וִידֵאוֹ: Message of Christ Jesus for the 47.ª Marathon of the Divine Mercy (אוֹקְטוֹבֶּר 2024)
אתמול פרסמה מיקרוסופט 13 עלוני אבטחה המכסים כ- 47 באגים ביום שלישי התיקוני מעט גדול מהרגיל. מבין אלה, ארבעה נרשמו כקריטיים והשאר סומנו כחשובים. התכונן לעדכון!
מעניין לציין כי עדכון ארבעה עשר הנוגע לסוגיית הכחשת השירות ב-.NET הוכרז בשבוע שעבר, אך הוא נאסר להמשך הבדיקה. אולי מיקרוסופט מעוניינת להימנע מחלק מהבלבול מהתיקון של החודש שעבר, בו היה צורך למשוך עדכון אחד לאחר השחרור.
Internet Explorer והנדסה חברתית
מיקרוסופט התייחסה לעשר נקודות תורפה עם עדכון מצטבר ל- Internet Explorer, שהשפיע על גרסאות שש עד 10. המשמעות היא שכמעט כולם יגעו בשינויים האלה, וזה לטובה מכיוון שחלק מהבאגים הללו אפשרו ביצוע קוד מרחוק.
"הפגיעויות הקשות ביותר עלולות לאפשר ביצוע קוד מרחוק אם משתמש מציג דף אינטרנט בעל מבנה מיוחד באמצעות Internet Explorer", כתבה מיקרוסופט. "תוקף שניצל בהצלחה את החמורות מבין פגיעויות אלה יכול לזכות באותן זכויות משתמש כמו המשתמש הנוכחי." זה טיעון נהדר נוסף לכך שאף פעם לא משתמשים בחשבון עם גיליונות פרטיים של מנהל מערכת לעבודה יומיומית.
Microsoft Word ו- Excel יראו עדכונים המתייחסים לפגיעות בפורמט קובץ, בהם ניתן להשתמש בקובץ Office בעל מבנה מיוחד להפעלת קוד במחשב הקורבן. "מיקרוסופט מדווחת את הפגיעויות הללו רק כ'חשובות 'מכיוון שהן דורשות את היעד לשיתוף פעולה", כותב וולפגנג קנדק, CTO של CTO. "עם זאת, התוקפים הוכיחו פעם אחר פעם שיש להם את הטכניקות ההנדסיות החברתיות הנדרשות כדי להתגבר על מכשול זה בקלות."
למעשה, הדיווחים שראינו מציבים הנדסה חברתית בראש האיומים הגדולים כנגד משתמשים, כמו קבצים נגועים כמו אלה שטופלו בעדכוני Office אלה. קבצים אלה מסוכנים להפליא מכיוון שהם נראים לגיטימיים, וראינו כיצד הם שימשו להשגה רבה בהתקפות איום מתקדמות מתמשכות.
Outlook ואחרים
גרסאות 2007 ו- 2010 הפופולריות של Microsoft Outlook טופלו גם הן החודש, ותיקנו פגיעות מגעילה במיוחד. "תוקף יכול לנצל את אלגוריתם ניתוח ניתוח האישורים על ידי חתימת דואר אלקטרוני וקינון מעל 256 אישורים בחתימה", הסביר קנדק. "ההתקפה גורמת להצפת מאגר, גם אם רק מדמיינת בחלונית התצוגה המקדימה של Outlook."
למרות שמיקרוסופט טוענת כי מתקפת התחזית קשה לניתוק, היא מסוכנת מכיוון שהקורבן אינו צריך לעשות דבר כדי שהמתקפה תצליח.
בנוסף לכל אלה, מיקרוסופט פרסמה טלאים קריטיים עבור Sharepoint 2003, 2007, 2010 ו- 2013, כמו גם של Microsoft Visio. המדבקות תויו כריכה חשובה של OLE, קבצי ערכת נושא של Windows, Microsoft Access, Office IME סינית, מנהלי התקנים במצב Kernal, מנהל בקרת השירות של Windows, FrontPage ו- Active Directory.
תמונה באמצעות משתמש פליקר דן דיקינסון
