Відео: The Windows 10 Sandbox VM (Вересень 2024)
Microsoft випустила п'ять патчів - два оцінені як "критичні" і три - "важливі" - виправляючи 23 вразливості в Internet Explorer, Microsoft Windows та Silverlight в рамках березня оновлення Patch Tuesday. Патч IE також закрив нульовий день зловмисників, які використовуються з лютого.
Зловмисники експлуатували критичну вразливість до нульового дня (CVE-2014-0322) в Internet Explorer 10 минулого місяця в рамках операції SnowMan, яка поставила під загрозу веб-сайт, що належить ветеранам іноземних воєн США, а також в іншій атаці, що себе представляє французам виробник аерокосмічної галузі. Патч IE (MS14-022) закриває цей недолік, а також 17 інших, включаючи таку, яку застосовували у обмежених цілеспрямованих атаках проти Internet Explorer 8 (CVE-2014-0324), Дастін Чайлдс, менеджер групи в Microsoft Trustworthy Computing., написано в блозі Центру реагування на безпеку Microsoft.
"Очевидно, що оновлення IE має бути вашим найвищим пріоритетом", - сказала Чайлдс.
Проблеми з Silverlight
Інший критичний виправлення виправляє критичний недолік виконання віддаленого коду в DirectShow і впливає на кілька версій Windows. Уразливість полягає в тому, як JPEG розбирає зображення у форматі DirectShow, тому є ймовірним, що атаки, що використовують цей недолік, вставлять зловмисні образи всередині компрометованих веб-сторінок або вбудовуються в документи, сказав Марк Майфрет, представник CTO BeyondTrust. Варто зазначити, що користувачі, які працюють з правами адміністратора, не матимуть впливу цих атак, оскільки зловмисник буде обмежений у збитках, які він чи вона може завдати.
Обхід функції безпеки в Silverlight оцінюється як "важливий", але також повинен бути досить високим пріоритетом. Зловмисники можуть використовувати недолік, спрямовуючи користувачів на шкідливий сайт, що містить спеціально створений вміст Silverlight, повідомляє Microsoft. Що небезпечно тим, що зловмисники можуть обійти ASLR і DEP, дві технології пом'якшення впливу, вбудовані в Windows, використовуючи цю вразливість, попередив Майфрет. Зловмиснику знадобиться вторинна експлуатація для досягнення віддаленого виконання коду після обходу ASLR і DEP, щоб отримати контроль над системою, наприклад, недолік байпасу ASLR, який було зафіксовано у грудні (MS13-106). Поки в даний час не існує атак, що використовують цей недолік у дикій природі, користувачі повинні перешкоджати запуску Silverlight в Internet Explorer, Firefox та Chrome, поки не буде застосовано патч, сказав Мейфрет. Також важливо переконатися, що старі патчі також були розгорнуті.
Майкрософт повинен відмовитися від Silverlight, оскільки "він бачить багато виправлень зважаючи на обмежене його прийняття", запропонував Тайлер Реґіл. Оскільки Microsoft продовжуватиме підтримувати її щонайменше до 2021 року, організації повинні почати мігрувати подалі від Silverlight, щоб "ми могли все видалити Silverlight та ефективно підвищити безпеку систем кінцевих користувачів", - додав він.
Залишилися патчі Microsoft
Інший патч, який слід застосувати раніше, ніж пізніше, - це той, що стосується пари підвищених уразливих уявлень Windows Kernel Mode Driver (MS14-014), оскільки він впливає на всі підтримувані версії Windows (на цей місяць, що все ще включає Windows XP). Щоб використати цей недолік, зловмисник "повинен мати дійсні облікові дані для входу та мати можливість локально входити в систему", попередив Microsoft.
Останній виправлення виправляє проблеми в протоколі диспетчера облікових записів безпеки (SAMR), який дозволяє зловмисникам жорстоко застосовувати облікові записи Active Directory і не вимикати їх з облікового запису. Патч виправляє виклик API, щоб Windows правильно блокувала облікові записи під час атаки. "Політики блокування спроб пароля встановлюються спеціально для запобігання жорстоких спроб і дозволяють зловмиснику обходити політику повністю втрачає захист, який вона надає", - сказав Регулярно.
Інші оновлення програмного забезпечення
Це тиждень оновлень операційної системи. Apple випустила iOS 7.1 раніше цього тижня, а Adobe оновила свій Adobe Flash Player (APSB14-08), щоб закрити дві вразливості сьогодні. Наразі проблеми не експлуатуються в дикій природі, зазначив Adobe.
Apple виправила деякі значні проблеми в iOS 7, включаючи проблему звітування про збої, яка могла б дозволити місцевому користувачеві змінювати дозволи на довільні файли на постраждалих пристроях, проблему з ядром, яка могла б передбачити несподіване завершення роботи системи або довільне виконання коду в ядрі., і помилка, яка дозволила несанкціонованому користувачеві обійти вимоги щодо підпису коду на постраждалих пристроях. Apple також виправила помилку, яка могла б дозволити зловмиснику спокусити користувача завантажувати шкідливий додаток за допомогою Enterprise App Download та інший, який дозволив зловмисно створеному файлу резервної копії змінити файлову систему iOS.
