Video: Microsoft Edge with Internet Explorer Mode - PRE09 (Lokakuu 2024)
Windows-järjestelmänvalvojat, joilla on kevätkuume, voivat iloita; Microsoft julkaisi vain kaksi kriittistä tiedotetta osana Patch Tiistai -julkaisua.
Tässä kuussa julkaistusta yhdeksästä tiedotteesta vain kaksi on luokiteltu kriittiseksi, mikä tarkoittaa, että hyökkääjä voi hallita kohdennettua konetta etäältä. Kaikki jäljellä olevat on arvioitu tärkeiksi, mikä tarkoittaa, että hyökkääjä tarvitsee yleensä jonkinlaista pääsyä järjestelmään ennen sen hallintaa. Kaiken kaikkiaan Microsoft korvasi tässä kuussa 13 suojaushaavoittuvuutta.
Hyvä uutinen on, että suurin osa vaikutuksesta liittyy vanhaan koodikantaan eikä Microsoftin uusimpien tuotteiden uusimpiin versioihin, kertoi Lumensionin tietoturva-analyytikko Paul Henry. "Jos järjestelmässäsi on uusimmat ja parhaimmat ohjelmistoversiot - kuten sinun pitäisi aina tehdä, koska uusin on yleensä turvallisin -, sinun tulee vaikuttaa siihen vain vähän tässä kuussa", hän sanoi.
IE korkeimpana prioriteettina
Tämän kuukauden korkein prioriteettitiedote on Internet Explorerin päivitys (MS13-028), joka korjaa käytön jälkeen -ongelman kaikissa WWW-selaimen tuetuissa versioissa IE 6: sta IE 10: ään, joka, jos sitä käytetään, voi johtaa etäkäyttöön koodin suorittaminen. Tiedotteessa käsiteltiin myös perusteellista puolustusta koskevaa ongelmaa, joka perustuu käyttäjiin, joiden Java 6.0 tai vanhempi on asennettu.
"Kun otetaan huomioon Java-ohjelmien viime aikoina esiintyneet ongelmat, toivottavasti kukaan ei vieläkään käytä vanhoja Java-versioita", Henry varoitti.
Ensisijaisuusindeksi on vain 2, mikä osoittaa, että hyväksikäyttökorjaus ei ole suoraviivainen, joten Microsoft ei odota näkevänsä toimivaa hyväksikäyttöä seuraavien 30 päivän aikana, Microsoftin Patch tiistaina -ilmoitusneuvonnan mukaan.
"Hyökkääjät pyrkivät hyödyntämään näitä kahta haavoittuvuutta, koska hyökkääjät voivat kohdistaa useita Internet Explorerin versioita vain parin haavoittuvuuden avulla, joten on tärkeää ottaa tämä korjaus käyttöön mahdollisimman pian", sanoi Marc Maiffret, CTO. of BeyondTrust.
Microsoft ei ole vieläkään korjannut nollapäivän haavoittuvuutta, joka paljastettiin Pwn2Own-kilpailun aikana CanSecWest-konferenssissa Vancouverissa viime kuussa.
Etätyöpöytä on jälleen vaarassa
Toisen prioriteetin tulisi olla Remote Desktop Client -ohjelmiston ActiveX-ohjaimen (MS13-029) korjaustiedosto, joka vaikuttaa kaikkiin Windows-versioihin ja "ei ole tyyppinen ongelma, jonka tyypillisesti näemme Windows RDP: ssä", Henry sanoi.
Hyökkääjät voivat hyödyntää tätä haavoittuvuutta huijaamalla uhrit vierailemaan verkkosivustoilla, jotka isännöivät haitallisia ActiveX-komponentteja. Heti kun kävijä laskeutuu sivustolle, koodi hyödyntää haavoittuvuutta saadakseen kyvyn suorittaa mielivaltainen koodi ikään kuin se olisi käyttäjä, Maiffret totesi.
"Vaikka ActiveX-ohjaimet voidaan sisällyttää useimpiin Windows-ohjelmiin, todennäköisin hyökkäysvektori on selaimen kautta", sanoi Qualysin tekninen johtaja Wolfgang Kandek.
"Tärkeää", mutta ei "kriittistä"
Turvallisuusasiantuntijat ilmoittivat tässä kuussa myös eräitä muita "tärkeitä" tiedotteita erityistä huomiota varten. Palvelunestovirheen Active Directoryssa (MS13-032) pitäisi olla "korkealla listalla yritysasennusten luettelossa", Kandek sanoi. Hyökkääjät voivat lähettää haitallisen LDAP-kyselyn, joka laukaisee järjestelmän muistin ja aiheuttaa palvelun epäämisen.
Microsoft InfoPathiin, Groove Serveriin, SharePoint Foundationiin ja Serveriin sekä "Office Web Apps 2010" (MS13-035) vaikuttavien käyttöoikeuskysymysten tulisi olla myös korkealla listalla, koska se korjaa ongelman näissä löytyvässä HTML-puhdistuskomponentissa. paketteja, sanoi Ross Barrett, Rapid7: n turvallisuustekniikan vanhempi johtaja. Hyökkäyksissä hyökkääjät pystyisivät suorittamaan skriptejä, joita ei yleensä sallita, lukea rajoitettuja tietoja ja suorittamaan luvattomia toimia uhrin etuoikeuksilla.
Vaikka haavoittuvuutta ei julkistettu, näyttää siltä, että kohdennetut hyökkäykset hyödyntävät sitä jo luonnossa.
Microsoft ei ole suurin huolenaihe
Microsoft ei ole pitkään ollut IT-päänsärkyjen lähde. Adobe korjaa tänään Flash Player -sovelluksessaan kahdeksan ongelmaa, ja IT-järjestelmänvalvojien tulisi valmistautua uuteen Java-päivitykseen, joka on tällä hetkellä suunniteltu 16. huhtikuuta. Oraclen odotetaan käsittelevän useita tämän julkaisun kriittisiä haavoittuvuuksia.
