Video: Top 25 Excel 2016 Vinkkejä ja vihjeitä (Lokakuu 2024)
Tänä iltapäivänä Microsoft julkaisi kahdeksan tietoturvatiedotetta, jotka koskevat 23 haavoittuvuutta monissa palveluissa, kuten Windows, Internet Explorer ja Exchange. Heistä kolme sai korkeimman arvosanan kriittisestä, kun taas loput merkittiin tärkeiksi.
Käyttäjille, jotka haluavat priorisoida korjauksensa, Microsoft suosittelee keskittymistä MS13-059 ja MS13-060. Sinun on kuitenkin korjattava kaikki heti, kun pystyt siihen.
Fonttihyökkäykset ja IE-haavoittuvuudet
Näistä kahdesta Bulletin 059 on Internet Explorerin kumulatiivinen tietoturvapäivitys, joka kattaa 11 yksityisesti paljastettua haavoittuvuutta. "Vakavimmat haavoittuvuudet voivat sallia koodin suorittamisen verkon välityksellä, jos käyttäjä tarkastelee erityisen muotoilltua verkkosivua Internet Explorerin avulla", kirjoittaa Microsoft. "Hyökkääjä, joka on onnistuneesti hyödyntänyt vakavimpia näistä haavoittuvuuksista, voisi saada samat käyttöoikeudet kuin nykyinen käyttäjä."
Marc Maiffret, BeyondTrust -yksikön tekninen johtaja selittää: "Yksin haavoittuvuus ei salli koodin suorittamista, vaan sen sijaan se yhdistetään toiseen haavoittuvuuteen saadakseen koodin suorittaminen käyttäjän oikeuksilla."
IE-päivitys on huomattava myös sisällyttämällä korjaus VUPEN Securityn käyttämään haavoittuvuuteen vuoden 2013 pwn2own-kilpailussa. Katso? Kaikki kilpailu kannattaa.
Tiedote 060 liittyy Unicode-komentosarjojen prosessorin haavoittuvuuteen, jonka avulla hyökkääjät voivat periaatteessa käyttää fonttien hahmontamista hyökkäysvektorina. Näimme samanlaisia ongelmia viime kuun Patch Tiista -päivityksessä.
Qualys CTO Wolfgang Kandek selitti SecurityWatchille, että "fontit piirretään ytimen tasolla, joten jos pystyt jollakin tavalla vaikuttamaan kirjasinten piirtämiseen ja ylivuotoon". Kandek sanoi, että tämä antaisi hyökkääjälle mahdollisuuden hallita uhrin tietokonetta.
Vaikka tämä haavoittuvuus on rajoitettu Windows XP: n Bangali-kirjasimeen, se on erityisen hämmentävä monien erilaisten hyökkäystapojen takia, jotka mahdollisesti tarjoavat. "Se on erittäin houkutteleva hyökkäysvektori", sanoi Qualysin haavoittuvuuslaboratorioiden johtaja Amol Sarwate. Hyökkääjän tarvitsee vain ohjata uhri asiakirjaan, sähköpostiin tai haitalliselle verkkosivulle haavoittuvuuden hyödyntämiseksi.
Kriittinen vaihtohaavoittuvuus
Kolmas kriittinen tiedote liittyy koodin etäsuorittamiseen Microsoft Exchange -palvelimissa. Kandek kertoi SecurityWatchille, että hyökkääjä voisi hyödyntää näitä kolmea haavoittuvuutta erityisesti luodulla PDF-tiedostolla, joka katsottaessa - ei ladattu - hyökkäisi uhrin postipalvelimelle.
Aikaisemmin Oracle on paljastanut nämä haavoittuvuudet, mikä tekee kyseisestä komponentista. Onneksi teloitusta ei ole vielä havaittu luonnossa, mutta samanlaisia asioita on toistuvasti todettu aiemmin. Maiffret kirjoittaa, että kaksi haavoittuvuuksista on "WebReady Document Views -ominaisuuden sisällä, jota olemme nähneet useaan kertaan viime vuoden aikana (MS12-058, MS12-080 ja MS13-012). Oracle antaa edelleen Microsoftille ja Exchangelle johdonmukainen musta silmä."
Kandek huomauttaa, että "tämän ohjelmistokomponentin haavoittuvuuksia on ollut erittäin helppo löytää" ja että käyttäjien tulisi harkita tämän ominaisuuden sammuttamista ohjelmiston korjaamisen lisäksi. Se pakottaa käyttäjät lataamaan sähköpostin liitetiedostot niiden tarkastelemiseksi, mikä saattaa olla pieni hinta tietoturvan maksamiseksi
Tämän kuukauden paikkausluettelossa on muutama muu herkku, mukaan lukien IPv6-haavoittuvuus, ja eräitä etuoikeuksien korotuksia, palvelun epäämistä ja tietojen paljastusheikkouksia. Vaikka kaikki pääsevät korjaamaan, olemme valmiita ensi kuun bugien korjaamiseen.
