Patch Tuesday: Nieuw besturingssysteemseizoen!

Abonneer je gratis op Techzine!

De zomervakanties zijn voorbij en voor velen gaan de kinderen eindelijk weer naar school en keert de rust terug. Ik hoop dat iedereen goed uitgerust is, want het ziet er naar uit dat de herfst een drukke tijd gaat worden. Microsoft heeft Server 2022 uitgebracht en Windows 11 komt in oktober. Apple heeft ook de bèta klaar van de volgende versie van macOS.

Maar laten we beginnen met ons te concentreren op een nieuwe Office-kwetsbaarheid (die al werd aangekondigd vóór Patch Tuesday).

CVE-2021-40444

Microsoft kondigde op 8 september de aanwezigheid aan van CVE-2021-40444; dit beveiligingslek krijgt zowel de status ‘openbaar gemaakt’ mee als ‘zeker misbruikt’. Door het beveiligingslek kan externe code worden uitgevoerd via MSHTML, een onderdeel dat wordt gebruikt door Internet Explorer en Office. Microsoft heeft een gedetailleerde oplossing toegevoegd om de installatie van alle ActiveX-besturingselementen in Internet Explorer uit te schakelen, waardoor deze aanval wordt beperkt. Hou volgende week een update in de gaten die dit beveiligingslek verhelpt, anders moet je deze oplossing overwegen om het probleem op korte termijn op te lossen totdat er een oplossing wordt vrijgegeven. De CVSS 3.0-score is 8,8.

Windows Server 20222

Microsoft heeft op 18 augustus heel stilletjes Windows Server 2022 gelanceerd. De release werd officieel bevestigd op 1 september. Als we naar de Lifecycle-ondersteuningspagina kijken, zien we dat de reguliere ondersteuning officieel eindigt op 13 oktober 2026 en de uitgebreide ondersteuning in oktober 2031. Volgens het blog biedt deze nieuwe release een ‘secured-core’ die een nauwere integratie met hardware, firmware en stuurprogramma’s mogelijk maakt voor extra beveiliging.

De nieuwe release voegt snellere en veiligere versleutelde Hypertext Transfer Protocol Secure (HTTPS) en industriestandaard AES-256-encryptie toe met ondersteuning voor het Server Message Block (SMB)-protocol.

 De focus voor deze release lijkt te liggen op de Azure Datacenter Edition die uitgebreide schaalbaarheid en verbeterde ondersteuning voor containers biedt.

De acceptatie van nieuwe besturingssystemen voor werkstations kan snel of langzaam verlopen, afhankelijk van het beleid van je organisatie en de branche waarin je actief bent. Hoe dan ook, Windows 11 komt op 5 oktober, dus daar moeten we op de een of andere manier op voorbereid zijn. Dit nieuwe besturingssysteem is nog steeds gebaseerd op Windows 10, maar zal enkele eigen beveiligingsfuncties hebben.

macOS 12 Monterey

De openbare bèta van macOS 12 Monterey is uitgebracht op 31 augustus, dus Apple ligt op schema voor een officiële release later dit najaar. Het heeft ook enkele beveiligingsfuncties toegevoegd voor dataprivacy. Naast je standaard patchroutines, moet je nu dus ook Microsoft Server 2022 aan je lijstje toevoegen en vast in de agenda zetten om daar in de nabije toekomst Windows 11 en macOS 12 aan toe te voegen. Je wilt immer niet zonder patchondersteuning zitten wanneer die op de markt komen.

Patch Tuesday-voorspellingen

  • Ik verwacht dat een beperkt aantal CVE’s deze maand voor alle besturingssystemen omdat ze bij Microsoft terugkomen van vakantie. We zijn nu halverwege voor wat betreft de Extended Security Updates (ESU’s) voor Windows 7 en Server 2008/2008 R2, dus iedereen die deze besturingssystemen gebruikt, zou nu aan een upgradeschema moeten werken. Nu CVE-2021-40444 is aangekondigd, kunnen we uitgaan van een update voor Internet Explorer.
  • Adobe Acrobat en Reader worden volgende week bijgewerkt, aangezien Adobe een Prenotification Security Advisory APSB21-55 heeft uitgegeven.
  • Verwacht volgende week geen Apple-updates. iTunes, iCloud en macOS Big Sur 11 zijn medio augustus allemaal bijgewerkt. Als je je systemen niet hebt bijgewerkt, moet je echt overwegen deze in je aanstaande patchcyclus op te nemen.
  • Google heeft op 8 september een stabiele kanaalupdate voor Chrome OS uitgebracht naar 93.0.4577.69 en deze week verschillende bètakanaalupdates voor andere producten, dus ga er maar vanuit dat er deze week geen beveiligingsrelease komt.
  • Mozilla had op 7 september een topdag met het uitbrengen van updates voor Thunderbird 78 en 91, Firefox ESR 78 en 91 en Firefox 92. Als je deze beveiligingsupdates nog niet hebt gedistribueerd, neem ze dan mee in je volgende patchcyclus.

September zou voor de meesten een relatief rustige Patch Tuesday moeten zijn, maar geniet van de stilte voor de storm. Software-updates worden doorgaans in oktober en november voorafgaand aan de eindejaarsvakantie geïntroduceerd. We moeten daarom alvast rekening houden met het toevoegen van ondersteuning voor de introductie van alle nieuwe besturingssystemen.

Dit is een ingezonden bijdrage van Todd Schell, Senior Product Manager Security bij Ivanti. Via deze link vind je meer informatie over de mogelijkheden van het bedrijf.