Domov Varnostna ura Microsoft odpravi 12 napak v januarskem popravku v torek, vendar ne, tj. Nič na dan

Microsoft odpravi 12 napak v januarskem popravku v torek, vendar ne, tj. Nič na dan

Video: Microsoft Edge with Internet Explorer Mode - PRE09 (November 2024)

Video: Microsoft Edge with Internet Explorer Mode - PRE09 (November 2024)
Anonim

Microsoft je v prvi izdaji Patch Tuesday za leto 2013 izdal sedem biltenov, s katerimi je odpravil 12 ranljivosti. Kot je bilo pričakovano, popravek za ničelno dnevno ranljivost v Internet Explorerju ni bil del izdaje.

Od sedmih biltenov sta bila le dva ocenjena kot kritična; preostalih pet je ocenilo kot "pomembne", je dejal Microsoft v januarskem svetovalnem poročilu Patch Tuesday. Medtem ko nobene od teh vprašanj trenutno ne izkoriščamo v naravi, "ko bo pot pripeljala pametne, zlonamerne hekerje do težave, ne bo dolgo, preden se začnejo podvigi, " Ross Barrett, višji direktor varnostnega inženiringa pri Rapid7, povedal SecurityWatch .

Samo dva kritična glasila

Eden izmed kritičnih popravkov je ocenil QTO, Wolfgang Kandek, "najpomembnejši popravek v liniji", saj vpliva na vsako različico sistema Windows od XP do Windows 8, RT in Server 2012, skupaj z vsemi različicami Microsoft Officea in drugih Microsoftov aplikacije, kot so Sharepoint in Groove. Pomanjkljivost knjižnice MSXML (MS13-002) bi lahko potencialno izkoristili tako, da uporabnike varamo na obisk zlonamernega spletnega mesta ali z odpiranjem zajetnega dokumenta Office, priloženega e-poštnemu sporočilu.

Drugi kritični bilten vpliva na programsko opremo za tiskanje Microsoft Windows Printer v sistemih Windows 7 in 2008 (MS13-001). Napadalec bi lahko izkoristil zlonamerne glave tiskalnih opravil, da bi izkoristil odjemalce, ki se povezujejo, vendar ga ni mogoče sprožiti na običajen način. Nihče ne bi smel imeti dostopnega tiskalnika do zunaj požarnega zidu, vendar bi napako lahko izkoristili zlonamerni notranji strokovnjaki ali kot del napada stopnjevanja privilegijev, je dejal Barrett.

Čeprav ni tako resen kot napake v tiskalnikih, ki jih je izkoristil Stuxnet, bo dejstvo, da bi lahko to hroščevo uporabili pri napadu v obliki luknje, postalo "precej priljubljeno na forumih napadalcev", je povedal Andrew Storms, direktor varnostnih operacij za nCircle. Treba ga je zakrpati, "pronto, " je dodal.

Pomembni bilteni

Pomembni bilteni so obravnavali težave v.NET (MS13-004), jedru Windows (MS13-005), izvedbi sloja varne vtičnice v operacijskem sistemu Windows Vista (MS13-006), protokolu odprtih podatkov (MS13-007) in navzkrižnem napaka v skriptnem spletnem mestu. Medtem ko bi lahko napake.NET izkoristili za daljinsko izvrševanje kode, je novi peskovnik nedavno predstavljen v vseh različicah.NET zmanjšal "izkoriščenost", je dejal Paul Henry, varnostni in forenzični analitik za Lumension.

Napaka v modulu jedra win32k.sys je vplivala na peskovnik AppContainer v operacijskem sistemu Windows 8. Čeprav sam po sebi ni bil kritična napaka, ga je mogoče uporabiti skupaj z drugimi ranljivostmi za napad na sistem Windows 8, je dejal Kandek.

Microsoft je zaradi težav s privilegiji na konzoli Microsoft SCOM naredil stran za prijavo ranljivo za napad medkriptnih skriptov, je povedal Microsoft v svetovanju. Oba sta nesporna XSS, kar pomeni, da morajo biti skrbniki prepričani, da obiščejo zlonamerno stran ob določenem času, je za SecurityWatch povedal Tyler Reguly, tehnični vodja varnostnih raziskav in razvoja v nCircle.

Zero-dan ni določen

Kot je bilo pričakovati, Microsoft ni imel popravka za ranljivost nič dni, ki trenutno vpliva na Internet Explorer 6, 7 in 8. Čeprav je težava v starejših različicah spletnega brskalnika, dejansko predstavljajo 90 odstotkov nameščene baze IE, je dejal Kandek. Aktivni izkoriščanje trenutno cilja na IE8, zato bi morali uporabniki, če je mogoče, nadgraditi na varnejši IE9 ali IE10.

Fix-It, ki je izšel prejšnji teden, blokira določen napad, toda raziskovalci Exodus Intelligence so našli druge načine, kako spodbuditi ranljivost tudi po uporabi začasnega rešitve. Kljub temu naj bi skrbniki še vedno uvedli program Fix-It, vendar bi morali razmisliti tudi o Microsoftovem orodju za izboljšanje izkušenj z izboljšanjem blaženj, ki lahko blokira poskuse, da sproži napako dneva nič.

Microsoft odpravi 12 napak v januarskem popravku v torek, vendar ne, tj. Nič na dan