Video: Microsoft Lumia 430 DS Обзор смартфона (Marraskuu 2024)
Microsoft julkaisi seitsemän tiedotetta, jotka korjaavat 34 yksilöllistä virhettä.NET Frameworkissa, Windows-ytimessä ja Internet Explorerissa osana heinäkuun Patch-tiistaina. Microsoftin markkinoilla on myös uusi 180 päivän käytäntö, joka koskee sovelluksia, joissa on tietoturvavirheitä.
Seitsemästä tiedotteesta kuusi arvioitiin kriittiseksi ja yksi tärkeäksi, Microsoft kertoi eilen iltapäivällä julkaistussa Patch Tiistai -ohjeessa. Microsoft suositteli ensin IE-tiedotteen (MS13-055) asentamista, jota seuraa yksi Windows-ytimen tilan ohjainten tietoturvatiedotteista (MS13-053). Jäljellä olevat TrueType- ja Windows-tiedotteet olivat seuraavassa prioriteettiryhmässä, jota seurasi ainoa "tärkeä" korjaustiedosto.
"Yksi tai useampi näistä vaikuttaa kaikkiin Microsoft-ydinmaailmaan. Jokainen tuettu käyttöjärjestelmä, kaikki MS Office-, Lync-, Silverlight-, Visual Studio- ja.NET-versiot", kertoi Ross Barrett, Rapid7: n tietotekniikan vanhempi johtaja.
Mikään näistä tiedotteista ei vaikuta Windows 8.1 Esikatseluun ja IE 11: ään.
Ruma, ruma kirjasimet
Kolme erillistä tiedotetta (MS13-052, MS13-053 ja MS13-054) korjaavat TrueType-fontin haavoittuvuuden.NET: ssä. Tämä TrueType-kirjasinvirhe on samanlainen kuin Stuxnetin ja Duquin hyväksikäyttö, lukuun ottamatta sitä, että se on.NET: ssä eikä Windows-ytimessä, sanoi Marc Maiffret, BeyondTrustin tekninen johtaja.
MS13-054 korjaa TrueType-haavoittuvuuden GDI +: ssa, Windows-ytimen komponentissa. Vika koskee useita tuotteita, mukaan lukien kaikki tuetut Windows-versiot, Office 2003/2007/2010, Visual Studio.NET 2003 ja Lync 2010/2013. Maiffret ennusti, että hyökkääjät hyödyntävät tätä virhettä lähitulevaisuudessa, koska niin monet tuotteet käyttävät GDI +: ta.
"MS13-053 on ryhmän pahin", sanoi CORE Securityn teknisen tuen insinööri Tommy Chin ja lisäsi "Se on etäkoodin suorittaminen ja etuoikeuksien lisääntyminen yhdessä". Hyökkääjät voivat suunnitella potentiaalisia uhreja sosiaalisen suunnittelijan avulla luomaan muokatun tiedoston, joka sisältää haitallista TrueType-sisältöä. Jos onnistuminen tapahtuu, hyökkääjä saa järjestelmänvalvojan pääsyn järjestelmään, Chin sanoi.
Turvallisuustutkija Tavis Ormandyn havaitsema nollapäivän Windows-ytimen haavoittuvuus on korjattu myös tässä tiedotteessa. Kun otetaan huomioon tämän haavoittuvuuden hyväksikäyttö, se sisältyy jo julkisiin puitteisiin, kuten Metasploit, tämän tulisi olla ensisijainen tavoite
Internet Explorer
Internet Explorerin massiivinen päivitys korjaa 17 virhettä, joista 16 on muistivaurioita ja yksi sivustojenvälinen komentosarjavirhe. Muistin vioittumisvirheitä voidaan käyttää ohjattuihin hyökkäyksiin, joissa hyökkääjät perustavat haitallisia verkkosivuja ja käyttävät sosiaalisen suunnittelun taktiikoita vetääkseen käyttäjiä haitallisille sivuille. Internet Explorerissa on ollut paljon muistin vioittumisvirheitä viimeisten muutamien päivitys Tiistaisin, Maiffret totesi ja lisäsi: "On välttämätöntä, että tämä laastari otetaan käyttöön mahdollisimman pian."
Microsoft Marketplace -käytäntömuutos
Microsoft ilmoitti myös Microsoftin markkinoita koskevaan politiikan muutokseen. Uuden käytännön mukaan jokaiselle Microsoftin ylläpitämästä neljästä sovelluskaupasta (Windows Store, Windows Phone Store, Office Store ja Azure Marketplace) annetulle sovellukselle annetaan 180 päivää turvallisuusongelmien ratkaisemiseksi. Aikataulu koskee haavoittuvuuksia, jotka on arvioitu kriittisiksi tai tärkeiksi ja joita ei ole hyökkäyksen alla.
Jos sitä ei korjata kyseisessä määräajassa, sovellus poistetaan kaupasta, Microsoft sanoi. Käytäntö koskee sekä kolmansien osapuolien kehittäjien että Microsoftin sovelluksia.
"Microsoft on ottanut suuren askeleen haavoittuvien sovellusten minimoimiseksi eri sovelluskaupoissaan", kertoi Tripwiren tietoturvatutkija Craig Young.
On kuitenkin syytä huomata, että 180 päivää on pitkä aika, minkä vuoksi on erittäin epätodennäköistä, että Microsoft loppuu koskaan sovelluksen vetämiseen. Kehittäjä todennäköisesti viettää yli kuusi kuukautta kriittisen haavoittuvuuden korjaamiseen, ja jos päivitys vie odotettua pidempään, Microsoft on valmis tekemään poikkeuksia.
Kun tämä otetaan huomioon, uusi käytäntö kuulostaa Microsoftin tapa kuulostaa kovalta vaikuttamatta haitallisesti kehittäjiin.
Lisää eteenpäin
Tämä tulee olemaan kiireinen kuukausi järjestelmänvalvojille. Adobe julkaisi omat päivitykset, ja Oracle julkaisee ensi viikolla neljännesvuosittain päivityksen kaikista heidän ohjelmistoistaan, paitsi Java.