Video: How to Convert TIFF to JPG using Paint (Marraskuu 2024)
Microsoft ilmoitti 11 tietoturvatiedotetta joulukuun Patch tiistaina -julkaisulle, ja se korjaa 24 Microsoftin ohjelmistojen haavoittuvuuksia, kuten Microsoft Windows, Internet Explorer, Office ja Exchange. Vaikka Microsoft ei korjannut marraskuussa havaittua nollapäivän virhettä XP / Server 2003: ssa, se korjasi TIFF-virheen, joka vaikutti Windows-, Office- ja Lync-yritysviestijärjestelmiin.
Viidestä tiedotteesta arvioidaan "kriittinen" ja loput kuusi pidetään "tärkeänä". Kriittinen tarkoittaa tässä tapauksessa, että jos haavoittuvuus hyväksytään, hyökkääjä voi suorittaa koodin etäkäytössä. Tärkeä tässä yhteydessä tarkoittaa, että haavoittuvuus voi johtaa käyttäjän tietojen vaarantamiseen tai tiettyjen prosessien häiriintymiseen. Microsoft suosittelee, että kriittiset korjaustiedostot otetaan heti käyttöön ja tärkeät korjaukset "mahdollisimman pian".
"Kuten kauden viimeisen, myöhäisen trooppisen myrskyn tapaan, Microsoft tekee viimeisen pyyhkäisyn turvallisuus- ja tietotekniikkatiimissä", kertoi Rapid7: n turvallisuustekniikan vanhempi johtaja Ross Barrett.
Korjattu nollapäivä
Grafiikkakomponentin nollapäivän ongelma koski Windows Vistaa, Windows Server 2008, Office 2003/2007/2010 ja Lync 2010/2013. Tätä haavoittuvuutta voidaan hyödyntää esikatselemalla tai avaamalla haitallisesti muotoiltu TIFF-kuva ja aktiiviset hyökkäykset kohdistuneena Office 2010: n XP-järjestelmiin. Tämä virhe on korjattu tietoturvatiedotteessa MS13-096, sanoi Dustin Childs, Microsoftin luotettavan tietotekniikan ryhmäpäällikkö.
Käyttäjien ja järjestelmänvalvojien tulisi pitää tätä laastaria ensisijaisena tavoitteena, vaikka he olisivat asentaneet korjauksen marraskuussa, Lumensionin oikeuslääketieteen analyytikko Paul Henry kertoi SecurityWatchille. "Koska tiedämme käyttäjien vakuuttamisen napsauttamaan, ei ole aina niin vaikeata tehdä, tämä korjaus on ehdottomasti tervetullut", Henry sanoi.
Paljon korjauksia Internet Explorerille
Seuraavan prioriteettipaketin tulisi olla MS13-097, kumulatiivinen päivitys Internet Exploreriin. Tämä tiedote purkaa seitsemän virhettä. Vaikka näitä ongelmia ei tällä hetkellä kohdisteta, monet haittaohjelmien kirjoittajat haluavat suunnitella korjaustiedostoja uusien hyötyjen luomiseksi. Tämä tarkoittaa, että käyttäjät, jotka eivät päivitä IE: tä nopeasti, voivat saada kiinni näistä hyväksikäytöistä.
Yksi IE-korjaustiedostoon korjattuista virheistä vaikuttaa jokaiseen tuettuun Internet Explorerin versioon, varoitti Marc Maiffret, BeyondTrustin johtaja. "Vedä tämä laastari ulos mahdollisimman pian", hän sanoi.
Tiedotetta, joka korjaa ongelman Microsoftin komentosarjojen suorituksen ajoobjektikirjastossa (MS13-099), tulisi myös pitää tärkeänä, koska tämä Windows-komponentti on jaettu kaikkien käyttöjärjestelmän versioiden kanssa. Hyökkääjät voivat hyödyntää virhettä verkkoselaimen kautta käynnistämällä hyökkäyksen ja huijata uhrin tietokoneen suorittamaan haitallista koodia, Maiffret varoitti.
Allekirjoituksen vahvistamisen ongelma
Microsoft korjaa ongelman WinVerifyTrust-allekirjoituksen validointimekanismissa (MS13-098), joka on kaikissa tuetuissa Windows-versioissa. Hyökkääjät voisivat hyödyntää tätä virhettä muokatakseen allekirjoitettua ohjelmaa mitätöimämättä ohjelman allekirjoitusta. Käyttäjien mielestä suoritettava ohjelma oli laillinen ohjelma, koska sillä oli laillinen allekirjoitus, kun todellisuudessa se sisälsi haitallista koodia, Maiffret sanoi.
Tähän haavoittuvuuteen kohdistuvia hyväksikäyttöjä on jo havaittu luonnossa, joten tämän korjaustiedoston asentaminen on myös prioriteetti.
Exchange Bug Outlook Web Access -sovelluksessa
Microsoft Exchange -lehdessä (MS13-105) käsitellään OWA: n (Outlook Web Access) ongelmia ja se liittyy Oraclen Outside-In-komponenttiin. Tämä korjaustiedosto tulee sen jälkeen, kun Oracle julkaisi uuden version komponentista kriittisen päivityksen päivityksessä lokakuussa. Hyökkääjät voivat hyödyntää näitä virheitä lähettämällä haitallisen asiakirjan sähköpostitse. Hyökkääjät voivat ottaa hallintaansa koko postipalvelimen huijauttuaan käyttäjän katsomaan sitä, sanoi Qualysin tekninen johtaja Wolfgang Kandek. "Jos käytät OWA: ta asennuksessa, MS13-105 on tärkeä korjaustiedosto organisaatiollesi", Kandek sanoi.
Adobe Flash -korjaus
Yhtiö julkaisi myös neljä muuta neuvoa, joista yksi päivitti Adobe Flash Playerin Internet Explorerissa. Adobe on aiemmin täyttänyt kaksi Flash Player 11.9.900.153: n ja Windowsin ja Mac OS X: n aikaisempien versioiden haavoittuvuuksia. Yksi ongelmista on tällä hetkellä kohdistettu luonnossa, Adobe sanoi. Microsoft julkaisi ohjeensa, koska se niputtaa Flash Playerin Internet Explorerin uusimpaan versioon, samaan tapaan kuin Google tekee Chromen selaimellaan.
Toinen Microsoftin neuvosto käsitteli tärkeätä todennukseen liittyvää ongelmaa, joka vaikuttaa ASP.NET-sovelluksiin..NET-sovelluskehittäjien on kiinnitettävä huomiota ohjeisiin varmistaakseen, että heidän sovelluksiinsa ei kohdistu vaikutuksia.
"Se tulee olemaan kiireinen kuukausi kaikille täällä mukana oleville joukkueille, onnellinen laastari kaikille", Barrett sanoi.