六月补丁星期二更新重点关注 Windows、Office

微软在补丁星期二发布了 73 个针对 Windows、Office 和 Visual Studio 平台的更新，其中许多更新针对的是核心但并不紧急的安全漏洞。这是对过去六个月紧急零日漏洞和公开披露的缓解。考虑到这一点，准备情况测试团队建议重点关注打印和备份/恢复过程，以确保它们不受此更新周期的影响。

我们首次看到第三方供应商（非 Adob​​e）加入到补丁星期二发布中，为 Visual Studio for AutoDesk 添加了三个小插件更新。预计不久的将来会有更多此类供应商加入到 Microsoft 的更新中。 准备情况创造了一个有用的 信息图概述了与每次更新相关的风险。

已知的问题

每个月，微软都会列出与当前更新周期中的操作系统和平台相关的已知问题列表。

• 使用自定义脱机媒体或自定义 ISO 映像创建的 Windows 安装的设备可能会因此更新而删除 Microsoft Edge Legacy。我们建议您下载新的微软边缘。 是时候了。
• 安装 2023 年 1 月 10 日或之后发布的更新后，启用了自动登录的自助服务终端设备配置文件可能无法正确登录。Microsoft 正在努力解决此问题。
• 安装此更新或更高更新后，带有某些第三方 UI 自定义应用的 Windows 设备可能无法启动。这些应用可能会导致 explorer.exe 出现错误，并可能循环重复多次。Microsoft 目前正在调查；目前尚无计划的解决方案。
• 在某些版本的 VMware ESXi 上运行 Windows Server 2022 的客户虚拟机 (VM) 上安装此更新后，Windows Server 2022 可能无法启动。是的，这是真的。微软和 VMWare 都在努力解决这个问题。

目前，我们尚未获悉微软针对 Server 20222/VMWare 和第三方 UI 问题制定的越界或提前更新计划。这些问题非常严重，因此我们期待微软尽快做出回应。

重大修订

Microsoft 安全更新指南中最近修订了以下常见漏洞和暴露 (CVE)：

• CVE-2023-24953 和 CVE-2023-29344 Microsoft Excel（和 Microsoft Office）远程代码执行漏洞：Microsoft 使用此增量更新宣布了以下安全更新的可用性： 适用于 Mac 的 Microsoft Office。

缓解措施和解决方法

微软在本月的发布中发布了这些与漏洞相关的缓解措施：

• CVE-2023-32014， CVE-2023-32015，和 CVE-2023-29363、Windows Pragmatic General Multicast (PGM)：Microsoft 建议您检查是否有名为的服务正在运行消息队列并且 TCP 端口 1801 正在监听该机器。如果未启用此功能，则目标机器不易受到攻击。
• CVE-202332022：Windows Server 服务安全功能绕过漏洞。微软建议只有 Active Directory (AD) 群集会受到影响。

每个月，团队在 准备情况分析最新的补丁星​​期二更新，以制定详细、可操作的测试指南。该指南基于对大量应用程序组合的评估以及对 Microsoft 补丁及其对 Windows 平台和应用程序安装的潜在影响的详细分析。

鉴于此周期包含大量系统级变化，测试场景分为标准和高风险配置文件。

高风险

与桌面系统处理 SQL 查询方式相关的核心安全更改非常相似，微软对某些渲染 API 的处理方式进行了根本性的更新，并设置了一组新的安全限制。这是 单独的用户模式和内核打印机驱动程序请求。这些不是新的 API 或新功能，而是对现有 API 回调例程的强化。这是一个很大的变化，需要完整的打印机测试制度，包括：

• 使用完整的生产测试制度测试所有打印机（对此我们深感抱歉）。
• 启用不同的高级打印机功能（例如水印）并运行打印测试。
• 通过 RDP 和 VPN 连接测试您的打印。

标准风险

本月更新中包含的以下更改不被视为具有意外结果的高风险，并且不包括功能性更改：

• 在组策略首选项中创建、修改、删除文件夹和文件。
• 测试 语音输入 （在 Windows 11 中）或听写（在 Windows 10 中）。口述文本应按预期呈现。
• 在其中一个测试域控制器上安装 Kerberos 更新。更新后，Kerberos 身份验证仍应成功。
• 播放 MPEG4 视频或使用 Windows 资源管理器打开包含 mpeg4 文件的目录。不应报告退出代码错误。
• 将远程桌面更新应用到目标工作站后，在客户端和服务器之间创建远程桌面连接。然后使用 RD 网关重复此过程。
• 使用浏览器、消息传递 (Teams/Slack)、文件传输 (FTP) 和视频流等应用程序测试您的网络/互联网连接和互联网连接 (但不要分享你的密码）。

