Koti Securitywatch Microsoft korjaa kesäkuun korjaustiedostojen tiistaina kriittiset eli puutteet

Microsoft korjaa kesäkuun korjaustiedostojen tiistaina kriittiset eli puutteet

Video: Microsoft Edge with Internet Explorer Mode - PRE09 (Marraskuu 2024)

Video: Microsoft Edge with Internet Explorer Mode - PRE09 (Marraskuu 2024)
Anonim

Microsoft on korjannut 23 haavoittuvuutta viidessä tietoturvatiedotteessa osana kesäkuun korjaustiedote tiistai -julkaisua. Kiinteistä virheistä 19 oli Internet Explorerissa.

Microsoftin Patch tiistaina -ohjeen mukaan muistin vioittumisesta johtuvat haavoittuvuudet vaikuttivat kaikkiin tuetuissa käyttöjärjestelmissä toimivien Internet Explorer -selainten tuettuihin versioihin. IE-tiedote (MS13-047) on ainoa arvioitu kriittiseksi tässä kuussa,

kun taas loput neljä tiedotetta arvioitiin tärkeiksi.

Neljä ongelmaa koski jokaisesta tuetusta IE-versiosta, mikä viittaa siihen, että hyökkääjät todennäköisimmin seuraavat näitä haavoittuvuuksia ennen kuin yrittävät käyttää muita, sanoi Marc Maiffret, BeyondTrustin johtaja.

"Ottaen huomioon korjatun haavoittuvuuksien suuren määrän, tämä on hyökkääjien päätavoite kääntää suunnittelija ja rakentaa hyväksikäyttö, joka voidaan toimittaa haitallisen verkkosivun kautta", suostui Qualysin tekninen johtaja Wolfgang Kandek.

Päivitykset Office, Windows

Toinen korkean prioriteetin tiedote käsitteli Microsoft Officen haavoittuvuuksia (MS13-051). Microsoftin mukaan PNG-graafisen muodon jäsentävä haavoittuvuus Office 2003: ssa Windows ja 2011 Mac OS X: lle on tällä hetkellä kohdistettu luonnossa rajoitettuihin hyökkäyksiin.

"Ainoa syy", jonka vuoksi Microsoft ei ole merkinnyt Office-tiedotetta kriittiseksi, johtuu siitä, että vaikutusalusta on pieni, kertoo Rapid7: n turvallisuustekniikan vanhempi johtaja Ross Barrett. Hyökkääjät, jotka ovat kiinnostuneita tämän puutteen hyödyntämisestä, käyttäisivät a

boobo-trapped Word-asiakirja.

Jäljelle jäävät tiedotteet koskivat tietojen paljastushaavoittuvuutta (MS13-048), palvelunesto-ongelmaa TCP / IP-pinossa (MS13-049) ja paikallisia etuoikeuksien eskalaatioheikkouksia Windows Print Spoolerissa (MS13-050), mukaan Microsoft. DoS-virhe

vaikuttaa Windowsin uudempiin versioihin Vistasta Windows 8: een ja Server 2008: een Server 2012: een. Vika on vain Vistan, Windows 7: n ja Server 2008: n paikallinen haavoittuvuus, mutta Windows 8: n ja Server 2012: n kohdalla virhe voidaan hyödyntää koko verkossa.

"On yllättävää, että uudemmat Windows-versiot ovat alttiimpia tälle virheelle kuin vanhemmat versiot", kertoi Tripwiren turvallisuustutkimuksen johtaja Lamar Bailey. "Uudempi ei aina ole parempi", hän lisäsi.

Microsoft ei sulkenut Googlen työntekijän Tavis Ormandyn aiemmin tässä kuussa paljastamaa ytimen etuoikeushaavoittuvuutta osana tätä Patch Tiistai -julkaisua. Todiste konseptin hyväksikäytöstä on jo saatavilla, joten on kohtuullista olettaa "

underground pyrkii tekemään kyseisestä haavoittuvuudesta osan heidän arsenaalistaan ​​", Kandek sanoi, joka ennusti korjauksen olevan osa heinäkuun Patch Tiistaina -päivitystä. Barrett ei uskonut, että kaistan ulkopuolinen laastari olisi todennäköinen vain paikalliselle ytimen virheelle.

Kaiken kaikkiaan se on melko pieni Patch Tiistai, mutta ottaen huomioon Applen äskettäisen Mac OS X -päivityksen ja Adoben Flash-päivityksen, järjestelmänvalvojat ovat silti kiireisiä.

Microsoft korjaa kesäkuun korjaustiedostojen tiistaina kriittiset eli puutteet