Huhtikuussa on paljon haavoittuvuuksia. Pitäkää entistä parempi huoli päätelaitteista runsaan etäkäytön takia.

Haavoittuvuudet ovat olleet määrällisesti runsaita viimeisien kuukausien aikana. Huhtikuu ei ole poikkeus. Tällä kertaa Microsoftin tietoturvatiistain päivitykset tuovat paikkauksen 113 haavoittuvuuteen. Käyttöjärjestelmiin, selaimiin tai Officeen ei ole yhtään aivan kriittisen tason päivitystä tarjolla. CVSS-arvo nousee korkeimmillaan 8,8:aan. Toisin sanoen käyttöjärjestelmien haavoittuvuudet ja niiden paikkaukset ovat hyvin tavanomaisia.

Sen sijaan Windows-käyttöjärjestelmiin kohdistuu kaksi yleisesti julkistettua nollapäivähaavoittuvuutta (CVE-2020-1020 ja CVE-2020-0938). Näistä Adobe Font Manager -kirjastoon kohdistuvista haavoittuvuuksista julkaistiin ilmoitus jo maaliskuun puolessa välissä. Näissäkin haavoittuvuuksissa vaikutukset ovat paljon suurempia Windows 10 1709 -ominaisuusversiota vanhempiin käyttöjärjestelmiin. Tarkempia tietoja koskien näitä lähes identtisiä haavoittuvuuksia voi lukea Microsoftin MRSC-portaalista.

Näiden ja muidenkin haavoittuvuuksien ominaisuuksia ja vaikutuksia on mahdollista tutkia tarkemmin CVSS-laskimella. Microsoft ilmoittaa NVD:n (National Vulnerability Database) CVSS-laskimen linkit per haavoittuvuus omissa haavoittuvuusartikkeleissaan.

Vaikka Microsoft on jälleen pitänyt hyvää huolta tuotteistaan ja tarjoaa tunnettuihin haavoittuvuuksiin korjaukset, on organisaatioiden silti syytä olla entistä tarkempia päivitysten kanssa. Korona-tilanteesta (COVID19) johtuen entistä suurempi osa organisaatioiden loppukäyttäjistä työskentelevät kotonaan. Tällöin päätelaitteet eivät ole enää välttämättä organisaation sisäverkon ja moninaisten tietoturvakontrollien piirissä.

Toinen ehdoton suositus on siirtyä Windows 7 -käyttöjärjestelmästä tuoreimpaan Windows 10 -käyttöjärjestelmään. Tässäkin kuussa osa haavoittuvuuksista on vaikutukseltaan suurempia tähän vanhaan käyttöjärjestelmään ja sen lisäksi päivitykset ovat pääosin maksullisia.

Microsoftin käyttöjärjestelmien tunnetut ongelmat ovat maltillisia tässä kuussa.

Käyttöjärjestelmä Tunnetut ongelmat (ed. kk)
Windows 10, version 1909 ja 1903* and Windows Server, version 1903 0 (1)
Windows 10, version 1809 and Windows Server 2019 1 (2)
Windows 10, version 1803** 1 (0)
Windows 10, version 1709** and Windows Server, version 1709 1 (0)
Windows 10, version 1703*** 1 (0)
Windows 10, version 1607*** and Windows Server 2016 1 (2)
Windows 8.1**** and Windows Server 2012 R2 1 (1)
Windows Server 2012 1 (1)
Windows 7**** and Windows Server 2008 R2 SP1 1 (2)

* 1909 jakaa edeltäjänsä 1903 saman käyttöjärjestelmän ytimen ja identtiset järjestelmätiedostot.
** Windows 10:n kyseisen koontiversion tuki on päättynyt versioilla: Home, Pro ja Enterprise.
*** Windows 10:n kyseisen koontiversion tuki on päättynyt kaikilla versioilla.
**** Windows version Mainstream-tukijakso on päättynyt. Extended-tukijaksot päättyvät: Windows 8.1 10.1.2023 ja Windows 7 14.1.2020.

Vaikka tietoturvapäivitysten kanssa ei tässä kuussa vaadita poikkeuksellisia toimia, on jokaisen ylläpitäjän syytä varmistaa, että ne on asennettu päätelaitteille. Centero suosittelee testaamaan päivitykset huolella ennen tuotantoon siirtämistä. Tämän lisäksi tunnetut ongelmat kannattaa käydä läpi ennen kuin päivityksiä jaellaan.

Microsoft ylläpitää listaa Windows-päivityksistä ja niiden tunnetuista ongelmista seuraavilla sivuilla. Lisätietoja Windows-versioiden elinkaarista löytyy alimmasta linkistä.

Centero Software Manager Cloudin ja CSM Cloud for Serversin avulla laitteesi saavat nämäkin päivitykset hallitusti valitsemasi konfiguraation mukaisesti. Lue lisää Centero Software Managerista täältä.

Lisää luettavaa aiheesta:

Mikä sinua ärsyttää tietoturvapäivityksissä?

Tietokoneiden päivitykset voivat saada ihmisen hulluuden partaalle. Kone saattaa buuttailla kesken kaiken, työt voivat jäädä kesken ja pahimmillaan tallentamattomat työt häviävät. Käy kertomassa Facebook-kisassamme, mikä sinua ärsyttää ohjelmistopäivityksissä. Arvomme 10 kpl 2 kpl leffalippupaketteja vastanneiden kesken. Pääset kisaan klikkaamalla alla olevaa ilmoitusta. TeemuErikois-Ässämies Erikois-Ässä sinkoilee salaman lailla Centero Caven propagandaosaston, savumerkkien lähettämiskeskuksen ja erikoishärvelien rakennuspajan […]

Oma Microsoft-infra eläkkeelle ja palvelut pilvestä – Osa 1: käyttöjärjestelmän hallinta

Moderni työympäristö ei mielestäni saisi rajoittaa tietotyön tekemistä tiettyyn sijaintiin tietylle päätelaitteelle. Tämä on minun ja monen muun mielipide.