וִידֵאוֹ: o s H i T / o M ie r D ª (נוֹבֶמבֶּר 2024)
מנהלי חלונות עם קדחת האביב יכולים לשמוח; מיקרוסופט שיחררה רק שני עלונים קריטיים כחלק מהפרסום של Patch Tuesday.
מתוך תשעת העלונים ששוחררו החודש, רק שניים מדורגים כקריטיים, כלומר התוקף יכול להשיג שליטה על המכונה הממוקדת מרחוק. כל הנותרים מדורגים כחשובים, מה שמאפשר שהתוקף בדרך כלל זקוק לאיזה גישה למערכת לפני שהוא משתלט עליה. בסך הכל, מיקרוסופט התמודדה עם החודש עם 13 פגיעויות אבטחה.
החדשות הטובות הן שרוב ההשפעה היא על בסיס הקוד הקודם ולא על הגרסאות האחרונות של מוצרי מיקרוסופט, אמר פול הנרי, אנליסט אבטחה בחברת Lumension. "אם המערכת שלך מריצה את הגרסאות העדכניות והגדולות ביותר של תוכנה - כמו שתמיד צריך לעשות, מכיוון שהחדשות ביותר הן בדרך כלל הכי מאובטחות - אז אתה צריך להיות מושפע ככל האפשר החודש, " אמר.
כלומר העדיפות הגבוהה ביותר
עלון העדיפות הגבוה ביותר בחודש זה הוא העדכון ל- Internet Explorer (MS13-028), שמתקן סוגיה של שימוש בחינם לאחר כל הגירסאות הנתמכות של דפדפן האינטרנט מ- IE 6 ל- IE 10, שאם הוא מנוצל, יכול לגרום למרחקים ביצוע קוד. בעלון התייחס גם לנושא עומק ההגנה הנשען על משתמשים המותקנים ב- Java 6.0 ומעלה.
"בהתחשב במספר הבעיות של ג'אווה לאחרונה, אני מקווה שאף אחד עדיין לא מנהל גרסאות ישנות של ג'אווה", הזהיר הנרי.
מדד העדיפות הוא רק 2, מה שמצביע על כך שתיקון הניצול אינו פשוט ולכן מיקרוסופט לא מצפה לראות ניצול עובד תוך 30 הימים הקרובים, כך עולה מהיועץ להודעות בנושא התיקון של מיקרוסופט.
מארק Maiffret, CTO אמר מארק Maiffret, "התוקפים יבדקו כיצד לנצל את שתי הפגיעויות הללו, מכיוון שתוקפים יכולים לכוון גרסאות מרובות של Internet Explorer באמצעות פגיעויות זוגיות בלבד, ולכן חשוב לפרוס את התיקון הזה בהקדם האפשרי. של BeyondTrust.
מיקרוסופט עדיין לא תיקנה את הפגיעות של יום אפס שנחשפה במהלך תחרות Pwn2Own בכנס CanSecWest בוונקובר בחודש שעבר.
שולחן עבודה מרוחק בסיכון, שוב
העדיפות השנייה צריכה להיות התיקון עבור פקד ה- ActiveX של תוכנת שולחן העבודה המרוחק (MS13-029), שמשפיע על כל גרסאות Windows ו"הוא לא סוג הבעיה שאנחנו רואים בדרך כלל ב- Windows RDP, "אמר הנרי.
התוקפים יכולים לנצל פגיעות זו על ידי הונאת קורבנות לבקר באתרים המארחים פקדי ActiveX זדוניים. ברגע שהאורח נוחת באתר, הקוד ינצל את הפגיעות בכדי להשיג את היכולת לבצע קוד שרירותי כאילו היה זה המשתמש, ציין מפראט.
וולפגנג קנדק, סמנכ"ל הכספים של קוואליס, אמר כי "אמנם ניתן לכלול פקדי ActiveX ברוב התוכניות של חלונות, אך וקטור ההתקפה הסביר ביותר הוא באמצעות דפדפן אינטרנט.
"חשוב" אך לא "קריטי"
מומחי אבטחה סימנו גם כמה עלונים "חשובים" אחרים לתשומת לב מיוחדת החודש. באג הכחשת השירות ב- Active Directory (MS13-032) אמור להיות "גבוה ברשימה עבור התקנות ארגוניות", אמר קנדק. התוקפים עלולים לשלוח שאילתת LDAP זדונית שתפעיל את הפגיעות, שתמצה את זיכרון המערכת ותגרום לשלילת שירות.
עליית העלאת ההרשאות המשפיעה על Microsoft InfoPath, Groove Server, SharePoint Foundation and Server ו- "Office Web Apps 2010" (MS13-035) צריכה להיות גבוהה ברשימה מכיוון שהיא מתקנת בעיה ברכיב חיטוי HTML שנמצא באלה חבילות, אמר רוס בארט, מנהל בכיר בהנדסת אבטחה ב- Rapid7. אם מנוצלים בהצלחה, התוקפים יוכלו לבצע סקריפטים בדרך כלל שאינם מורשים, לקרוא נתונים מוגבלים ולבצע פעולות לא מורשות עם הרשאות הקורבן.
למרות שהפגיעות לא נחשפה בפומבי, נראה כי התקפות ממוקדות כבר מנצלות אותה בטבע.
מיקרוסופט לא הדאגה הגדולה ביותר
מזה זמן רב, מיקרוסופט לא הייתה המקור העיקרי לכאבי ראש בתחום ה- IT. אדובי תיקן שמונה בעיות בנגן הפלאש שלה היום ומנהלי IT צריכים לתמוך בעצמם לקראת עדכון ה- Java החדש, המתוכנן כעת ל -16 באפריל. אורקל צפויה לטפל במספר פגיעויות קריטיות במהדורה זו.