有三个零日，这是5月的补丁星期二

微软本周周二发布了62个补丁更新，为期三天(CVE-224-30051，CVE-224-30046、和CVE-224-30040)强制为Windows桌面提供“立即修补程序”部署指导。Adobe重新推出了“Patch Now”更新，而Microsoft Office、Edge浏览器和Microsoft开发平台（Visual Studio和.NET）可以使用标准的发布时间表进行处理。 

对于Azure更新准备就绪团队建议特别注意Azure代理的更新(CVE-224-30060)，因为它会影响企业虚拟机（与测试或开发平台相关）。该团队提供了信息图表概述与本月周期的每个更新相关的风险。 

已知问题

每个月，微软都会发布一份与每个周期中包含的操作系统和平台相关的已知问题列表；以下两个报告的次要问题：

• 使用多个监视器的Windows设备在尝试在Windows中使用Copilot（预览）时，可能会遇到桌面图标在监视器之间意外移动的问题或其他图标对齐问题。是的，微软仍在进行这项工作。
• Windows客户端在安装后如何接收更新似乎存在问题 KB5034203号。使用DHCP选项235的客户端将从internet下载，而不是从其对等端或指定的企业更新端点下载。除了从组织外部获取更新时的（严重）安全问题外，一些客户的互联网流量也会显著增加。

对于所有Windows 11用户，Microsoft报告说，安装此更新后，您可能无法更改默认的个人资料照片。（对许多人来说，这是一件好事。）

主要修订

本月，微软发布了对以往安全和功能更新的以下主要修订：

• CVE-224-30009：Windows路由和远程访问服务（RRAS）远程代码执行。已更新此Microsoft修补程序的常见问题解答。这只是信息更改。
• CVE-224-30044：Microsoft SharePoint Server远程代码执行漏洞。Microsoft更新了文档，添加了常见问题解答，并更新了此关键更新的CVSS评分。
• CVE-224-30046：Visual Studio拒绝服务漏洞。Microsoft已修订安全更新表以包含。NET 7.0和。NET 8.0作为的这些版本。NET现在受到此漏洞的影响。 

我不知道该把这个最新（也是最晚）的补丁放在哪里。Microsoft发布了一个主要更新(CVE-224-30060)到Azure代理（我们使用此Microsoft工具对基于Azure的应用程序进行打包、转换和测试虚拟机）。如果您使用的是基于Azure的VM，则此更新对您的所有构建都很重要。不幸的是，该漏洞已被公开披露，并增加了我们5月补丁周二零日的记录。

缓解措施和解决办法

截至5月17日，微软尚未发布本月修补程序周期的任何缓解措施或解决方案。

测试指南

每个月，Readiness团队都会分析最新的更新，并提供详细的、可操作的测试指导。本指南基于对大型应用程序组合的评估，以及对补丁及其对Windows平台和应用程序安装的潜在影响的详细分析。

我们已将关键更新和所需测试工作分组到功能领域，包括：

Microsoft Office

• OLE如何处理web内容的更改需要一个测试场景来嵌入和加载外部web内容（文本、图像和视频）。

微软。NET和开发工具

• Microsoft SQL server更新需要测试与不同版本的SQL server的新连接。依赖SQL server连接的业务线（LOB）应用程序在发布本月的开发人员更新之前，将需要完整的UAT。

窗户

以下Microsoft核心功能已更新，可能需要注意：

• Windows常见错误日志功能（CLDFLT.SYS）的更新需要对创建、读取、更新和删除（CRUD）日志文件进行测试。
• DNS更新需要测试在每个托管区域中注册的不存在的域。
• 本月对Microsoft Crypto库的更新将需要测试新的创建和删除。
• Microsoft的路由和远程访问服务器(RRAS公司)服务器需要对有效连接进行轻度测试。
• 智能卡访问Microsoft Windows桌面需要进行基本访问测试。

除了更新Windows桌面平台上的几个关键功能外，Microsoft还更新了以下方式 处理API：

• 设置文件带宽保留和获取文件带宽保留;
• MMC和Windows Shell(MPRAPI公司。动态链接库);
• Microsoft的CNG加密实现(NCRYPT公司。动态链接库).

