Video: Our Miss Brooks: English Test / First Aid Course / Tries to Forget / Wins a Man's Suit (Marraskuu 2024)
Eilen Microsoft julkaisi eilen 13 tietoturvatiedotetta, jotka kattoivat noin 47 virhettä, tavallista suuremmassa Patch-tiistaina. Niistä neljä lueteltiin kriittisiksi ja loput tärkeiksi. Ole valmis päivittämään!
Mielenkiintoista on, että viimeisellä viikolla julkistettiin neljästoista päivitys, joka liittyi.NET-palvelun kieltämiseen liittyvään kysymykseen, mutta se on pidätetty jatkotestausta varten. Ehkä Microsoft haluaa välttää joitain sekaannuksia viime kuukauden tiistaina, jolloin päivitys piti vetää julkaisun jälkeen.
Internet Explorer ja sosiaalinen suunnittelu
Microsoft korvasi kymmenen haavoittuvuutta Internet Explorerin kumulatiivisella päivityksellä, joka vaikutti versioihin 6–10. Tämä tarkoittaa, että nämä muutokset koskettavat melkein kaikkia, mikä on parasta, koska jotkut näistä virheistä sallivat koodin etäsuorittamisen.
"Vakavimmat haavoittuvuudet voivat sallia koodin etäsuorittamisen, jos käyttäjä tarkastelee erityisen muotoilltua verkkosivua Internet Explorerin avulla", kirjoitti Microsoft. "Hyökkääjä, joka on onnistuneesti hyödyntänyt vakavimpia näistä haavoittuvuuksista, voisi saada samat käyttöoikeudet kuin nykyinen käyttäjä." Tämä on toinen hieno peruste, jotta et koskaan käytä tiliä, jolla on järjestelmänvalvojan palkkio päivittäiseen työhön.
Microsoft Word ja Excel näkevät päivitykset, jotka koskevat tiedostomuodon haavoittuvuutta, jossa erityistä muotoiltua Office-tiedostoa voidaan käyttää koodin suorittamiseen uhrin tietokoneella. "Microsoft arvioi nämä haavoittuvuudet vain" tärkeinä ", koska ne vaativat kohteen yhteistyötä", kirjoittaa Qualyn asiakasjohtaja Colt Wolfgang Kandek. "Hyökkääjät ovat kuitenkin toistuvasti todistaneet, että heillä on tarvittavat sosiaalitekniikan tekniikat tämän esteen voittamiseksi helposti."
Itse asiassa havaitsemiemme raporttien mukaan sosiaalinen tekniikka on käyttäjiä kohtaan kohdistuvien merkittävien uhkien kärjessä, samoin kuin pilaantuneet tiedostot, kuten nämä Office-päivitykset. Nämä tiedostot ovat uskomattoman vaarallisia, koska ne näyttävät laillisilta, ja olemme nähneet, kuinka niitä on käytetty tehokkaaseen jatkuvaan uhkahyökkäykseen.
Outlook ja muut
Myös Microsoft Outlookin suositut 2007 ja 2010 -versiot korjattiin tässä kuussa ja korjattiin erityisen ilkeä haavoittuvuus. "Hyökkääjä voi hyödyntää sertifikaattien jäsennysalgoritmia allekirjoittamalla sähköpostin ja pesämällä alle 256 varmennetta allekirjoitukseen", selitti Kandek. "Hyökkäys aiheuttaa puskurin ylivuodon, vaikka se vain näkyykin Outlookin esikatseluruudussa."
Vaikka Microsoftin mukaan näkymähyökkäystä on vaikea vetää pois, se on vaarallinen, koska uhrin ei tarvitse tehdä mitään hyökkäyksen onnistumiseksi.
Näiden lisäksi Microsoft julkaisi kriittiset korjaukset Sharepoint 2003, 2007, 2010 ja 2013, samoin kuin Microsoft Visio. Paikkakunnilla merkitään tärkeät kansi OLE, Windows-tematiedostot, Microsoft Access, Office IME Chinese, Kernal-Mode -ajurit, Windows Service Control Manager, FrontPage ja Active Directory.
Kuva Flickrin käyttäjän Dan Dickinsonin kautta