Video: Эксперимент от Microsoft - революционный Surface PRO X на ARM (November 2024)
Microsoft je danes popoldne izdal osem varnostnih biltenov, ki obravnavajo 23 ranljivosti v številnih storitvah, vključno z Windows, Internet Explorer in Exchange. Od tega so trije dosegli najvišjo oceno kritičnih, ostali pa so bili označeni kot pomembni.
Uporabnikom, ki želijo prednostno prilagoditi popravke, Microsoft priporoča, da se osredotočijo na MS13-059 in MS13-060. Ob tem bi morali vse zalepiti takoj, ko boste to zmogli.
Napadi pisave in ranljivosti IE
Od teh dveh je Bulletin 059 kumulativna varnostna posodobitev za Internet Explorer, ki vključuje 11 zasebno razkritih ranljivosti. "Najhujše ranljivosti bi lahko omogočile oddaljeno izvajanje kode, če si uporabnik ogleda posebno izdelano spletno stran z uporabo Internet Explorerja, " piše Microsoft. "Napadalec, ki je uspešno izkoristil najhujšo od teh ranljivosti, lahko pridobi enake uporabniške pravice kot trenutni uporabnik."
Marc Maiffret, CTO v podjetju BeyondTrust, razloži: "Samo ranljivost ne dovoljuje izvrševanja kode, ampak bi jo bilo mogoče kombinirati z drugo ranljivostjo, da bi pridobili izvajanje kode s pravicami uporabnika."
Posodobitev IE je pomembna tudi po vključitvi popravka ranljivosti, ki jo uporablja VUPEN Security na tekmovanju pwn2own leta 2013. Vidite? Vsa tista konkurenca se obrestuje.
Bilten 060 se nanaša na ranljivost v procesorju skriptov Unicode, v bistvu omogoča napadalcem uporabo upodabljanja pisave kot vektor napada. Podobne težave smo videli v prejšnji mesečni posodobitvi torka Patch Tuesday.
Qualys CTO Wolfgang Kandek je za SecurityWatch pojasnil, da "so pisave narisane na ravni jedra, tako da, če lahko nekako vplivate na risbo pisav in jo prelijete." To bi, je dejal Kandek, napadalcu omogočilo nadzor nad računalnikom žrtve.
Čeprav je v Windows XP omejena na pisavo Bangali, je ta ranljivost še posebej vznemirjajoča zaradi številnih različnih načinov za napad, ki jih, če to omogoča. "Gre za zelo vabljiv vektor napada, " je dejal Amol Sarwate, direktor laboratorija za ranljivost Qualys. Vse, kar bi moral napadalec storiti, je, da žrtev usmeri na dokument, e-pošto ali zlonamerno spletno stran, da izkoristi ranljivost.
Kritična ranljivost izmenjave
Tretji kritični bilten je povezan z oddaljenim izvajanjem kode na strežnikih Microsoft Exchange. Kandek je za SecurityWatch dejal, da lahko napadalec izkoristi te tri ranljivosti s posebej ustvarjeno datoteko PDF, ki bi ob gledanju - ne prenesenem - napadla poštni strežnik žrtve.
Prej je te ranljivosti razkril Oracle, zaradi česar je prizadeta komponenta. K sreči še ni bilo opaziti nobene usmrtitve v naravi, vendar so bile v preteklosti podobne težave večkrat zakrčene. Maiffret piše, da sta dve ranljivosti "znotraj funkcije pregledovanja dokumenta WebReady, ki smo jo v zadnjem letu večkrat zakrpali (MS12-058, MS12-080 in MS13-012). Oracle še naprej daje Microsoft in Exchange dosledno črno oko."
Kandek ugotavlja, "da je bilo zelo težko najti ranljivosti v tej komponenti programske opreme" in da bi morali uporabniki poleg popravljanja programske opreme razmisliti o izklopu te funkcije. S tem bo uporabnike prisililo, da si naložijo priloge po pošti, da bi si jih ogledali, kar bi lahko plačilo za varnost postalo majhna cena
Na mesečnem seznamu popravkov je še nekaj drugih dobrot, vključno z ranljivostjo IPv6 in nekaj privilegijev, zavrnitvijo storitve in ranljivostmi za razkritje informacij. Medtem ko se vsi lotijo popravkov, se bomo pripravljali na odpravljanje napak v naslednjem mesecu.