Video: Основы PL/SQL Oracle 11g ч.1 (Oktober 2024)
Gre za trifektu programskih popravkov, pri čemer so Microsoft, Adobe in Oracle vsi isti dan sprostile varnostne posodobitve.
Po pričakovanjih je Microsoft začel leto 2014 z dokaj lahko izdajo Patch Tuesday, ki je v štirih varnostnih biltenih odpravil šest ne tako kritičnih ranljivosti. Istega dne je Adobe izdal dve kritični posodobitvi, s katero je odpravil tri kritične napake pri izvajanju oddaljene kode v Adobe Readerju, Acrobatu in Flash. Preizkus razporejanja je pomenil, da je isti četrtek tudi Oracle četrtletna posodobitev kritičnih popravkov padla, kar je povzročilo ogromno količino popravkov, s katerimi se bodo lahko ukvarjali skrbniki IT. Oracle je odpravil 144 ranljivosti v 40 izdelkih, vključno z Java, MySQL, VirtualBox in njegovo vodilno bazo podatkov Oracle.
"Medtem ko Microsoft izdaja le štiri posodobitve, je IT-skrbnikom veliko dela zaradi izdanj Adobe in Oracle, " je dejal Wolfgang Kandek, CTO za Qualys.
Strokovnjaki Java naj bi bili najpomembnejši, sledili so ji nasveti Adobe Reader in Flash ter nato posodobitve programa Microsoft Word in XP.
Oracle prevzema Javo
Tudi če upoštevamo, da se Oracle loči vsako četrtletje in popravlja več izdelkov, je ta CPU še vedno rekorder po številu odpravljenih težav. Od 144 napak v varnosti bi jih bilo 82 mogoče oceniti kot kritične, saj jih je mogoče izkoristiti na daljavo brez preverjanja pristnosti.
Večina ranljivosti, ki so jih obravnavali v Oracleovem velikanskem procesorju, je bila v Java v7. Oracle je odpravil 34 napak v oddaljeni izvedbi, z več točkami 10 na lestvici skupnega sistema ranljivosti. CVSS kaže na resnost napake in verjetnost, da bo napadalec dobil popoln nadzor nad sistemom.
Java je bila ena najbolj napadljivih programske opreme leta 2013, strokovnjaki pa so opozorili, da bo še naprej priljubljena tarča. Če ga ne uporabljate, ga odstranite. Če morate imeti nameščeno Javo, jo vsaj onemogočite v spletnem brskalniku, saj so vsi doslej napadi napadli brskalnik. Če dostopate do spletnih aplikacij, za katere potrebuje Javo, jo hranite v drugem spletnem brskalniku kot privzeti in po potrebi preklopite. Če je ne potrebujete, je ne hranite. Če ga vseeno obdržite, takoj zalepite.
Oracle je v svoji zbirki podatkov Oracle odpravil tudi pet varnostnih napak, od katerih je eno mogoče izkoristiti na daljavo, in 18 ranljivosti v MySQL. Tri od teh hroščev je bilo mogoče napasti na daljavo in so imeli najvišjo oceno CVSS 10. Strežniška programska oprema Solaris je imela 11 napak, med njimi tudi eno, ki bi jo lahko napadli na daljavo. Najresnejši Solarisov hrošč je imel oceno CVSS 7, 2. Procesor je obravnaval devet vprašanj v programski opremi za virtualizacijo Oracle, ki vključuje virtualizacijsko programsko opremo VirtualBox, od katerih je štiri mogoče sprožiti na daljavo. Najvišja ocena CVSS je bila 6, 2.
Če uporabljate katerega od teh izdelkov, je pomembno, da jih takoj posodobite. MySQL se pogosto uporablja kot zadnji sistem za številne priljubljene programske opreme za CMS in forume, vključno z WordPress in phpBB.
Popravki bralnika in bliskavice
Adobe je odpravil varnostne težave v Adobe Flash, Acrobat in Reader, ki bi napadalcem omogočile popoln nadzor nad ciljnim sistemom. Vektor napada za hrošče Acrobat in Reader je bil zlonamerna datoteka PDF. Napako Flash je mogoče izkoristiti z obiskom zlonamernih spletnih strani ali odpiranjem dokumentov z vgrajenimi Flash predmeti.
Če so za izdelke Adobe vklopljene posodobitve za ozadje, morajo biti posodobitve brezhibne. Uporabnikom z brskalnikom Google Chrome in Internet Explorerjem 10 in 11 ne bo treba skrbeti za novo različico Flash, saj bodo brskalniki programsko opremo samodejno posodobili.
Lahka posodobitev za Microsoft
Microsoft je v programu Microsoft Word (MS14-001) odpravil ranljivost datoteke v datoteki, ki jo je mogoče na daljavo izkoristiti, če uporabnik odpre Wordovo datoteko Word. Vpliva na vse različice programa Microsoft Word v operacijskem sistemu Windows, vključno z Office 2003, 2007, 2010 in 2013, pa tudi na pregledovalnike dokumentov Word. Na uporabnike Mac OS X to ne vpliva.
Končnica je bila že popravljena, saj je bila ranljivost brez dneva (CVE-2013-5065), ki vpliva na sisteme Windows XP in Server 2003, ki je bila odkrita novembra lani v naravi (MS14-002). Čeprav pomanjkljivosti stopnjevanja privilegijev v NDProxy ni mogoče izvesti na daljavo, je treba imeti prednostno nalogo, saj se lahko kombinira z drugimi ranljivostmi. Novembrski napadi so z zlonamernim dokumentom PDF najprej sprožili napako v Adobe Readerju (ki je bil zasežen maja 2013 v APSB13-15), da bi dostopili do napake v jedru Windows. Microsoft je podobno napako stopnjevanja privilegijev odpravil v sistemih Windows 7 in Server 2008 (MS14-003).
"Če vas skrbi 002 in ne 003, boste verjetno imeli težave že aprila, ko se bo končala podpora za Windows XP, " je dejal Rapid7.
Te ranljivosti same po sebi morda niso kritične, vendar so skupaj lahko veliko resnejše, je opozoril Trustwave. Če je v kampanji z zlonamernim dokumentom sistema Office, ki je bila usmerjena na napako z višino privilegijev, "potem bi bilo vse, kar je potrebno, lažni e-poštni naslov nezaupljivemu uporabniku".
