimmasta linkistä.

Centero Software Manager Cloudin ja CSM Cloud for Serversin avulla laitteesi saavat nämäkin päivitykset hallitusti valitsemasi konfiguraation mukaisesti. Lue lisää Centero Software Managerista täältä.

Lisää luettavaa aiheesta:

Adobe Flash Playerissa kriittisiä haavoittuvuuksia

Kuten vastikään jakamassamme viestintäviraston uutisessa kerrottiin, Adobe Flash Playeriin on julkaistu vakavia haavoittuvuuksia korjaavia kriittisiä tietoturvapäivityksiä. Kerroimme 16.2. julkaisemassamme blogitekstissä, että Microsoft on lykännyt helmikuun päivitykset maaliskuulle. Koska Windows 10:n Internet Explorer ja Edge-selaimissa on sisäänrakennettu Adobe Flash -liitännäinen, Flash päivittyy niissä vasta maaliskuussa. Toki on mahdollista, että Microsoft julkaisee korjaavan päivityksen tätä aiemminkin. Tällä […]

Webinaari 23.11.: Tietoturvallisen toimintakulttuurin rakentaminen EU:n tietosuoja-asetus huomioiden

Keskiviikkona 23.11. klo 9.30 järjestämme webinaarin, jossa pohdimme, miten tietoturvallinen toimintakulttuuri rakennetaan EU:n tietosuoja-asetus huomioiden. Vuorossa on siis hivenen pehmeämpiä asioita webinaarisarjan aiempiin osiin verrattuna. Nyt käymme lävitse, millaisia asioita tulee huomioida mm. johtamisessa, yrityskulttuurissa ja henkilöstön osaamisessa. Asiantuntijavieraana webinaarissa on Relator Oy:n Olli Pitkänen. Olli toimii konsulttina organisaatioiden tietoturvallisuuden kehittämishankkeissa sekä vastaa Relatorin asiantuntijapalveluista. […]