Video: КУПИЛ ВСЕ ЗАДАНИЯ В K.I.W.I. - ОТКРЫЛ 33 КЕЙСА! ПРОКАЧАЛ ПЕРСОНАЖА (November 2024)
Včeraj je Microsoft izdal 13 varnostnih biltenov, ki so pokrili približno 47 hroščev v nekoliko večjem kot običajno Patch torku. Med njimi so bili štirje navedeni kot kritični, preostali pa so bili označeni kot pomembni. Pripravite se na posodobitev!
Zanimivo je, da je bila prejšnji teden objavljena štirinajsta posodobitev, ki se nanaša na težavo o zavrnitvi storitve v.NET, vendar je bila zadržana za nadaljnje testiranje. Morda se želi Microsoft izogniti nekaj nejasnosti, ki jih je imel prejšnji torek, ko je bilo treba po izdaji potegniti eno posodobitev.
Internet Explorer in socialni inženiring
Microsoft je deset kranj obravnaval s kumulativno posodobitvijo Internet Explorerja, kar je vplivalo na različice šest do 10. To pomeni, da se bodo te spremembe dotaknile skoraj vseh, kar je najbolje, saj so nekatere od teh napak dopuščale oddaljeno izvajanje kode.
"Najhujše ranljivosti bi lahko omogočile oddaljeno izvajanje kode, če si uporabnik ogleda posebno izdelano spletno stran z uporabo Internet Explorerja, " je zapisal Microsoft. "Napadalec, ki je uspešno izkoristil najhujšo od teh ranljivosti, lahko pridobi enake uporabniške pravice kot trenutni uporabnik." To je še en odličen argument, da za vsakodnevno delo nikoli ne uporabljaš računa s skrbniškimi privilegiji.
Microsoft Word in Excel bodo videli posodobitve, ki obravnavajo ranljivost datoteke v datoteki, kjer bi lahko za izdelavo kode v računalniku žrtve uporabili posebej oblikovano datoteko Office. "Microsoft te ranljivosti ocenjuje le kot" pomembne ", ker potrebujejo cilj, da sodelujejo, " piše direktor organizacije Qualy Wolfgang Kandek. "Vendar pa so napadalci vedno znova dokazali, da imajo potrebne tehnike socialnega inženiringa, da to oviro z lahkoto premagajo."
Dejansko poročila, ki smo jih videli, postavljajo socialni inženiring na vrh večjih groženj uporabnikom, prav tako pa so zaznamovane datoteke, kakršne so naslovljene s temi Officeovimi posodobitvami. Te datoteke so neverjetno nevarne, ker izgledajo zakonito, in videli smo, kako so jih v naprednih vztrajnih napadih groženj dosegli z velikim učinkom.
Outlook in drugi
Tudi ta priljubljena različici Microsoft Outlook 2007 in 2010 sta bili zakrpani v tem mesecu, s čimer se je odpravila še posebej grda ranljivost. "Napadalec lahko izkoristi algoritem za razčlenitev potrdil s podpisom e-pošte in v podpis vnese več kot 256 potrdil, " je pojasnil Kandek. "Napad povzroči preliv medpomnilnika, tudi če je samo prikazan v podoknu za predogled Outlooka."
Čeprav Microsoft pravi, da je napad napredovanja težko odpraviti, je nevarno, saj žrtvi ni treba storiti ničesar, da bi napad uspel.
Poleg teh je Microsoft izdal kritične popravke za Sharepoint 2003, 2007, 2010 in 2013 ter Microsoft Visio. Nalepke so označile pomembne OLE, tematske datoteke Windows, Microsoft Access, kitajski Office IME, gonilnike v načinu Kernal, Windows Service Control Manager, FrontPage in Active Directory.
Slika prek uporabnika Flickr Dan Dickinson