Video: Blood War Ending Alliance Cutscene - Spoiler (Patch 8.3) (Oktober 2024)
Microsoft je v julijskem Patch torku izdal sedem biltenov, s katerimi je odpravil 34 edinstvenih napak v.NET Framework, jedru Windows in Internet Explorerju. Za Microsoftov trg je na voljo tudi nova 180-dnevna politika glede aplikacij z varnostnimi napakami.
Od sedmih biltenov je šest ocenjenih kot kritičnih, eno pa je bilo ocenjeno kot pomembno, je dejal Microsoft v svojem svetovalnem torku Patch Tuesday, objavljenem včeraj popoldne. Microsoft je priporočil, da najprej namestite bilten IE (MS13-055), nato pa še enega od biltenov za gonilnike načina jedra Windows (MS13-053). Preostali bilteni TrueType in Windows so bili v naslednji prednostni skupini, ki ji je sledil edini "pomemben" popravek.
"Na vse v osrednjem Microsoftovem svetu vpliva eden ali več teh; vsaka podprta OS, vsaka različica MS Office, Lync, Silverlight, Visual Studio in.NET, " je dejal Ross Barrett, višji vodja varnostnega inženiringa pri Rapid7.
Noben od teh bilten ne vpliva na sistem Windows 8.1 Preview in IE 11.
Grdo, grdo pisave
Tri ločene biltene (MS13-052, MS13-053 in MS13-054) so odpravile ranljivost pisave TrueType v.NET. Ta napaka pisave TrueType je podobna napaki, ki jo uporabljata Stuxnet in Duqu, le po tem, da je prisoten v.NET in ne v jedru Windows, je dejal Marc Maiffret, CTO podjetja BeyondTrust.
MS13-054 je odpravil ranljivost TrueType v GDI +, komponenti v Windows jedru. Napaka vpliva na več izdelkov, vključno z vsako podprto različico sistema Windows, Office 2003/2007/2010, Visual Studio.NET 2003 in Lync 2010/2013. Maiffret je napovedal, da bodo napadalci v bližnji prihodnosti izkoristili to napako, ker toliko izdelkov uporablja GDI +.
"MS13-053 je najslabši v skupini, " je dejal Tommy Chin, inženir tehnične podpore pri CORE Security, ki je dodal: "Gre za oddaljeno izvajanje kode in povečanje privilegijev v enem." Napadalci lahko potencialnim žrtvam socialnih inženirjev ogledajo izdelano datoteko z zlonamerno vsebino TrueType. Če je uspešen, napadalec pridobi skrbniški dostop do prizadetega sistema, je dejal Chin.
V tem biltenu je določena tudi ničelna ranljivost v jedru Windows, ki jo je odkril raziskovalec varnosti Tavis Ormandy. Glede na to, da so izkoriščanja za to ranljivost že vključena v javne okvire, kot je Metasploit, bi to moralo biti velika prednostna naloga
internet Explorer
Obsežna posodobitev Internet Explorerja je odpravila 17 pomanjkljivosti, od tega je 16 ranljivosti v pomnilniku in ena krizna napaka med spletnimi stranmi. Napake v korupciji pomnilnika se lahko uporabijo pri napadih, s katerimi napadalci nastavijo zlonamerne spletne strani in uporabljajo taktiko socialnega inženiringa, da uporabnike privabijo na zlonamerne strani. V zadnjih letih je bilo v Internet Explorerju veliko napak v korupciji pomnilnika, je opozoril Maiffret in dodal: "Nujno je, da se ta obliž čim prej uvede."
Sprememba pravilnika Microsoftove tržnice
Microsoft je napovedal tudi spremembo politike, povezane s trgom Microsofta. V skladu z novim pravilnikom bo vsaka aplikacija v kateri koli od štirih trgovin z aplikacijami, ki jo vodi Microsoft (Windows Store, Windows Phone Store, Office Store in Azure Marketplace), dobila 180 dni za rešitev varnostnih težav. Časovna premica velja za ranljivosti, ki so ocenjene kot kritične ali pomembne in niso napadene.
Če ne bo zakrpljen v tem časovnem okviru, bo aplikacija odstranjena iz trgovine, je dejal Microsoft. Pravilnik velja za aplikacije tako zunanjih razvijalcev kot tudi Microsofta.
"Microsoft dela velik korak v smeri zmanjšanja ranljivih aplikacij v različnih trgovinah z aplikacijami, " je dejal Craig Young, varnostni raziskovalec podjetja Tripwire.
Vendar je treba omeniti, da je 180 dni že dolgo, zato je zelo malo verjetno, da bo Microsoft kdaj prekinil uporabo aplikacije. Razvijalec verjetno ne bo porabil več kot šest mesecev, da bi odpravil kritično ranljivost, in če posodobitev traja dlje, kot je bilo pričakovano, je Microsoft pripravljen narediti izjeme.
Glede na to se novi pravilnik sliši kot način, da bi se Microsoftu zdelo težko, ne da bi to škodilo razvijalcem.
Še naprej
To bo naporen mesec za administratorje. Adobe je objavil svoje posodobitve, Oracle pa bo prihodnji teden objavil svojo četrtletno posodobitev vse programske opreme, razen Jave.
