Toukokuun 12. päivä Suomeen saapui kesä ja Microsoftin päivitystiistain päivitykset. Korjaavat päivitykset julkaistiin yhteensä 55:een haavoittuvuuteen. Lukumäärä on siis melkoisen pieni verrattuna talveen jolloin haavoittuvuuksia oli lähes poikkeuksetta yli 100 joka kuukausi.

Tärkeimmät huomiot

Haavoittuvuuksista korkein CVSS arvo nousee 9.9. Kyseinen CVE-2021-28476 haavoittuvuus kohdistuu käytännössä kaikkiin Microsoftin käyttöjärjestelmiin. Tämä haavoittuvuus mahdollistaa Hyper-V:hen palvelunestohyökkäykset, mutta sillä saattaa olla myös muita käyttökohteita.

Toiseksi korkeimman CVSS arvon 9.8 saa haavoittuvuus CVE-2021-31166, joka mahdollistaa haitallisen koodin suorituksen käyttöjärjestelmässä. Haavoittuvuutta voidaan hyödyntää lähettämällä haitallinen paketti käyttöjärjestelmän hyödyntämään HTTP Protocol Stack -komponenttiin (http.sys). Microsoft kertoo myös haavoittuvuuden leviävän matomaisesti eli koneesta toiseen ilman käyttäjien toimia.

Näiden todella kriittiseksi luokitellun haavoittuvuuksien lisäksi tässä kuussa paikattiin kolme yleisesti julkistettua haavoittuvuutta: CVE-2021-31204, CVE-2021-31207 ja CVE-2021-31200. Näistä ensimmäinen kohdistuu .NET-framework tuotteeseen ja Visual Studio 2019 sovellukseen. CVE-2021-31207 haavoittuvuus puolestaan löytyi Microsoft Exchange -palvelinohjelmistoon. Hauskana sivujuonteena tuosta mainittakoon, että haavoittuvuus löytyi 2021 Pwn2Own -kilpailussa. Kolmas eli yleisesti julkistettu haavoittuvuus CVE-2021-31200 kohdistuu common_utils.py koodiin. Tästä korjauksesta on GitHubissa oma artikkeli.

Aktiiviset ja tunnetut ongelmat Windows-käyttöjärjestelmissä

Käyttöjärjestelmä Aktiiviset tunnetut ongelmat (viime kuu)
Windows 10, version 20H2 and Windows Server, version 20H2 4 (3)
Windows 10, version 2004 and Windows Server, version 2004 4 (3)
Windows 10, version 1909 ja 1903* and Windows Server, version 1903 1 (0)
Windows 10, version 1809** and Windows Server 2019 1 (1)
Windows 10, version 1803** 0 (0)
Windows 10, version 1709*** and Windows Server, version 1709 Tuki on päättynyt.
Windows 10, version 1703*** Tuki on päättynyt.
Windows 10, version 1607 LTSC*** and Windows Server 20162 1 (2)
Windows 8.1**** and Windows Server 2012 R2 Ei tietoja.
Windows Server 2012 Ei tietoja.
Windows 7**** and Windows Server 2008 R2 SP1 Pääasiallinen tuki on päättynyt.

* 1909 jakaa edeltäjänsä 1903 saman käyttöjärjestelmän ytimen ja identtiset järjestelmätiedostot.

** Windows 10:n kyseisen koontiversion tuki on päättynyt versioilla: Home, Pro ja Enterprise.

*** Windows 10:n kyseisen koontiversion tuki on päättynyt kaikilla versioilla.

**** Windows version Mainstream-tukijakso on päättynyt. Extended-tukijaksot päättyvät: Windows 8.1 10.1.2023 ja Windows 7 14.1.2020.

Suositellut toimenpiteet

Artikkelin alussa mainitut kriittiset, nollapäivä ja yleisesti julkistetut haavoittuvuudet kannattaa paikata viivyttelemättä. Centero kuitenkin suosittelee testaamaan päivitykset huolella ennen tuotantoon siirtämistä. Tämän lisäksi tunnetut ongelmat kannattaa käydä läpi ennen kuin päivityksiä jaellaan.

Microsoftin dokumentaatio aiheesta

Microsoft ylläpitää listaa Windows-päivityksistä ja niiden tunnetuista ongelmista seuraavilla sivuilla. Lisätietoja Windows-versioiden elinkaarista löytyy alimmasta linkistä.

Centero Software Manager Cloudin ja CSM Cloud for Serversin avulla laitteesi saavat nämäkin päivitykset hallitusti valitsemasi konfiguraation mukaisesti. Lue lisää Centero Software Managerista täältä.

Lisää luettavaa aiheesta:

Centeron PAM-tuote Carillon saamassa pian tuen Azure AD -liitoksille

Edistyneet asiakkaamme auttavat tuotekehitystämme Centeron tuottelias tuotekehitysosasto työskentelee parhaillaan Carillonin parissa. Nimittäin jo tovin aikaa on Carilloniin odoteltu kunnollista tukea Azure AD:hen liitettyjen koneiden hallintaan. Toivomuksia tästä uudesta ominaisuudesta on kuultu pääasiassa modernia työasemien hallintaa hyödyntäviltä asiakkailta. Tämän kaltaisia toiveita Centeron asiakasrajapinnassa työskentelevä väki välittääkin hanakasti tuotekehityksen suuntaan. Kehitysaskeleita alkuvuonna on otettu erityisesti suositun Centero […]

Helmikuun Wayne Gretzky -tietoturvatiistai

Microsoft paikkasi yhteensä Wayne Gretzkyn jäädytetyn pelinumeron verran eli 99 haavoittuvuutta helmikuun päivitystiistaina. Viime kerralla lähes yhtä korkeita haavoittuvuusmääriä oli viimeksi 2019 elokuussa, jolloin Microsoft paikkasi niitä 93 kappaleen verran. Microsoft kertoi jo tammikuussa, että Internet Explorer sisältää nollapäivä-haavoittuvuuden, joka on yleisesti julkistettu (CVE-2020-0674). Kyseinen haavoittuvuus sai paikkauksensa nyt päivitystiistaina. Tässä on mainio esimerkki siitä, […]