Video: 35C3 - The Layman's Guide to Zero-Day Engineering (Lokakuu 2024)
Microsoft julkaisi seitsemän tiedotetta, jotka korjaavat 12 haavoittuvuutta ensimmäisessä Patch Tiistai -julkaisussa 2013. Kuten odotettiin, Internet Explorerin nollapäivän haavoittuvuuden korjaaminen ei ollut osa julkaisua.
Seitsemästä tiedotteesta vain kaksi arvioitiin "kriittiseksi"; loput viisi arvioitiin "tärkeiksi", Microsoft sanoi tammikuun Patch Tiistaina -ohjeessaan. Vaikka yhtäkään näistä asioista ei hyödynnetä luonnossa tällä hetkellä, "kun polku johtaa älykkäitä, haitallisia hakkereita asiaan, se ei tule kauan ennen kuin hyväksikäyttö alkaa", Ross Barrett, Rapid7: n turvallisuustekniikan vanhempi johtaja, kertoi SecurityWatchille .
Vain kaksi kriittistä tiedotetta
Yksi kriittisistä korjaustiedoista sai Qualys CTO Wolfgang Kandekin "kokoonpanon tärkeimmäksi korjaustiedostoksi", koska se vaikuttaa jokaiseen Windows-versioon XP: stä Windows 8: een, RT: ään ja Server 2012: een, samoin kuin kaikki Microsoft Office: n ja muiden Microsoftin versiot sovelluksia, kuten Sharepoint ja Groove. MSXML-kirjaston (MS13-002) virhettä voidaan mahdollisesti hyödyntää huijaamalla käyttäjiä käymään haitallisella verkkosivustolla tai avaamalla sähköpostiin liitetty boobo-ansassa oleva Office-asiakirja.
Muut kriittiset tiedotteet koskevat Microsoft Windows Printer -kehittäjäohjelmistoa Windows 7: ssä ja 2008: ssa (MS13-001). Hyökkääjä voi mahdollisesti jonottaa haitalliset tulostustöiden otsikot hyödyntääkseen yhteyden muodostavia asiakkaita, mutta sitä ei voida laukaista normaalilla tavalla. Kenelläkään ei tulisi olla palomuurin ulkopuolella olevaa tulostuskelaa, mutta haittapuoliset sisäpiiriläiset voivat käyttää sitä virheeseen tai osana etuoikeuksien lisääntymishyökkäystä, Barrett sanoi.
Vaikka se ei olekaan niin vakava kuin Stuxnetin käyttämät tulostuskelausvirheet, tosiasia, että tätä virhettä voitaisiin käyttää juottoreikityyliseen hyökkäykseen, tekee siitä "melko suositun hyökkääjän foorumeilla", kertoi nCirclen turvatoimintojen johtaja Andrew Storms. Se olisi korjattava "pronto", hän lisäsi.
Tärkeitä tiedotteita
Tärkeissä tiedotteissa käsiteltiin.NET: n (MS13-004), Windows-ytimen (MS13-005), Secure Socket Layer -sovelluksen Windows Vistan (MS13-006), avoimen dataprotokollan (MS13-007) ja cross- sivuston skriptausvirhe. Vaikka.NET-virheitä olisi voitu käyttää hyväksi koodin suorittamiseen etäyhteyden kautta, äskettäin kaikkiin.NET-versioihin tuotu uusi hiekkalaatikko vähensi "käytettävyyttä", kertoi Lumensionin turvallisuus- ja oikeuslääketieteellinen analyytikko Paul Henry.
Ydinmoduulin win32k.sys virhe vaikutti AppContainer-hiekkalaatikkoon Windows 8: ssa. Vaikka se ei ollutkaan kriittinen virhe, sitä voidaan käyttää yhdessä muiden haavoittuvuuksien kanssa hyökkäyksessä Windows 8 -järjestelmään, Kandek sanoi.
Microsoft SCOM -konsolin kaksi etuoikeuskysymystä tekivät kirjautumissivun alttiiksi sivustojenväliselle komentosarjojen hyökkäykselle, Microsoft totesi ohjeessa. Ne ovat molemmat pysyviä XSS: ää, mikä tarkoittaa, että järjestelmänvalvojien on oltava vakuuttuneita siitä, että he vierailevat haitallisella sivulla tietyllä hetkellä, nCirclen tietoturvan tutkimuksen ja kehityksen tekninen johtaja Tyler Reguly kertoi SecurityWatchille .
Zero-Day ei ole vahvistettu
Kuten odotettiin, Microsoftilla ei ollut korjausta nollapäivän haavoittuvuuteen, joka vaikuttaa tällä hetkellä Internet Explorer 6, 7 ja 8 -versioon. Vaikka ongelma on selaimen vanhemmissa versioissa, ne edustavat tosiasiassa 90 prosenttia IE: n asennetusta kannasta., sanoi Kandek. Aktiivinen hyväksikäyttö on tällä hetkellä kohdistettu IE8: lle, joten käyttäjien tulisi päivittää turvallisempaan IE9 tai IE10, jos mahdollista.
Viime viikolla julkaistu Fix-It estää tietyn hyökkäyksen, mutta Exodus Intelligence -tutkijat löysivät muita tapoja laukaista haavoittuvuus edes väliaikaisen kiertotavan soveltamisen jälkeen. Tästä huolimatta järjestelmänvalvojien tulisi silti ottaa käyttöön Fix-It, mutta heidän tulisi myös harkita Microsoftin Enhanced Mitigation Experience Toolkit -ohjelman käyttöä, joka voi estää nollapäivivirheen käynnistämisyritykset.
