Poprawki i łatki bezpieczeństwa dla Windows 7 i 8.1 w kwietniowym Patch Tuesday

W 2016 roku Microsoft ogłosił, że jego starsze systemy będą aktualizowane na wzór Windows 10. Windows 7, 8.1., Server 2008 R2 SP1, Server 2012 i Server 2012 R2 otrzymują już od prawie 3 lat comiesięczne aktualizacje zbiorcze w każdy drugi wtorek miesiąca (Patch Tuesday). Jako że ten dzień wypada właśnie dzisiaj, tradycyjnie zerkniemy na listy zmian. Jeśli korzystacie z Windows 10, możecie także sprawdzić zmiany w jego aktualizacjach.

Windows 7 SP1 i Windows Server 2008 R2 SP1: zmiany w aktualizacji KB4493472 dla PC

• Aktualizacja ta zapewnia ochronę przed Spectre Variant 2 (CVE-2017-5715) oraz Meltdown (CVE-2017-5754) dla komputerów opartych na VIA. Są one domyślnie włączone dla klienta Windows, ale wyłączone dla Windows Server. Administratorzy mogą dowiedzieć się więcej z KB4073119 (wersja kliencka) i KB4072698 (wersja serwerowa).
• Rozwiązano problem wywołujący błąd "0x3B_c0000005_win32k!vSetPointer", kiedy sterownik trybu jądra, win32k.sys, uzyskiwał dostęp do niewłaściwej lokacji pamięci.
• Rozwiązano problem z uruchamianiem netdom.exe zakończonym niepowodzeniem oraz towarzyszącym mu błędem "Polecenie nie mogło zostać wykonane".
• Rozwiązano problemy z korespondencją aplikacji z lokalnym intranetem i zaufanymi stronami w Internet Explorer przy użyciu własnych schematów Ujednoliconego Identyfikatora Zasobów (URI).
• Rozwiązano problem z uwierzytelnianiem w Internet Explorer 11 i innych aplikacjach używających WININET.DLL. Występował on, kiedy dwie lub więcej osób używało tego samego konta użytkownika do wielu równoległych sesji logowania na tej samej maszynie z Windows Server, wliczając w to zalogowania Remote Desktop Protocol (RDP) i Terminal Server.
• Aktualizacje zabezpieczeń dla: Windows Kernel, Windows Server, Graphics Component, Windows Input and Composition, Windows Datacenter Networking, Windows MSXML oraz Microsoft JET Database Engine.

Dla aktualizacji tej odnotowano znany problem:

• Po zainstalowaniu tej aktualizacji niektórzy klienci zgłaszają niepowodzenie uwierzytelniania w usługach, które wymagają niewymuszonej delegacji po tym, gdy wygaśnie bilet Kerberos (domyślnie po 10 godzinach). Problem dotyczy m.in. usług serwerowych SQL. Microsoft zaproponował kilka tymczasowych rozwiązań i ogłosił, że poprawka zostanie dołączona do następnego wydania.

Windows 8.1 i Windows Server 2012 R2: zmiany w aktualizacji KB4493446 dla PC

• Aktualizacja ta zapewnia ochronę przed Spectre Variant 2 (CVE-2017-5715) oraz Meltdown (CVE-2017-5754) dla komputerów opartych na VIA. Są one domyślnie włączone dla klienta Windows, ale wyłączone dla Windows Server. Administratorzy mogą dowiedzieć się więcej z KB4073119 (wersja kliencka) i KB4072698 (wersja serwerowa).
• Rozwiązano problem z aplikacjami opartymi na MSXML6, które mogły przestać opowiadać.
• Rozwiązano problem z Edytorem lokalnych zasad grupy, który mógł przestać odpowiadać podczas edycji obiektu (GPO), który zawiera preferencje (GPP) ustawień Internet Explorera 10.
• Rozwiązano problemy z korespondencją aplikacji z lokalnym intranetem i zaufanymi stronami w Internet Explorer przy użyciu własnych schematów Ujednoliconego Identyfikatora Zasobów (URI).
• Rozwiązano problem z uwierzytelnianiem w Internet Explorer 11 i innych aplikacjach używających WININET.DLL. Występował on, kiedy dwie lub więcej osób używało tego samego konta użytkownika do wielu równoległych sesji logowania na tej samej maszynie z Windows Server, wliczając w to zalogowania Remote Desktop Protocol (RDP) i Terminal Server.
• Aktualizacje zabezpieczeń dla: Windows Storage and Filesystems, Windows Server, Microsoft Graphics Component, Windows Input and Composition, Windows Datacenter Networking, Windows Kernel, Windows MSXML, składników Windows SQL oraz Microsoft JET Database Engine.

Dla aktualizacji tej odnotowano znany problem:

• Po zainstalowaniu tej aktualizacji mogą wystąpić problemy z użyciem Preboot Execution Environment (PXE), aby uruchomić urządzenie z serwera Windows Deployment Services (WDS) skonfigurowanego do używania Variable Window Extension. Może to powodować przedwczesne przerwanie połączenia z serwerem WDS podczas pobierania obrazu. Problem nie dotyczy wersji klienckich oraz urządzeń, które nie używają Variable Window Extension. Microsoft zaproponował kilka tymczasowych rozwiązań i ogłosił, że poprawka zostanie dołączona do następnego wydania.

Obie aktualizacje (Monthly Rollup) można też pobrać w wersjach zawierających tylko łatki bezpieczeństwa (Security-only update). Dla Windows 7 i 8.1 są to odpowiednio KB4493448 i KB4493467.

Aktualizacja 11.04.2019: pojawiły się raporty o problemach, które mogą przyjąć różną postać, np. zawieszanie się systemu i brak możliwości logowania. Dokładne przyczyny nie zostały jeszcze ustalone, ale tymczasowo aktualizacje wstrzymano dla urządzeń z oprogramowaniem Sophos. Więcej na ten temat piszemy tutaj.