补丁星期二打破了记录 - 有些好,最糟糕 - 并“检查更新的静止
昨天,微软的“B周”补丁周二,我们看到了一套相当小的补丁 - “小”是相对的指定。Microsoft目录中有194名12月更新,其中39个单独识别安全漏洞(CVES),以及每个支持的Windows,Office和.NET版本获取剂量。我们还有一个新的安全咨询,列出了两个新的服务堆栈更新。
像往常一样,Martin Brinkman在Ghacks.net有完全崩溃。
零天
只有一个贴片涉及一种已知的内爆炸,并且那个人颇为晦涩难懂。CVE-2018-8611安全漏洞是另一个特权高程错误。这意味着如果奇怪的是进入您的计算机,它可以通过利用此错误来悬浮到管理员状态。卡巴斯基实验室研究人员发现了来自两个“威胁演员”的漏洞中的安全洞(阅读:群体背后有很多钱,可能是基于政府的政府)称为果实和桑德纳:
CVE-2018-8611是由于在内核模式下的交易文件操作的不当处理而存在于内核事务管理器中的竞争条件。......这个漏洞成功地绕过了现代流程缓解政策。...结合受损坏的渲染器进程,例如,此漏洞可能导致最新的最先进的Web浏览器中的完整遥控命令执行漏洞链。我们已经找到了多次构建这种漏洞的漏洞利用。最新版本包括更改以反映Windows操作系统的最新版本。
只要你没有过于关注果实和桑德纳特,就没有理由立即涂上补丁。
一个承认的错误
安装了修补程序的内侧人士报告了很少的问题。当然,通过我的思维方式,讲述补丁中存在重大错误的方式太早了,我建议你留下来,直到未付的测试人员有自己的方式。
Microsoft发布了一个错误:Win10版本1803的累积更新 - 这是Windows 10 - KB 4471324中最常见的版本,带来一个小小的惊喜:
安装此更新后,某些用户无法将“开始”菜单或任务栏上的Web链接密码。Microsoft正在进行分辨率,并在即将发布中提供更新。
不完全是接地破碎的。
Chakracore连续第15个月戳了抨击
这是提出眉毛的统计数据。根据艾伦丽思的录制未来,这是Microsoft在其边缘浏览器中修补了一个安全漏洞的第15个月:
Microsoft Edge在其Chakra核心脚本引擎中具有多种关键漏洞。这是2017年9月,Microsoft在Chakra Scripting Engine中披露了一个漏洞的第15次,Microsoft在Chakra Scripting Engine中披露了脆弱性,是2017年9月。本月的漏洞(CVE-2018-8583和CVE-2018-8629)是一个内存损坏漏洞,如果已被剥削,允许攻击者在受害者的计算机上执行任意代码。
Chakracore JavaScript引擎刚刚经历过A,UH,主要的生活事件。上周,微软的Joe Belfiore宣布,Edge浏览器正在经历极端的改造,丢弃其Vaunted EdgeHTML渲染引擎。Computerworld的Gregg Keizer通过这种方式使其如下:
经过多年来的击倒,微软本周在浏览器战争中投降,并表示它将垃圾边缘的家用成长渲染引擎并用眨眼更换它,发动机为谷歌的镀铬。使用Addium Project的边缘纸张代码,浏览器还将能够在Windows 7和Windows 8.1和Windows上运行。
任何官方公告都没有提到Chakracore,但开发人员担心,因为Chakracore JavaScript引擎在许多人的思想中与EdgeHTML相关联。第二天,Microsoft工程师Liminzhu在Github上发布了这个:
我们已经看到了Chakracore的问题,我们希望与我们这么多支持的开源社区是透明和诚实的。要与其余的平台兼容并降低互操作性风险,Microsoft Edge将使用V8引擎作为此更改的一部分。有很多建立和学习,但我们很高兴参加V8社区,并开始为项目做出贡献。
Chakracore目前正在浏览器外的各种项目中使用。因此,尽管微软优势的方向变化,我们的团队将继续支持Chakracore。
Chrome v8是一个与chakracore的JavaScript竞争对手。
请记住,Edge应该是Microsoft最安全的浏览器。它看起来好像Chakracore已经跌跌撞撞得很大。也许转换到铬也受到Chakracore的缺点的影响?
寻求者不尊重
看起来微软回到了它的旧方法,解释了“检查更新”作为Carte Blanche在您的机器上安装任何内容和所有内容,而无需首先向您提出列表或要求许可。在Microsoft Lexicon中“检查”是同义词“安装无论您想要的东西。”
我看到了许多寻求者的报告 - 那些有临时点击“检查更新”的人 - 最终在他们的机器上闪亮新的副本。
不要被愚弄。如果要等待安装下一个版本的Windows,请将其设置为阻止版本1809。除非您通过完整的WushoWhide循环,否则请勿单击“检查”更新以确保任何不需要的更新/升级/ offal被阻止。
服务堆栈更新
微软仍然没有找到可靠的方法来获取Windows更新以在没有外部干扰的情况下更新自身。因此,我们在新重新发行的服务堆栈更新咨询9900001中有两个新的服务堆栈更新:
Win10 1709 Build 16229.846 KB 4477136
Win10 1803 Build 17134.471 KB 4477137
预览12月的喘息
微软已经享有怜悯我们,我认为 - 或者它可能会让员工休息一下 - 并且承诺这不会让我们对Windows 10的任何非安全性“第二月”累积更新和“每月预览”汇总“Win7和8.1。所有最新的KB文章包括救济的承诺:
由于在假期和即将到来的新年期间的业务最小,因此在2018年12月期间不会有任何预览版本。每月维修将恢复2019年1月安全发布。
我们只能希望。
该怎么办
没有什么。稳坐。你门口没有狼。让我们看看在安装它们之前如何进行这些补丁。
也许我们将获得一个节目在Microsoft PS出去在出现之前测试所有这些东西的斯宾斯。Michael Fortin的帖子Windows每月安全性和质量更新概述肯定会让我们很多洞察力识别,易于工作的过程。也许我们会得到一个更好的。
啊,我再次希望。
加入Askwoody Lounge的持续手表。