六月补丁星期二更新重点关注 Windows、Office

微软本周推出了 73 个更新，但没有一个是引人注目的——在经过数月的零日修复之后，这是一个值得欢迎的喘息机会。

微软在周二补丁日发布了 73 个 Windows、Office 和 Visual Studio 平台更新，其中许多更新涉及核心，但并不紧急，。这是对过去六个月的紧急零日漏洞和公开披露的一个可喜的喘息。考虑到这一点，准备状态测试团队建议重点关注打印和备份/恢复过程，以确保它们不受此更新周期的影响。

我们第一次看到（非 Adobe）第三方供应商添加到，对 Visual Studio for AutoDesk 进行了三个小的插件更新。预计在不久的将来会看到更多此类供应商添加到 Microsoft 的更新中。团队于准备状态创造了一个有用的信息图表概述了与每个更新相关的风险。

已知问题

每个月，Microsoft 都会提供与当前更新周期中的操作系统和平台相关的已知问题列表。

对于通过自定义脱机媒体或自定义 ISO 映像创建 Windows 安装的设备，此更新可能会删除旧版 Microsoft Edge。我们建议您下载新版本微软边缘。是时候了。
安装 2023 年 1 月 10 日或之后发布的更新后，启用了自动登录的自助服务终端设备配置文件可能无法正确登录。微软正在研究这个问题。
安装此更新或更高版本后，带有某些第三方 UI 自定义应用程序的 Windows 设备可能无法启动。这些应用程序可能会导致 explorer.exe 出现错误，这些错误可能会在循环中重复多次。微软目前正在调查；目前尚无计划的解决方案。
在某些版本的 VMware ESXi 上运行 Windows Server 2022 的来宾虚拟机 (VM) 上安装此更新后，Windows Server 2022 可能无法启动。是的，这是真的。 Microsoft 和 VMWare 都在致力于解决这个问题。

目前，我们对 Microsoft 针对 Server 20222/VMWare 和第三方 UI 问题的越界或提前更新计划没有任何了解。这些问题很严重，因此我们预计 Microsoft 很快会做出回应。

主要修订

Microsoft 安全更新指南最近修订了以下常见漏洞和暴露 (CVE)：

CVE-2023-24953 和 CVE-2023-29344 Microsoft Excel（和 Microsoft Office）远程代码执行漏洞：Microsoft 使用此增量更新来宣布安全更新的可用性 Mac 版微软 Office。

缓解措施和解决方法

Microsoft 在本月的版本中发布了这些与漏洞相关的缓解措施：

CVE-2023-32014, CVE-2023-32015,和 CVE-2023-29363, Windows Pragmatic General Multicast (PGM)：Microsoft 建议您检查是否有名为的服务正在运行消息队列TCP 端口 1801 正在机器上侦听。如果未启用此功能，则目标计算机不易受到攻击。
CVE-202332022：Windows Server 服务安全功能绕过漏洞。 Microsoft 建议仅 Active Directory (AD) 群集受到影响。

每个月，团队在准备状态分析最新的补丁星期二更新，以制定详细的、可操作的测试指南。本指南基于对大型应用程序组合的评估以及对 Microsoft 补丁及其对 Windows 平台和应用程序安装的潜在影响的详细分析。

鉴于此周期中包含大量系统级更改，测试场景分为标准和高风险配置文件。

高风险

与桌面系统上处理 SQL 查询的方式相关的核心安全更改非常相似，Microsoft 对某些渲染 API 的处理方式进行了根本性更新，并设置了一组新的安全限制。这是一个关键要求单独的用户模式和内核打印机驱动程序请求。这些不是新的 API 或新功能，而是现有 API 回调例程的强化。这是一个很大的改变，需要一个完整的，包括：

与您完整的生产测试制度（对此感到抱歉）。
启用不同的高级打印机功能（例如，水印）并运行打印测试。
通过 RDP 和 VPN 连接测试您的打印。

标准风险

本月更新中包含的以下更改被认为不会带来意外结果的高风险，并且不包括功能更改：

在组策略首选项中创建、修改、删除文件夹和文件。
测试语音打字（在 Windows 11 中）或听写（在 Windows 10 中）。语音文本应按预期呈现。
在其中一台测试域控制器上安装 Kerberos 更新。更新后，Kerberos 身份验证应该仍然成功。
播放 MPEG4 视频或使用 Windows 资源管理器打开包含 mpeg4 文件的目录。不应报告退出代码错误。
将远程桌面更新应用到目标工作站后；在客户端和服务器之间创建远程桌面连接。然后使用 RD 网关重复此过程。
使用浏览器、消息传递 (Teams/Slack)、文件传输 (FTP) 和视频流 (但不要分享您的密码）。

