Toukokuun 12. päivä Suomeen saapui kesä ja Microsoftin päivitystiistain päivitykset. Korjaavat päivitykset julkaistiin yhteensä 55:een haavoittuvuuteen. Lukumäärä on siis melkoisen pieni verrattuna talveen jolloin haavoittuvuuksia oli lähes poikkeuksetta yli 100 joka kuukausi.

Tärkeimmät huomiot

Haavoittuvuuksista korkein CVSS arvo nousee 9.9. Kyseinen CVE-2021-28476 haavoittuvuus kohdistuu käytännössä kaikkiin Microsoftin käyttöjärjestelmiin. Tämä haavoittuvuus mahdollistaa Hyper-V:hen palvelunestohyökkäykset, mutta sillä saattaa olla myös muita käyttökohteita.

Toiseksi korkeimman CVSS arvon 9.8 saa haavoittuvuus CVE-2021-31166, joka mahdollistaa haitallisen koodin suorituksen käyttöjärjestelmässä. Haavoittuvuutta voidaan hyödyntää lähettämällä haitallinen paketti käyttöjärjestelmän hyödyntämään HTTP Protocol Stack -komponenttiin (http.sys). Microsoft kertoo myös haavoittuvuuden leviävän matomaisesti eli koneesta toiseen ilman käyttäjien toimia.

Näiden todella kriittiseksi luokitellun haavoittuvuuksien lisäksi tässä kuussa paikattiin kolme yleisesti julkistettua haavoittuvuutta: CVE-2021-31204, CVE-2021-31207 ja CVE-2021-31200. Näistä ensimmäinen kohdistuu .NET-framework tuotteeseen ja Visual Studio 2019 sovellukseen. CVE-2021-31207 haavoittuvuus puolestaan löytyi Microsoft Exchange -palvelinohjelmistoon. Hauskana sivujuonteena tuosta mainittakoon, että haavoittuvuus löytyi 2021 Pwn2Own -kilpailussa. Kolmas eli yleisesti julkistettu haavoittuvuus CVE-2021-31200 kohdistuu common_utils.py koodiin. Tästä korjauksesta on GitHubissa oma artikkeli.

Aktiiviset ja tunnetut ongelmat Windows-käyttöjärjestelmissä

Käyttöjärjestelmä Aktiiviset tunnetut ongelmat (viime kuu)
Windows 10, version 20H2 and Windows Server, version 20H2 4 (3)
Windows 10, version 2004 and Windows Server, version 2004 4 (3)
Windows 10, version 1909 ja 1903* and Windows Server, version 1903 1 (0)
Windows 10, version 1809** and Windows Server 2019 1 (1)
Windows 10, version 1803** 0 (0)
Windows 10, version 1709*** and Windows Server, version 1709 Tuki on päättynyt.
Windows 10, version 1703*** Tuki on päättynyt.
Windows 10, version 1607 LTSC*** and Windows Server 20162 1 (2)
Windows 8.1**** and Windows Server 2012 R2 Ei tietoja.
Windows Server 2012 Ei tietoja.
Windows 7**** and Windows Server 2008 R2 SP1 Pääasiallinen tuki on päättynyt.

* 1909 jakaa edeltäjänsä 1903 saman käyttöjärjestelmän ytimen ja identtiset järjestelmätiedostot.

** Windows 10:n kyseisen koontiversion tuki on päättynyt versioilla: Home, Pro ja Enterprise.

*** Windows 10:n kyseisen koontiversion tuki on päättynyt kaikilla versioilla.

**** Windows version Mainstream-tukijakso on päättynyt. Extended-tukijaksot päättyvät: Windows 8.1 10.1.2023 ja Windows 7 14.1.2020.

Suositellut toimenpiteet

Artikkelin alussa mainitut kriittiset, nollapäivä ja yleisesti julkistetut haavoittuvuudet kannattaa paikata viivyttelemättä. Centero kuitenkin suosittelee testaamaan päivitykset huolella ennen tuotantoon siirtämistä. Tämän lisäksi tunnetut ongelmat kannattaa käydä läpi ennen kuin päivityksiä jaellaan.

Microsoftin dokumentaatio aiheesta

Microsoft ylläpitää listaa Windows-päivityksistä ja niiden tunnetuista ongelmista seuraavilla sivuilla. Lisätietoja Windows-versioiden elinkaarista löytyy alimmasta linkistä.

Centero Software Manager Cloudin ja CSM Cloud for Serversin avulla laitteesi saavat nämäkin päivitykset hallitusti valitsemasi konfiguraation mukaisesti. Lue lisää Centero Software Managerista täältä.

Lisää luettavaa aiheesta:

Maaliskuun seesteinen tietoturvatiistai

Maaliskuun päivitystiistaina paikataan jälleen iso määrä haavoittuvuuksia Microsoftin tuotteista. Tässä kuussa haavoittuvuuksia on yhteensä 115. Windows-käyttöjärjestelmien osuus on 79 ja selainten osuus 18. Haavoittuvuuksien kriittisyys ei onneksi tässä kuussa yllä ihan sille korkeimmalle tasolle. Vaikka haavoittuvuuksia on paljon, ja ne kohdistuvat useaan eri tuotteeseen, niin silti niiden hyväksikäytöstä ei ole raportoitu ainakaan vielä. Haavoittuvuuksista ei […]

Päivitä pikaisesti: Pikakorjaus Windows 10 -käyttöjärjestelmään

Maaliskuun päivitystiistaista ei ehtinyt kulua viikkoakaan, kun Microsoft on joutunut julkaisemaan niin kutsutun out-of-band-päivityksen Windows-käyttöjärjestelmälle. Korjattava haavoittuvuus on luokiteltu CVSS-asteikolla arvolle 10.0/10.0, joten nyt puhutaan erittäin kriittisestä haavoittuvuudesta. Haavoittuvuus koskee kahta viimeisintä (1903 ja 1909) Windows 10 -ominaisuuspäivitystä. Toisin sanottuna kyseinen KB4551762-päivitys tulisi asentaa mahdollisimman nopeasti. Mikäli syystä tai toisesta päivitystä ei voida saman tien […]