וִידֵאוֹ: Child of the 90s | Internet Explorer (נוֹבֶמבֶּר 2024)
מיקרוסופט תיקנה 33 נקודות תורפה על פני עשרה עלונים ביישומי Internet Explorer, יישומי Office, Windows,.NET framework ו- Lync במסגרת המהדורה שפורסמה ביום שלישי.
מבין העשירים, רק שני עלונים מדורגים כ"קריטיים ", בדירוג החומרה הגבוה ביותר, אמרה מיקרוסופט במייעצת ההודעות שלה בנושא Patch Tuesday. התיקונים הנותרים מדורגים כ"חשובים ", כלומר בדרך כלל התוקפים לא יוכלו לנצל את הפגם ללא השתתפות המשתמש.
פול אנרי, אבטחה ואנליסט משפטי בלומאנס, אמר כי "בעוד 10 טלאים המכסים 33 פגיעויות עשויים להיראות כמספר גבוה, זה לא כל חדשות רעות עבור ה- IT.
תיקונים עבור Internet Explorer
שני התיקונים הקריטיים מיועדים ל- Internet Explorer. השאלה הגדולה ביחס לתיקון יום שלישי של החודש הייתה האם מיקרוסופט תתקן את יום האפס האחרון שדווח לאחרונה ב- Internet Explorer 8. מיקרוסופט פרסמה את הדרך לעקיפת הבעיה בשבוע שעבר והמעקב אחר תיקון מלא (MS13-038) היום.
"זה הקלה לראות שמיקרוסופט התייחסה לזה כל כך מהר מכיוון שהיא מנוצלת באופן פעיל", אמר הנרי.
תיקון ה- IE האחר (MS13-037) הוא עדכון מצטבר עבור גירסאות IE 6, 7, 8, 9 ו- 10, וסוגר 11 נקודות תורפה שונות, כולל הפגיעויות שדווחו במהלך התחרות Pwn2Own בחודש מרץ.
רוס מארט, מנהל בכיר בהנדסת אבטחה ב- Rapid7, אמר ל- SecurityWatch: "ברמה אחת, מדובר במיקרוסופט במיטב האבטחה שלהן". החברה הגיבה מייד להוצאת אזהרה מייעצת ציבורית בנושא, דחפה את הדרך לעקיפת הבעיה ואז סגרה את הפגם במסגרת עדכון מתוכנן, והכל תוך 11 יום.
מצד שני, העובדה שמיקרוסופט משחררת טלאים קריטיים של Internet Explorer כמעט מדי חודש מדגישה מה לא בסדר עם האופן שבו מיקרוסופט מטפלת בתיקונים ותוכנות ישנות יותר, אמרה בארט. לעומת זאת, דפדפן Chrome של גוגל מתעדכן באופן אוטומטי ככל שמתקנים תיקונים, ואין "גרסה ישנה" של הדפדפן לדאוג לגביו. מיקרוסופט מקשרת משאבים לשמירה על הגרסאות הישנות יותר וחושפת משתמשים לסיכון, אמרה בארט.
עלונים אחרים שיש לשים לב אליהם
העלון הנוסף הבולט מתייחס למצב של מניעת שירות המשפיע על לקוח השרת והשרת ב- Windows (MS13-039). הבעיה חלה רק על גרסאות חדשות יותר של Windows, ובמיוחד של Windows Server 2012. התקפות המנצלות את הפגיעות עלולות "להוות הפרעה רבה" מכיוון ששירותים מרוחקים רבים ושילובי Active Directory מסתמכים על http.sys, אמר בארט.
למאר ביילי, מנהלת מחקר ופיתוח אבטחה ב- Tripwire, אמרה "כל צוותי אבטחת ה- IT צריכים לקפוץ על זה במהירות מכיוון שסביר להניח שמנצל יפותח מהר מאוד. ניצול מוצלח עלול לגרום ל- DoS בשרתים המושפעים ליצור הפסקות זמניות".
מיקרוסופט התייחסה לפגיעויות במוצרי Office שונים, כגון באגים לביצוע קוד מרחוק ב- Microsoft Lync - לשעבר Communicator - (MS13-041) ו -11 בעיות בשחיתות זיכרון ב- Publisher (MS13-042), ובאגים ב- Microsoft Word ו- Excel (MS13- 042). ניתן לנצל את הפגיעות של Lync רק אם שני משתמשים בפגישה של Lync חולקים תוכן זדוני. "אני מקווה שאף אחד מהמשתמשים שלך לא מנהל שיחות Lync עם מישהו שמנסה לתקוף את המערכות שלך. במקרה כזה אתה צריך להיות בסדר, " אמר הנרי.
פגיעות הזיוף ומעקף האימות ב-.NET (MS13-040) אינם משפיעים על תצורת ברירת המחדל. עלון אחר התייחס לפגיעויות של גילוי מידע ב- Windows Essentials 2012 (MS13-045). מיקרוסופט גם תיקנה שלוש העלאות מקומיות של פגמים בהגבלות במנהלי התקנים של מצב ליבת Windows (MS13-046). החמורה מבין הבאגים משפיעה על Windows XP ומאפשרת לתוקפים להריץ תהליכים בהקשר מוגבה.
מארק Maiffret, סמנכ"ל הכספים של BeyondTrust אמר: "הקפד לתקן את Internet Explorer (MS13-037 ו- MS13-038) בהקדם האפשרי, יחד עם MS13-039 על שרתי אינטרנט הפונים לאינטרנט, ואחריו שאר התיקונים.