Video: IE Zero Day Emergency Patch, Windows Sandbox, New ThinScale Product & More | Dec 20th 2018 (November 2024)
Microsoft je izdal pet popravkov - dva sta bila ocenjena kot "kritična" in tri kot "pomembna" - v okviru marčeve posodobitve Patch Tuesday je odpravila 23 ranljivosti v Internet Explorerju, Microsoft Windows in Silverlight. IE obliž je prav tako zaprl ničelne dneve, ki jih napadalci ranljivosti izkoriščajo od februarja.
Napadalci so prejšnji mesec v Internet Explorerju 10 v okviru operacije SnowMan izkoristili kritično ničelno ranljivost (CVE-2014-0322), ki je ogrozila spletno mesto, ki je pripadalo ameriškim veteranom tujih vojn, kot tudi v drugačnem napadu, ki se predstavlja kot Francoz proizvajalec vesoljskih sistemov. IE obliž (MS14-022) zapre to pomanjkljivost kot tudi 17 drugih, vključno s tistim, ki je bil uporabljen v omejenih napadih proti Internet Explorerju 8 (CVE-2014-0324), Dustin Childs, vodji skupin pri Microsoft Trustworthy Computing, je zapisal na spletnem mestu Microsoftov varnostni odzivni center.
"Očitno bi morala biti posodobitev IE vaša največja prioriteta, " je dejal Childs.
Težave s Silverlightom
Drugi kritični popravek odpravi kritično napako pri izvajanju oddaljene kode v DirectShowu in vpliva na več različic sistema Windows. Ranljivost je v tem, kako razvrsti JPEG slike DirectShow, zato je verjetno, da bodo napadi, ki izkoriščajo to napako, zlonamerne slike vstavili v ogrožene spletne strani ali vdelani v dokumente, je dejal Marc Maiffret, predstavnik organizacije BeyondTrust. Omeniti velja, da bodo uporabniki, ki imajo privilegije, ki niso skrbniki, zaradi teh napadov manj vplivali, ker bo napadalec omejen v škodi, ki jo lahko povzroči.
Varnostni bypass v Silverlightu je ocenjen kot "pomemben", vendar bi moral biti tudi precej pomemben. Napadalci lahko izkoristijo napako tako, da uporabnike usmerijo na zlonamerno spletno mesto, ki vsebuje posebej oblikovano vsebino Silverlight, je dejal Microsoft. Nevarno je, da lahko napadalci z izkoriščanjem te ranljivosti zaobidejo ASLR in DEP, dve tehnologiji za ublažitev, ki sta vgrajeni v Windows, je opozoril Maiffret. Napadalec bi potreboval sekundarno izkoriščanje, da bi dosegel oddaljeno izvedbo kode po obhodu ASLR in DEP, da bi pridobil nadzor nad sistemom, kot je napaka pri obvoznici ASLR, ki je bila odkrita decembra (MS13-106). Medtem ko trenutno v naravi ni napadov, ki bi izkoriščali to napako, bi morali uporabniki preprečiti, da bi se Silverlight izvajal v Internet Explorerju, Firefoxu in Chromu, dokler se obliž ne uporabi, je dejal Maiffret. Pomembno je tudi zagotoviti, da so bili nameščeni tudi starejši popravki.
Microsoft bi se moral odpovedati Silverlightu, saj "glede na njegovo omejeno uporabo vidi veliko popravkov", je predlagal Tyler Reguly. Ker ga bo Microsoft še naprej podpiral vsaj do leta 2021, bi se morale organizacije začeti seliti stran od Silverlight, tako da "bi lahko vsi odstranili Silverlight in učinkovito povečali varnost sistemov končnih uporabnikov", je dodal.
Preostali Microsoftovi popravki
Naslednji popravek, ki ga je treba uporabiti prej in slej, je tisti, ki obravnava par višin ranljivosti privilegijev Windows Driver Mode Driver (MS14-014), saj vpliva na vse podprte različice sistema Windows (za ta mesec, ki še vedno vključuje Windows XP). Za izkoriščanje te napake mora napadalec "imeti veljavne poverilnice za prijavo in se lahko prijaviti lokalno", opozarja Microsoft.
Končni popravek odpravlja težave v protokolu za odstranjevanje varnostnih računov (SAMR), ki napadalcem omogoča, da naslovijo aktivne račune Active Directory in se ne zapustijo iz računa. Obliž popravi klic API, tako da Windows pravilno zaklene račune, ko je napaden. "Politike zaklepanja poskusov z geslom se uporabljajo posebej za preprečevanje poskusov grobe sile in dovoljenju zlonamernemu napadalcu, da zaobide pravilnik, popolnoma pokvari zaščito, ki jo zagotavlja, " je še dejal Redly.
Druge posodobitve programske opreme
To je teden za posodobitve operacijskega sistema. Apple je izdal iOS 7.1 v začetku tega tedna, Adobe pa je posodobil svoj Adobe Flash Player (APSB14-08), da bi danes zaprl dve ranljivosti. Te težave trenutno ni mogoče izkoristiti v naravi, je dejal Adobe.
Apple je odpravil nekaj pomembnih težav v iOS 7, vključno s težavo s poročanjem o zrušitvi, ki bi lahko lokalnemu uporabniku omogočila spreminjanje dovoljenj za poljubne datoteke na prizadetih napravah, težavo z jedrom, ki bi lahko omogočila nepričakovano zaustavitev sistema ali samovoljno izvrševanje kode v jedru, in hrošč, ki je nepooblaščenim uporabnikom omogočil, da obidejo zahteve za podpisovanje kode na prizadetih napravah. Apple je odpravil tudi napako, ki bi lahko napadalcu omogočila, da uporabnika zavede zlonamerno aplikacijo prek Enterprise App Download in drugo, ki je dovolila zlonamerno izdelani varnostni kopiji spremeniti datotečni sistem iOS.