微软现在不允许避免内存不足和截断内存BCD 选项时安全启动已开启。此外，微软正在阻止具有以下特征的引导加载程序：不是已更新为 2023 年 5 月更新。

笔记：除非您的恢复映像也应用了重要的 2023 年 5 月更新，否则您的恢复选项将受到严重限制。对于这一特定的启动过程更改，准备团队建议采用以下测试制度。

更新后的目标计算机应按预期启动，同时启用安全启动和 BitLocker。您不应收到启动错误或 BitLocker 恢复屏幕。
当操作系统驱动器上启用 BitLocker 但安全启动已关闭时，更新的目标计算机应按预期启动，并且不会进行 BitLLocker 恢复。

测试制度完成后，请立即更新您的恢复介质。

所有这些（标准和高风险）测试场景都需要在常规部署之前进行大量的应用程序级测试。鉴于本月补丁中包含的更改的性质，准备团队建议在部署之前进行以下测试：

安装、更新和卸载您的核心业务应用程序。
检查您的打印机驱动程序并验证他们的证书。
测试您的备份和恢复介质。

自动化测试将有助于解决这些场景（特别是提供“增量”或构建之间比较的测试平台。但是，对于业务线应用程序，让应用程序所有者（执行 UAT）测试和批准结果是绝对必要的。

Windows 生命周期更新

本节将包含对 Windows 桌面和服务器平台服务（以及大多数安全更新）的重要更改。

Windows 10 家庭版和专业版，版本 21H2 是停止服务支持截至 6 月 13 日。

每个月，我们都会将更新周期分解为产品系列（由 Microsoft 定义），并进行以下基本分组：

浏览器（Microsoft IE 和 Edge）；
Microsoft Windows（桌面版和服务器版）；
微软办公软件；
微软交换服务器；
微软开发平台（网络平台核心、.NET Core 和 Chakra Core）；
Adobe（我们有一位嘉宾：AutoDesk）。

浏览器

微软发布了四个低优先级又发布了 14 个补丁铬平台（Edge 是在其上构建的）。我们还没有看到公开披露或利用的报告。也就是说，有几个尚未完全解决和发布的突出安全修复程序。因此，我们可能会在本月晚些时候看到 Chromium/Edge 项目的更新。将这些更新添加到您的标准补丁发布计划中。

视窗

本月，微软发布了四款以及 33 个对 Windows 平台重要的补丁；它们涵盖以下关键组成部分：

Windows PGM。
Windows Hyper-V。
Windows TPM 设备驱动程序、加密和 Kerberos。
NTFS 和 SCSi 组件。
内核和视频编解码器。

这是针对 Windows 桌面和服务器平台的一次适度更新，应该被视为对最近严重漏洞（公开披露和利用）的一次可喜突破。正如 5 月份所指出的并包含在本月的指导中，重点应该放在测试上备份和恢复过程。将此更新添加到您的“立即修补”发布计划中。

微软办公软件

Microsoft 通过 SharePoint Enterprise 服务器补丁为其 Office 平台提供了一项重要更新。其余 11 个更新影响 Microsoft Outlook、Excel 和 OneNote。这些都是相对低调的漏洞，对 Mac 用户的影响可能比 Windows 用户更大。将这些 Office 更新添加到您的标准发布计划中。

微软交换服务器

微软交换服务器(CVE-2023-28310和 CVE-2023-32031）两者均被评为重要。这些安全漏洞需要内部身份验证，并且已得到 Microsoft 官方/确认的修复。目前还没有关于这两个问题的漏洞利用或公开披露的报告。尽管更新 Exchange Server 有点麻烦，但您可以将这两个更新添加到本月的标准发布计划中。

微软开发平台

6 月为 Microsoft 开发平台提供了大量补丁，其中包括对 .NET 的一次关键更新、对 Visual Studio 评定为重要的 22 个更新的健康帮助、对 Sysinternals 工具的一次（低评级）更新，以及对旧的不受支持的 .NET 版本的中等（多么不寻常！）更新。乍一看，我们的团队认为这将是一个具有大量测试配置文件的重大更新。经过一番检查，这更像是微软的一次“企业卫生”活动，清理了其核心开发工具的小补丁。

将这些更新添加到您的标准开发人员发布计划中。

Adobe Reader（我们有一位嘉宾：AutoDesk）

Adobe 本月没有针对 Reader 或 Acrobat 的任何更新。但是，由于幸运（或坏运气），我们还有另一个“A”需要担心。引入 Microsoft 对外部 CNA 的支持 (CVE 编号机构）一月份允许第三方应用程序包含在 Microsoft 更新中。微软此前只包含 Adobe。本月，随着 AutoDesk 的三个 CVE 的推出，这一切都发生了改变。

这三个报告的漏洞（CVE-2023-27911, CVE-2023-27910和 CVE-2023-27909）虽然是由 Autodesk 开发的，但实际上是 Microsoft Visual Studio（较旧的、不受支持的）版本的插件。这就是为什么这三个问题已包含在本月的补丁星期二版本中。将这些更新添加到您的标准“第三方”更新发布计划中。如果您以前没有，现在您有了。

快乐修补。