מיקרוסופט מתקנת את יום האפס ביום התיקון של חודש דצמבר

מיקרוסופט הודיעה על 11 עלוני אבטחה לקראת יציאת התיקון של יום שלישי בדצמבר, ותיקנה 24 פגיעויות בתוכנת מיקרוסופט, כולל Microsoft Windows, Internet Explorer, Office ו- Exchange. בעוד שמיקרוסופט לא התייחסה לפגם באפס הימים ב- XP / Server 2003 שהתגלה בנובמבר, היא אכן תיקנה את באג TIFF שהשפיע על מערכת ההודעות הארגוניות של Windows, Office ו- Lync.

חמישה מהעלונים מדורגים כ"קריטיים "וששת הנותרים נחשבים" חשובים ". קריטי במקרה זה פירושו שאם הוא מנוצל, הפגיעות תאפשר לתוקף לבצע קוד מרחוק. משמעות ההקשר בהקשר זה פירושה שהפגיעות עלולה לגרום לנתונים של המשתמשים ולהיפגע בתהליכים מסוימים. מיקרוסופט ממליצה להחיל טלאים קריטיים באופן מיידי ולתיקונים חשובים "בהזדמנות המוקדמת ביותר."

רוס בארט, מנהל בכיר בהנדסת אבטחה ב- Rapid7, אמר כי "כמו הסופה הטרופית האחרונה והמאוחרת של העונה, מיקרוסופט מוציאה החלקה אחרונה אחת לצוותי אבטחה ו- IT כאחד."

יום האפס שהתקנה

סוגיית אפס הימים של רכיב הגרפיקה השפיעה על Windows Vista, Windows Server 2008, Office 2003/2007/2010 ו- Lync 2010/2013. ניתן לנצל פגיעות זו על ידי תצוגה מקדימה או פתיחת תמונת TIFF בעלת מבנה זדוני, והתקפות פעולות הממוקדות בהצלחה ב- Office 2010 במערכות XP. באג זה תוקן ב- MS13-096, אמר דסטין צ'ילדס, מנהל קבוצת מחשוב אמינות של מיקרוסופט.

על משתמשים ומנהלי מערכת להתייחס לתיקון זה בראש סדר העדיפויות, גם אם הם התקנו את התיקון החם בנובמבר, אמר פול הנרי, אנליסט פלילי בתחום Lumension, ל- SecurityWatch. "מכיוון שאנו יודעים לשכנע משתמשים ללחוץ לא תמיד קשה לעשות זאת, תיקון עבור זה הוא בהחלט מבורך, " אמר הנרי.

הרבה תיקונים עבור Internet Explorer

תיקון העדיפות הבא צריך להיות MS13-097, העדכון המצטבר ל- Internet Explorer. עלון זה מועך שבעה באגים. אמנם לא מכוונים לבעיות אלה כרגע, אך כותבי תוכנות זדוניות רבות אוהבים לבצע הנדסה לאחור של התיקונים על מנת ליצור ניצולים חדשים. פירוש הדבר שמשתמשים שלא עדכנו את IE באופן מיידי יכולים להיתפס על ידי אחד מהניצולים הללו.

אחד הבאגים שתוקנו בתיקון IE משפיע על כל גרסה נתמכת של Internet Explorer, הזהיר מארק Maiffret, סמנכ"ל הכספים של BeyondTrust. "גלגל את הטלאי הזה בהקדם האפשרי, " אמר.

עלון התיקון לבעיה בספריית האובייקטים לזמן הריצה של מיקרוסופט (MS13-099) צריך להיחשב בעדיפות גבוהה מכיוון שמרכיב Windows זה מופץ בכל גרסה של מערכת ההפעלה. תוקפים יכולים לנצל את הפגם באמצעות דפדפן הרשת על ידי הפעלת מתקפה על ידי הכונן ולהערים על מחשב הקורבן לבצע קוד זדוני, הזהירה מפפרת.

סוגיית אימות החתימה

מיקרוסופט תוקנה את הבעיה במנגנון אימות החתימה WinVerifyTrust (MS13-098) שנמצא בכל גרסה נתמכת של Windows. התוקפים יכולים לנצל פגם זה כדי לשנות תוכנית חתומה מבלי לפסול את חתימת התוכנית. משתמשים היו חושבים שההפעלה היא תוכנית לגיטימית מכיוון שהייתה לה חתימה לגיטימית כאשר במציאות היא מכילה קוד זדוני, אמרה מפפרת.

ניצולים שמיקוד לפגיעות זו נצפו כבר בטבע, מה שהופך את פריסת התיקון הזה גם לעדיפות.

החלפת באג בגישה לאינטרנט של Outlook

עלון Microsoft Exchange (MS13-105) מטפל בבעיות עם Outlook Web Access (OWA) וקשור לרכיב ה- Outside In של Oracle. תיקון זה מגיע לאחר שאורקל פרסמה גרסה חדשה של הרכיב בעדכון התיקון הקריטי שלה כבר באוקטובר. התוקפים יכולים לנצל את הבאגים הללו על ידי שליחת מסמך זדוני באמצעות דואר אלקטרוני. התוקפים יכולים להשתלט על שרת הדואר כולו לאחר שהם מרמים את המשתמש לצפייה בו, אמר וולפגנג קנדק, סמנכ"ל הכספים של קוואליס. "אם אתה משתמש ב- OWA בהגדרתך, MS13-105 הוא תיקון חשוב לארגון שלך, " אמר קנדק.

תיקון Adobe Flash

החברה פרסמה גם ארבע יועצות נוספות, אחת מהן עדכנה את Adobe Flash Player ב- Internet Explorer. אדובי הודיעה מוקדם יותר היום שתי פגיעויות ב- Flash Player 11.9.900.153 ובגירסאות קודמות של Windows ו- Mac OS X. אחת הבעיות ממוקדת כעת בטבע, כך אמרה אדובי. מיקרוסופט פרסמה את הייעוץ שלה מכיוון שהיא מקבצת את נגן Flash בגירסה האחרונה של Internet Explorer, בדומה למה שגוגל עושה בדפדפן Chrome.

ייעוץ אחר של מיקרוסופט התייחס לבעיה חשובה הקשורה לאימות המשפיעת על יישומי ASP.NET. מפתחי יישומי NET צריכים לשים לב לייעוץ כדי להבטיח שהיישומים שלהם לא יושפעו.

"זה יהיה חודש עמוס לכל הקבוצות המעורבות כאן, שמח לטפל בכולם", אמר בארט.