וִידֵאוֹ: Отличия и совместимость интерфейсов портов USB 2.0 и 3.0 (אוֹקְטוֹבֶּר 2024)
מיקרוסופט פרסמה שבעה עלוני אבטחה שמתקנים יותר מ- 20 נקודות תורפה עבור יום שלישי של מרץ. יישומים ורכיבים מושפעים כוללים Internet Explorer, Silverlight, Visio Viewer, Sharepoint, OneNote, Office for Mac ומנהל התקן ליבה בכל הגירסאות של Windows.
עלון הבולטים, ארבעה דורגו ביקורתיים ושלושה חשובים, כך על פי היועץ לאבטחה של מיקרוסופט שפורסם ביום שלישי. התיקון המצטבר של Internet Explorer, בעל העדיפות הגבוהה ביותר, חל על כל הגרסאות הנתמכות של Internet Explorer, מגירסאות 6 עד 10.
קורט באומגרטנר, חוקר אבטחה בכיר במעבדת קספרסקי, כתב על SecureList: "כמעט כל מי שמריץ את חלונות, והרבה חנויות של מיקרוסופט, צריך היום לתקן מערכות בשקדנות."
הייעוץ ל- IE אינו חל על משתמשים שהורידו והתקנו את IE 10 עבור Windows 7 ששוחררו רק לפני מספר שבועות, מכיוון שמיקרוסופט כבר כללה את התיקונים הללו. אף על פי שאף אחד מהם לא מכוון כרגע לטבע, IE הוא יעד תכוף ויש לתקן אותו מייד.
מארק Maiffret, סמנכ"ל הכספים של BeyondTrust, אמר ל- SecurityWatch: "מתוך תשעת כתובות ה- CVE שהופנו אליהן, שבעה מהן משפיעות על כל גרסה נתמכת של Internet Explorer. לכן, לתוקפים יש אפשרויות רבות בעת בחירת פגיעות לניצול בעתיד הקרוב.
אף אחת מהפגיעויות שנחשפו כחלק מתחרות Pwn2Own ב- CanSecWest בשבוע שעבר אינה כלולה בתיקון החודש, אך זהו בטוח שזו תגיע בקרוב.
ספקטרום של Stuxnet
פגיעות מנהל ההתקן של מצב הגרעין שתוקנו החודש עשויה להיראות דומה לבאגים שתוקנו בפברואר ובינואר, אך זהו פגם הרבה יותר מפחיד. הפגם במנהל התקן ה- USB עלול להיגרם רק על ידי מישהו שמכניס כונן USB למחשב. לא משנה אם המחשב נעול או אם המשתמש יוצא. המחשב פשוט צריך להיות פועל.
מיקרוסופט דירגה את עלון זה כ"חשוב "בלבד לעומת" קריטי "מכיוון שהתקיפה מחייבת את התוקף גישה פיזית למחשב. אין וקטור מרוחק, מה שאומר שהוא "ינצל רק בהתקפות מוגבלות וממוקדות מאוד", אמר מפפרת.
עם זאת, מומחים אחרים נבהלו. "תאר לעצמך מה יכול יכול להיות צוות צוות עובדים המונע כהלכה עם פגיעות זו בערב אחד בלבד", אמר אנדרו סטורמס, מנהל פעולות האבטחה ב- nCircle. קיוסקים ציבוריים ומרכזי שיתוף מיקום שאין להם ארונות נעולים הם בסיכון. "לא ניתן להגיד על פוטנציאל הפגיעה בפגיעות זו, " אמר סטורמס.
רק כדי לתת מושג עד כמה פגיעות זו חמורה, Stuxnet ניצלה את התכונה "הפעלה אוטומטית" המאפשרת ל- Windows לבצע באופן אוטומטי קוד בכונן USB ללא כניסת משתמש. אף על פי שההפעלה האוטומטית מאז הושבתה, הפגיעות האחרונה ב- USB נכנסת לפני שניתן היה לגשת אפילו להפעלה אוטומטית, על פי רוס בארט של Rapid7.
"ראית את שיטת ההתקפה הזו בסרטים במשך שנים, והיא מופיעה כעת במפעלים בכל העולם", אמר סטורמס.
Silverlight, Office, SharePoint, Oh My!
אחד הנושאים הקריטיים תיקן בעיות במיקרוסופט סילברלייט, שהייתה "מעניינת מכיוון שלא הייתי מודע לכך שמישהו בעולם בפועל פרסם את סילברייט", אמר בארט של Rapid7 ל- SecurityWatch . עבור אלה שיש להם סילברלייט, זה נושא רציני, "בשווי של פגיעות פלאש", אמר בארט. הבאג משפיע על כל הגרסאות של Silverlight, אך התיקון חל רק על Silverlight 5. על המשתמשים לעדכן את Silverlight לפני שהם מיישמים את התיקון.
התיקון עבור Visio 2010 Viewer דורג כקריטי מכיוון שהוא מאפשר ביצוע קוד מרחוק. וקטור התקפה אפשרי מרמה את המשתמש לקרוא מסמך Visio משובש שנשלח באמצעות דואר אלקטרוני. עם זאת, הפגיעות של Visio מחייבת להתקין את בקר ה- Visio Viewer ActiveX, כך אמר בארט. מנהלים יכולים להשבית את התכונה הזו עד להחלת התיקון באופן מלא כצעד להפחתה, אמר. הפגם של SharePoint מאפשר לתוקפים להזרים קוד זדוני לשאילתות שנשמרו באמצעות סקריפטים חוצה אתרים. שאילתה זו, כאשר תוצא להורג, עלולה להריץ את קוד ההתקפה עם הרשאות מנהל.
ל- OneNote ו- Outlook for Mac היו טלאים החודש והם מדורגים כחשובים. תוקף יכול להערים על המשתמש לפתוח קובץ או תיקיה OneNote זדוניים, מה שיגרום לבאג לעקוף מנגנוני הגנת סיסמה והצפנה כדי לקרוא את קובצי ה- OneNote והתיקיות של המשתמש.
