מיקרוסופט מתקנת כלומר אפס יום בחודש נובמבר התיקון

מיקרוסופט הודיעה על שמונה עלונים על יציאת ה- Patch Tuesday בנובמבר, המתייחסים ל -19 פגיעויות ייחודיות בתוכנת מיקרוסופט, כולל Internet Explorer, Hyper-V, ממשק ה- Graphics Device (GDI), Office ואחרים. גם הפגיעות באפס יום ב- Internet Explorer שנחשפה על ידי FireEye בסוף השבוע תוקנה.

מבין היועצות, שלושת התיקונים הקריטיים ביותר הם תיקון ה- Interent Explorer (MS13-088), GDI (MS13-089), והליקוי של אפס הימים בבקרת ActiveX שהשפיע על מספר גרסאות של Internet Explorer (MS13-090), אבטחה. אמרו מומחים.

"עלון MS13-090 מטפל בבעיה הידועה בציבור ב- ActiveX, הנמצאת כעת תחת מתקפות ממוקדות. לקוחות עם עדכונים אוטומטיים מופעלים מוגנים מפני פגיעות זו ואינם צריכים לנקוט בפעולה כלשהי", אמר Dustin Childs, מנהל הקבוצה של Microsoft Trustworthy Computing.

מצב ימי אפס

צוות האבטחה של מיקרוסופט עבר כמה ימים עמוסים. חברת האבטחה FireEye הודיעה בשבוע שעבר למיקרוסופט על פגיעויות חמורות ב- Internet Explorer, אך נראה כי הצוות כבר ידע עליהם שכן תיקון הבקרה של ActiveX (MS13-090) מתקן את הפגם של InformationCardSignInHelper. התוקפים כבר מיקדו את הבאג בהתקפה בסגנון חור-מים, וניצול קוד הופיע הבוקר באתר שיתוף הטקסט Pastebin, מה שהפך את זה לסוגיה בעדיפות גבוהה.

מארק מאפרפר, סמנכ"ל הכספים של BeyondTrust, אמר: "חשוב מאוד להרחיק את התיקון הזה בהקדם האפשרי.

מיקרוסופט חשפה גם פגיעות של אפס יום באופן הטיפול בגרסאות מסוימות של Microsoft Windows ובגרסאות ישנות יותר של Microsoft Office בפורמט הגרפי של TIFF. אין שום תיקון זמין המתייחס לפגם זה במהדורה זו של תיקון יום שלישי, ולכן משתמשים שטרם התקנו את הדרך לעקיפת הבעיה FixIt צריכים לשקול לעשות זאת בהקדם האפשרי.

רוס בסרטן, מנהל בכיר בהנדסת אבטחה בחברת Rapid7, אמר כי "מערכות בסיכון וערך גבוה צריכות להיות מקלות כבר כעת."

טלאים בעלי עדיפות גבוהה

תיקון IE נוסף (MS13-088) תיקן שני באגים לחשיפת מידע ושמונה בעיות של שחיתות זיכרון בגירסאות שונות של דפדפן האינטרנט. שתי פגיעויות משפיעות על כל גרסה של IE, מגרסאות 6 עד 11, הגרסה האחרונה. אמנם טרם דווח על התקפות המנצלות את הפגיעויות הללו, אך העובדה שכל כך הרבה גרסאות של Windows ו- Internet Explorer מושפעות פירושו כי יש לפרוס תיקון זה בהקדם האפשרי.

"התוקפים עלולים לנצל את הפגמים הללו על ידי יצירת דף אינטרנט זדוני ולשכנע את המשתמשים להציג את הדף כדי לעורר התקפה על ידי הורדה", אמרה Mafrfret.

עלון העדיפות השלישי בעל העדיפות הגבוהה ביותר (MS13-089) מתקן באג GDI, שמשפיע על כל גירסה של Windows הנתמכת מ- XP ל- Windows 8.1. מכיוון שתוקפים צריכים ליצור קובץ זדוני ולשכנע את המשתמשים לפתוח אותו ב- WordPad כדי לנצל את הפגיעות הזו, זה לא תרחיש פשוט של גלישה וקבל, הזהירה Mafrfret. עם זאת, הוא "עדיין חזק, בשל העובדה שהוא משפיע על כל גרסה של Windows הנתמך", אמר.

התוקף יקבל אותה רמת הרשאות כמו היישום המריץ המשתמש בממשק GDI.

טלאים פשוטים

כמה מומחים כינו את תיקון יום שלישי של החודש "ישר" מכיוון שהתיקונים התמקדו ב- Windows, Internet Explorer וכמה רכיבי Office. "לא היו שום דבר אזוטרי או קשה לתיקון", כגון תוספים של SharePoint או מסגרת.NET, אמר בארט. שאר המדבקות התייחסו לפגיעויות בגירסאות שונות של Microsoft Office (MS13-091), פגיעות בגילוי מידע בגירסאות חדשות יותר של Office (MS13-094), העלאת פגם בהגבלות ב- Hyper-V (MS13-092) ב- Windows 8 ו- Server 2012 R2, באג לחשיפת מידע במערכת Windows (MS13-093) ובעיית מניעת שירות (MS13-095) במערכת ההפעלה.

"בסך הכל, למרות שמדובר רק ביום שלישי בתיקון בינוני, שימו לב במיוחד לשני הימים של ה- 0 ולעדכון Internet Explorer. דפדפנים ממשיכים להיות היעד המועדף על התוקפים ו- Internet Explorer, עם נתח השוק המוביל שלה, הוא אחד מהיעדים הגלויים והסביר להניח ", אמר וולפגנג קנדק, סמנכ"ל הכספים של קוואליס.