微软现在禁止avoidlowmemory和 截断内存BCD 选项 安全启动已启用。此外，微软正在阻止已启用的引导加载程序不是已更新至 2023 年 5 月更新。

笔记：除非您的恢复映像也应用了此重要的 2023 年 5 月更新，否则您的恢复选项将受到严重限制。对于此特定的启动过程更改，准备团队建议采用以下测试方案。

• 更新后的目标计算机应按预期启动，同时启用安全启动和 BitLocker。您不应收到启动错误或 BitLocker 恢复屏幕。
• 当在 OS 驱动器上启用 BitLocker 但安全启动已关闭时，更新后的目标机器应按预期启动，并且不会触发 BitLLocker 恢复。

测试过程完成后请立即更新恢复媒体。

所有这些（标准和高风险）测试方案在全面部署之前都需要进行大量的应用级测试。鉴于本月补丁中包含的更改的性质，准备团队建议在部署之前进行以下测试：

• 安装、更新和卸载您的核心业务线应用程序。
• 检查您的打印机驱动程序并验证其证书。
• 测试您的备份和恢复媒体。

自动化测试将有助于解决这些情况（尤其是提供“增量”或构建之间比较的测试平台）。然而，对于业务线应用程序，让应用程序所有者（执行 验收测试 (UAT)) 来测试和批准结果是绝对必要的。

Windows 生命周期更新

本节将包含对 Windows 桌面和服务器平台的服务（以及大多数安全更新）的重要变化。

• Windows 10 家庭版和专业版 21H2 版不再提供服务支持截至6月13日。

每个月，我们将更新周期细分为产品系列（由 Microsoft 定义），基本分组如下：

• 浏览器（Microsoft IE 和 Edge）；
• Microsoft Windows（桌面版和服务器版）；
• 微软办公软件;
• 微软 Exchange 服务器；
• Microsoft 开发平台 (网上邻居Core、.NET Core 和 Chakra Core)；
• Adobe（我们有一位嘉宾：AutoDesk）。

浏览器

微软发布了四个低优先级的 Edge 更新，并向 Chromium 平台（Edge 就是基于此构建的）。我们尚未看到公开披露或漏洞利用的报告。话虽如此，但仍有几个未解决的安全修复程序尚未完全解决和发布。因此，我们可能会在本月晚些时候看到 Chromium/Edge 项目的更新。将这些更新添加到您的标准补丁发布计划中。

视窗

本月，微软发布了四个关键更新和 33 个对 Windows 平台重要的补丁；它们涵盖了以下关键组件：

• Windows PGM。
• Windows Hyper-V。
• Windows TPM 设备驱动程序、Crypto 和 Kerberos。
• NTFS 和 SCSi 组件。
• 内核和视频编解码器。

这是针对 Windows 桌面和服务器平台的适度更新，应该被视为对最近严重漏洞（包括公开披露和利用的漏洞）的一次可喜突破。正如 5 月份所指出的以及本月指南中所包含的，重点应该放在测试上 备份和恢复过程. 将此更新添加到您的“立即修补”发布计划中。

微软办公软件

Microsoft 为其 Office 平台提供了一个关键更新，其中包含 SharePoint Enterprise 服务器补丁。其余 11 个更新影响 Microsoft Outlook、Excel 和 OneNote。这些都是相对低调的漏洞，对 Mac 用户的影响可能大于对 Windows 用户的影响。将这些 Office 更新添加到您的标准发布计划中。

微软 Exchange 服务器

微软发布了针对 Microsoft Exchange Server 的两个更新 (CVE-2023-28310和 CVE-2023-32031) 均被评为重要。这些安全漏洞需要内部身份验证，并且 Microsoft 已正式/确认修复。这两个问题均未报告漏洞或公开披露。尽管更新 Exchange Server 有点麻烦，但您可以将这两个更新添加到本月的标准发布计划中。

Microsoft 开发平台

6 月份为 Microsoft 开发平台提供了大量补丁，其中包括对 .NET 的一次关键更新、22 个被评为对 Visual Studio 重要的更新、对 Sysinternals 工具的一次（低评级）更新以及对较旧的不受支持的 .NET 版本的一次中等（多么不寻常！）更新。乍一看，我们的团队认为这将是一次需要大量测试配置文件的重大更新。经过一番检查，这更像是 Microsoft 的“企业卫生”活动，旨在清理其核心开发工具的小补丁。

将这些更新添加到您的标准开发人员发布计划中。

Adobe Reader（我们有一位嘉宾：AutoDesk）

本月 Adob​​e 没有针对 Reader 或 Acrobat 的更新。但幸运的是（或者说不幸），我们还有另一个“A”要担心。微软引入了对外部 CNA 的支持（CVE 编号机构) 于 1 月份允许将第三方应用程序纳入 Microsoft 更新。Microsoft 之前仅将 Adob​​e 纳入其中。本月，随着 AutoDesk 引入三个 CVE，这一切都发生了改变。