Dalla giornata di ieri sono disponibili i nuovi aggiornamenti KB5001330 & KB5001337, vediamone i dettagli.
Non solo aggiornamenti cumulativi
Sono state corrette anche 5 vulnerabilità zero-day di cui 1 era sfrutta in-the-wild per attacchi mirati ad ottenere l’accesso al sistema.
Quello sfruttato in-the-wild è stato individuato dai laboratori Kaspersky che riguarda un bug che permetterebbe l’escalation di privilegi usato con altri exploit inerenti la gestione delle sandbox nel browser.
Ecco i problemi corretti
Ad ogni modo, gli aggiornamenti KB5001330 & KB5001337 vanno a correggere i seguenti problemi:
- Risolve un problema in cui un’entità in un dominio MIT attendibile non riesce a ottenere un ticket di servizio Kerberos dai controller di dominio (DC) di Active Directory. Ciò si verifica sui dispositivi che hanno installato gli aggiornamenti di Windows che contengono le protezioni CVE-2020-17049 e hanno configurato PerfromTicketSignature su 1 o versioni successive.
- Risolve un problema con le vulnerabilità di sicurezza identificate da un ricercatore di sicurezza. A causa di queste vulnerabilità di sicurezza, questo e tutti i futuri aggiornamenti di Windows non conterranno più la funzionalità RemoteFX vGPU.
- Risolve una potenziale vulnerabilità legata all’acquisizione di privilegi più elevati nel modo in cui l’accesso Web di Azure Active Directory consente l’esplorazione arbitraria dagli endpoint di terze parti usati per l’autenticazione federata.
- Aggiornamenti della sicurezza per piattaforma e framework delle app di Windows, app di Windows, input e composizione di Windows, Windows Office Media, nozioni di base di Windows, crittografia di Windows, piattaforma di intelligenza artificiale di Windows, kernel di Windows, virtualizzazione di Windows e Windows Media.
Sono altresì inclusi anche gli aggiornamenti correttivi riguardanti i problemi rilevati con alcune stampanti.
Ecco come sono classificati gli aggiornamenti per le varie versioni di Windows:
- Windows 10 versione 1507 — KB5001340 (OS Build 10240.18906)
- Windows 10 versione 1607 — KB5001347 (OS Build 14393.4350)
- Windows 10 versione 1703 — EOS
- Windows 10 versione 1709 — EOS
- Windows 10 versione 1803 — KB5001339 (OS Build 17134.2145)
- Windows 10 versione 1809 — KB5001342 (OS Build 17763.1879)
- Windows 10 versione 1909 — KB5001337 (OS Build 18363.1500) (1903 is EOS)
- Windows 10 versione 2004 e 20H2 — KB5001330 (OS Builds 19041.928 and 19042.928)
Vi sono alcuni problemi noti che Microsoft riporta direttamente, ovvero:
Problema
I certificati di sistema e utente potrebbero andare persi durante l’aggiornamento di un dispositivo da Windows 10, versione 1809 o successiva a una versione successiva di Windows 10. I dispositivi saranno interessati solo se hanno già installato un ultimo aggiornamento cumulativo (LCU) rilasciato il 16 settembre 2020 o in un secondo momento e quindi procedere all’aggiornamento a una versione successiva di Windows 10 dal supporto o da un’origine di installazione che non dispone di un’unità LCU rilasciata il 13 ottobre 2020 o successiva integrata. Ciò accade principalmente quando i dispositivi gestiti vengono aggiornati utilizzando bundle o supporti obsoleti tramite uno strumento di gestione degli aggiornamenti come Windows Server Update Services (WSUS) o Microsoft Endpoint Configuration Manager. Ciò potrebbe accadere anche quando si utilizzano supporti fisici obsoleti o immagini ISO che non dispongono degli ultimi aggiornamenti integrati.
Nota I dispositivi che utilizzano Windows Update for Business o che si connettono direttamente a Windows Update non sono interessati. Qualsiasi dispositivo che si connette a Windows Update dovrebbe sempre ricevere le versioni più recenti dell’aggiornamento delle funzionalità, inclusa l’ultima LCU, senza passaggi aggiuntivi.
I dispositivi con installazioni Windows create da un supporto offline personalizzato o un’immagine ISO personalizzata potrebbero avere Microsoft Edge Legacy rimosso da questo aggiornamento, ma non sostituito automaticamente dal nuovo Microsoft Edge. Questo problema si verifica solo quando vengono creati supporti offline personalizzati o immagini ISO eseguendo lo slipstreaming di questo aggiornamento nell’immagine senza aver prima installato l’aggiornamento dello stack di manutenzione autonomo (SSU) rilasciato il 29 marzo 2021 o versioni successive.
Nota: I dispositivi che si connettono direttamente a Windows Update per ricevere gli aggiornamenti non sono interessati. Ciò include i dispositivi che utilizzano Windows Update for Business. Qualsiasi dispositivo che si connette a Windows Update dovrebbe sempre ricevere le versioni più recenti della SSU e l’ultimo aggiornamento cumulativo (LCU) senza passaggi aggiuntivi.
Workaround
Se hai già riscontrato questo problema sul tuo dispositivo, puoi mitigarlo nella finestra di disinstallazione tornando alla versione precedente di Windows utilizzando le istruzioni qui. La finestra di disinstallazione potrebbe essere di 10 o 30 giorni a seconda della configurazione del tuo ambiente e della versione a cui stai aggiornando. Sarà quindi necessario eseguire l’aggiornamento alla versione successiva di Windows 10 dopo che il problema è stato risolto nel proprio ambiente. Nota All’interno della finestra di disinstallazione, puoi aumentare il numero di giorni a disposizione per tornare alla versione precedente di Windows 10 utilizzando il comando DISM / Set-OSUninstallWindow. È necessario apportare questa modifica prima che la finestra di disinstallazione predefinita sia scaduta. Per ulteriori informazioni, vedere Opzioni della riga di comando di disinstallazione del sistema operativo DISM.
Microsoft sta lavorando a una risoluzione e saranno forniti bundle aggiornati e contenuti multimediali aggiornati nelle prossime settimane.
Per evitare questo problema, assicurati di eseguire prima lo slipstream della SSU rilasciata il 29 marzo 2021 o successivamente nel supporto offline personalizzato o nell’immagine ISO prima di eseguire lo slipstream della LCU. Per fare ciò con i pacchetti combinati SSU e LCU ora utilizzati per Windows 10, versione 20H2 e Windows 10, versione 2004, sarà necessario estrarre la SSU dal pacchetto combinato. Utilizzare i seguenti passaggi per estrarre utilizzando SSU:
Estrai il cab dal msu tramite questa riga di comando (utilizzando il pacchetto per KB5000842 come esempio):
expand Windows10.0-KB5000842-x64.msu /f:Windows10.0-KB5000842-x64.cab <destination path>
Estrai la SSU dal cab precedentemente estratto tramite questa riga di comando:
expand Windows10.0-KB5000842-x64.cab /f:* <destination path>
Avrai quindi il cab SSU, in questo esempio denominato SSU-19041.903-x64.cab. Esegui lo Slipstream di questo file prima nella tua immagine offline, poi nella LCU.
Se hai già riscontrato questo problema installando il sistema operativo utilizzando il supporto personalizzato interessato, puoi mitigarlo installando direttamente il nuovo Microsoft Edge. Se devi distribuire ampiamente il nuovo Microsoft Edge for business, vedi Scaricare e distribuire Microsoft Edge for business