Відео: БАГ НА НЕВИДИМОСТЬ В ГРЭННИ! - Granny (Вересень 2024)
Microsoft випустила сім бюлетенів, виправляючи 34 унікальних помилки в .NET Framework, ядрі Windows та Internet Explorer в рамках липневого патч-вівторка. Існує також нова 180-денна політика для ринку Microsoft щодо програм із помилками безпеки.
З семи бюлетенів шість оцінюються критично, а один був оцінений як важливий, заявив Microsoft у своєму довідковому повідомленні Patch Tuesday, опублікованому вчора вдень. Microsoft рекомендувала спочатку встановити бюлетень IE (MS13-055), а потім один із бюлетенів для драйверів режиму ядра Windows (MS13-053). Решта бюлетенів TrueType та Windows опинилися в наступній групі пріоритетів, за нею слідував єдиний "важливий" патч.
"На все в основному світі Microsoft впливає одне або кілька з них; кожна підтримувана ОС, кожна версія MS Office, Lync, Silverlight, Visual Studio і .NET", - сказав Росс Барретт, старший менеджер з інженерних систем безпеки Rapid7.
Жоден із цих бюлетенів не впливає на Windows 8.1 Preview та IE 11.
Потворні, некрасиві шрифти
Три окремі бюлетені (MS13-052, MS13-053 та MS13-054) виправили вразливість шрифту TrueType у .NET. Ця помилка шрифту TrueType схожа на помилку, яку експлуатують Stuxnet та Duqu, за винятком того, що він присутній у .NET, а не в ядрі Windows, зазначив Марк Майфрет, представник CTO BeyondTrust.
MS13-054 виправила вразливість TrueType в GDI +, компоненті в ядрі Windows. Недолік стосується декількох продуктів, включаючи будь-яку підтримувану версію Windows, Office 2003/2007/2010, Visual Studio .NET 2003 та Lync 2010/2013. Мейфрет передбачив, що цей недолік буде використаний зловмисниками найближчим часом, оскільки так багато продуктів використовують GDI +.
"MS13-053 - це найгірше в групі", - сказав Томмі Чін, інженер технічної підтримки CORE Security, додавши "Це віддалене виконання коду та ескалація привілеїв все в одному". Зловмисники можуть соціальними інженерами потенційних жертв переглянути файл, створений зі шкідливим вмістом TrueType. У разі успіху зловмисник отримує доступ адміністратора до постраждалої системи, сказав Чін.
У цьому бюлетені також зафіксована вразливість нульового дня в ядрі Windows, виявлена дослідником безпеки Тавісом Орманді. Враховуючи, що використання цієї вразливості вже включено до загальнодоступних рамок, таких як Metasploit, це повинно бути пріоритетним
Internet Explorer
Масивне оновлення Internet Explorer вирішило 17 недоліків, з них 16 - уразливість пам'яті та одна помилка сценаріїв між сайтом. Недоліки корупції в пам'яті можуть використовуватися в атаках, коли зловмисники встановлюють шкідливі веб-сторінки та використовують тактику соціального інжинірингу для залучення користувачів до шкідливих сторінок. Протягом останніх декількох патч-вівторків у Internet Explorer було багато помилок із пошкодженням пам’яті, зауважив Майфрет, додавши:
Зміна політики Microsoft Marketplace
Microsoft також оголосила про зміну політики, пов’язаної з ринком Microsoft. Згідно з новою політикою, будь-якому додатку в будь-якому з чотирьох магазинів додатків, що управляється Microsoft (Windows Store, Windows Phone Store, Office Store та Azure Marketplace), буде надано 180 днів для вирішення проблем із безпекою. Часова шкала застосовується до вразливих місць, які оцінюються критичними або важливими, і не піддаються атаці.
Якщо воно не буде виправлене в цей термін, додаток буде видалено з магазину, повідомив Microsoft. Ця політика стосується програм як сторонніх розробників, так і Microsoft.
"Майкрософт робить великий крок до мінімізації вразливих додатків у різних магазинах додатків", - сказав Крейг Янг, науковий співробітник компанії Tripwire.
Однак варто зауважити, що 180 днів - це тривалий час, що робить малоймовірним, що Microsoft коли-небудь завершить програму. Мабуть, розробник не витратить більше шести місяців на виправлення критичної вразливості, і якщо оновлення триватиме більше часу, ніж очікувалося, Microsoft готова зробити винятки.
Враховуючи це, нова політика звучить як спосіб для Microsoft звучати жорстко, не негативно впливаючи на розробників.
Більше попереду
Це буде насиченим місяцем для адміністраторів. Adobe випустила власні оновлення, а Oracle випустить щоквартальне оновлення всього свого програмного забезпечення, крім Java, наступного тижня.
