Oracle приєднується до Adobe, microsoft у гігантському патчі січня у вівторок

Це трифекта програмних патчів, в яких Microsoft, Adobe і Oracle випускають оновлення безпеки в той же день.

Як і очікувалося, Microsoft розпочала 2014 рік з досить легким випуском Patch Tuesday, виправивши шість не дуже критичних уразливих ситуацій у чотирьох бюлетенях безпеки. Того ж дня Adobe випустила два критичні оновлення, виправляючи три критичні недоліки у віддаленому виконанні коду в Adobe Reader, Acrobat та Flash. Химерність планування означала, що квартальне оновлення критичних патчів Oracle також впало в той же вівторок, що призвело до величезного обсягу патчів, з якими ІТ-адміністратори мали справу. Oracle виправив 144 уразливості для 40 продуктів, включаючи Java, MySQL, VirtualBox та його флагманську базу даних Oracle.

"Поки Microsoft випускає лише чотири оновлення, ІТ-адміністратори мають багато роботи через випуски Adobe та Oracle", - сказав Волфганг Кандек, CTO Qualys.

Експерти зазначили, що патчі Java від Oracle мають бути найвищим пріоритетом, а потім - рекомендації Adobe Reader та Flash, а потім оновлення Microsoft Word та XP.

Oracle бере на Java

Навіть беручи до уваги, що Oracle виправляє щоквартально та фіксує більше продуктів, цей процесор все ще є рекордсменом у кількості виправлених проблем. Із 144 вад безпеки 82 можна вважати критичними, оскільки їх можна використовувати віддалено без автентифікації.

Більшість уразливостей, які вирішувались у гаргантуальному процесорі Oracle, були у Java v7. Oracle виправив 34 недоліки у віддаленому виконанні з кількома оцінками 10 за шкалою загальної системи вразливості. CVSS вказує на серйозність вади та ймовірність того, що зловмисник отримає повний контроль над системою.

Java була однією з найбільш атакованих програм у 2013 році, і експерти попередили, що вона й надалі буде популярною ціллю. Якщо ви не використовуєте його, видаліть його. Якщо вам потрібно встановити Java, принаймні відключіть її у веб-браузері, оскільки всі атаки, які поки що були, напали на браузер. Якщо ви отримуєте доступ до веб-додатків, для яких потрібна Java, зберігайте його в іншому веб-браузері, ніж стандартний, і перемикайте, коли потрібно. Якщо він вам не потрібен, не зберігайте його. Якщо ви все-таки збережете це, негайно закріпіть.

Oracle також виправив п’ять недоліків безпеки у власній базі даних Oracle, один з яких можна експлуатувати віддалено, та 18 вразливості в MySQL. Три з цих помилок могли бути атаковані віддалено і мали максимальний бал CVSS 10. Серверне програмне забезпечення Solaris мало 11 недоліків, у тому числі той, який міг атакувати віддалено. Найсерйозніша помилка Solaris мала оцінку CVSS 7, 2. Центральний процесор вирішив дев'ять проблем у програмі Oracle Virtualization Software, яка включає в себе програмне забезпечення для віртуалізації VirtualBox, з яких чотири можна запустити віддалено. Максимальний показник CVSS становив 6, 2.

Якщо ви використовуєте будь-який із цих продуктів, важливо негайно оновити їх. MySQL широко використовується як резервна система для багатьох популярних програм CMS та форуму, включаючи WordPress та phpBB.

Виправлення читання та спалаху

Adobe вирішила проблеми безпеки в Adobe Flash, Acrobat та Reader, які, якщо вони будуть використані, дадуть зловмисникам повний контроль над цільовою системою. Вектор атаки для помилки Acrobat і Reader був шкідливим PDF-файлом. Недолік Flash може бути використаний, відвідуючи шкідливі веб-сторінки або відкриваючи документи із вбудованими Flash-об’єктами.

Якщо для продуктів Adobe увімкнено фонові оновлення, оновлення повинні бути безперебійними. Користувачам з Google Chrome та Internet Explorer 10 і 11 не доведеться турбуватися про нову версію Flash, оскільки браузери оновлять програмне забезпечення автоматично.

Легке оновлення Microsoft

Microsoft виправила вразливість формату файлів у Microsoft Word (MS14-001), яку можна експлуатувати віддалено, якщо користувач відкриє захоплений файл Word в пастці. Він впливає на всі версії Microsoft Word у Windows, включаючи Office 2003, 2007, 2010 та 2013, а також на переглядачі документів Word. Користувачі Mac OS X не впливають.

Уразливість з нульовим днем ​​(CVE-2013-5065), що впливає на системи Windows XP та Server 2003, яка була виявлена ​​в дикій природі минулого листопада, нарешті була виправлена ​​(MS14-002). Хоча недолік ескалації привілеїв у NDProxy не може бути виконаний віддалено, він має бути пріоритетним, оскільки він може поєднуватися з іншими вразливими місцями. Атаки в листопаді використовували шкідливий документ PDF, щоб спочатку викликати помилку в Adobe Reader (який був зафіксований у травні 2013 року в APSB13-15), щоб отримати доступ до помилки ядра Windows. Microsoft усунула аналогічний недолік ескалації привілеїв у Windows 7 та Server 2008 (MS14-003).

"Якщо ви переживаєте за 002, а не 003, ви, швидше за все, матимете певні проблеми, коли настане квітень, коли підтримка завершиться для Windows XP", - сказав Rapid7.

Самі по собі ці вразливості можуть бути не критичними, але в поєднанні вони можуть бути набагато серйознішими, попередив Trustwave. Якщо кампанія, яка використовує зловмисний документ Office, виконана з кодом, орієнтованим на помилку підвищення рівня привілеїв, "тоді фішинг-електронний лист для нічого не підозрюючого користувача буде все необхідне", - заявили в команді.