这些更新很难正确测试，因为您需要详细列出哪些应用程序依赖（并实际使用）这些API。 

自动化测试将有所帮助（尤其是提供构建之间“增量”或比较的测试平台）。然而，对于LOB应用程序，让应用程序所有者（执行UAT）测试并批准结果是绝对必要的。 

本月，微软对Win32和GDI子系统进行了重大（一般）更新，并建议测试您的应用程序组合的很大一部分。

Windows生命周期更新

本节将包含Windows桌面和服务器平台服务（和大多数安全更新）的重要更改。

• 对Windows 10（21H2）的支持将于本月结束。事实上，支持在下一个补丁周二之前结束。现在情况很严重，各位。
• Microsoft SQL Server（2014 SP3 CU4）：支持的最后阶段（也称为安全支持）将在五周内结束。
• Microsoft Visual Studio 2022在不到两个月的时间内就失去了完全支持。

每个月，我们都会将更新周期分解为具有以下基本分组的产品系列：

• 浏览器（Microsoft IE和Edge）
• Microsoft Windows（桌面和服务器）
• Microsoft Office
• Microsoft SQL Server（非Exchange Server）
• Microsoft开发平台（ASP.NET Core、.NET Core和Chakra Core）
• Adobe（如果你能做到这一点）

浏览器

自4月份的最新重大更新以来，微软和Chromium项目每三四天就发布一次Chrome和Edge的补丁。到目前为止，Chrome已有七次更新（最近增加了 CVE-224-30056)，所有这些都被评为重要。这些安全漏洞与内存处理和“释放后使用”问题有关，但尚未被报告为被利用或公开披露。将这些更新添加到标准发布计划中。

窗户

Microsoft发布了46个Windows桌面和服务器更新。对于这个（小得多的）Windows桌面平台版本，以下功能区域已经更新：

• Windows通用日志文件系统驱动程序Windows Hyper-V；
• Windows加密服务；
• Windows DHCP服务器；
• Windows NTFS；
• Windows Win32K–ICOMP；
• Windows RRAS和远程访问连接管理器。

不幸的是，我们有三个零日(CVE-224-30051，CVE-224-30046、和CVE-224-30040)影响Windows平台的。Readiness团队已经发现了几个特别容易受到DWM漏洞攻击的应用程序(CVE-2024-30051型)这可能导致在受损系统上获得完整的SYSTEM（由Microsoft添加上限）权限。将此更新添加到您的“立即修补程序”计划中。

Microsoft Office

微软只发布了三个Office平台更新。 CVE-224-30042解决了Excel中的一个远程代码执行漏洞，该漏洞既难以利用，又不可操作。其他更新与Microsoft SharePoint相关。所有这些都被评为重要，应该添加到标准桌面版本计划中。 

Microsoft SQL Server（非Exchange Server）

Microsoft尚未发布任何Exchange Server修补程序，但确实推出了单个更新(CVE-224-30054)被评为对SQL Server重要。SQL Server Power BI功能的此更新实际上属于开发人员发布周期，因为它更新了软件开发工具包（SDK）。将其添加到您的标准开发人员发布计划中。

Microsoft开发平台

Microsoft发布了四个开发平台更新，影响了Visual Studio和。NET，用于部署和管理桌面修补程序。将这些添加到标准开发人员发布计划中。

Adobe Reader（如果你能做到这一点）

我们回来了！Adobe发布了Adobe Reader的更新(APSB24-29)涵盖了12个严重等级为8.8的内存相关和“释放后使用”安全漏洞。由于Adobe Reader与Windows桌面生态系统的紧密集成，这吸引了Readiness团队的“Patch Now”评级。