Відео: What's new with Microsoft 365 | October 2020 (Вересень 2024)
Сьогодні вдень Microsoft випустила вісім бюлетенів безпеки, які вирішили 23 вразливості для багатьох служб, включаючи Windows, Internet Explorer та Exchange. З них троє отримали найвищий рейтинг критичних, а решта - як важливі.
Користувачам, які прагнуть визначити пріоритетність свого виправлення, Microsoft рекомендує зосередитись на MS13-059 та MS13-060. Це означає, що ви повинні зафіксувати все, як тільки зможете це зробити.
Атаки шрифту та вразливості IE
З них два, Бюлетень 059 - це сукупне оновлення безпеки для Internet Explorer, яке охоплює 11 вразливо розкритих уразливостей. "Найбільш серйозні вразливості можуть дозволити віддалене виконання коду, якщо користувач перегляне спеціально створену веб-сторінку за допомогою Internet Explorer", - пише Microsoft. "Зловмисник, який успішно користувався найсуворішою з цих вразливих місць, може отримати ті ж права користувачів, що й поточний користувач."
Марк Мейфрет, CTO в компанії BeyondTrust пояснює: "Само собою, вразливість не дозволяє виконувати код, а натомість поєднується з іншою вразливістю для отримання виконання коду з правами користувача".
Оновлення IE також примітно тим, що включає виправлення вразливості, яку використовує VUPEN Security під час конкурсу pwn2own 2013 року. Побачити? Вся ця конкуренція окупається.
Бюлетень 060 стосується вразливості в процесорі скриптів Unicode, в основному дозволяє зловмисникам використовувати візуалізацію шрифту як вектор атаки. Аналогічні проблеми ми бачили і в оновленому минулому місяці оновлення Patch Tuesday.
КТО Qualys Вольфганг Кандек пояснив SecurityWatch, що "шрифти малюються на рівні ядра, тому, якщо ви зможете якось впливати на малювання шрифтів і переповнювати його". Це, за словами Кандека, надасть зловмиснику контроль за комп’ютером жертви.
Хоча обмежена шрифтом Bangali в Windows XP, ця вразливість особливо викликає занепокоєння через безліч різних способів атаки, які, якщо це передбачено. "Це дуже привабливий вектор нападу", - сказав Амол Сарват, директор лабораторій уразливості Qualys. Все, що зловмисник повинен зробити, - це направити жертву на документ, електронну пошту чи шкідливу веб-сторінку, щоб використовувати вразливість.
Критична вразливість обміну
Третій критичний бюлетень стосується віддаленого виконання коду на серверах Microsoft Exchange. Кандек сказав SecurityWatch, що зловмисник може використовувати ці три вразливості за допомогою спеціально створеного PDF-файлу, який при перегляді - не завантаженому - атакуватиме поштовий сервер жертви.
Раніше ці вразливості були розкриті Oracle, що робить постраждалий компонент. На щастя, жодна страта ще не була помічена в дикій природі, але подібні проблеми вже не раз виправлялися в минулому. Мейфрет пише, що дві вразливості знаходяться "в рамках функції перегляду документів WebReady, яку ми бачили кілька разів виправлених за останній рік (MS12-058, MS12-080 та MS13-012). Oracle продовжує надавати Microsoft та Exchange послідовне чорне око ".
Кандек зазначає, "було дуже легко знайти вразливості в цьому компоненті програмного забезпечення", і що користувачі повинні розглянути можливість вимкнення цієї функції на додаток до виправлення програмного забезпечення. Це призведе до того, що користувачі змусять завантажувати вкладені пошти, щоб переглядати їх, що може платити за безпеку невеликою ціною
У цьому списку виправлень цього місяця є кілька інших смаколиків, зокрема вразливість IPv6, а також деяке підвищення привілеїв, відмова в обслуговуванні та вразливості щодо розкриття інформації. Поки всі добираються до виправлення, ми будемо готові до раунду помилок у наступному місяці.
