עדכון של מיקרוסופט לתיקון עדכון שלישי, כלומר באגים של חלונות המותקפים כעת

מיקרוסופט פרסמה שמונה עלונים המתייחסים ל -13 נקודות תורפה ב- Internet Explorer, Windows ו- Office כחלק מעדכון ה- May של יום שלישי. שלושה מהם כבר מנוצלים בטבע, אמרה מיקרוסופט.

למרות שמיקרוסופט לא פרסמה טלאים עבור משתמשי XP, מומחים מאמינים שהבעיות משפיעות גם על מערכת ההפעלה הישנה. מיקרוסופט סיימה את התמיכה במערכת Windows XP בחודש שעבר, מה שאומר שמשתמשים כבר לא מקבלים תיקוני אבטחה עבור מערכת ההפעלה הישנה. חברות אשר הפגינו על חוזי תמיכה מורחבים עדיין יקבלו עדכונים.

תיקון IE, תחת התקפה

עדכון Internet Explorer (MS14-029) הוא תיקון העדיפות הגבוה ביותר בחודש זה. זה שונה מתיקוני IE אחרים מכיוון שלא מדובר בתיקון מצטבר, מה שאומר שמשתמשים חייבים להתקין את עדכון ה- IE המצטבר של החודש שעבר (MS14-018) לפני התקנת תיקון זה. עלון החודש הזה כולל את התיקון מחוץ ללהקה מקודם החודש. שתיקן פגיעות של יום אפס (CVE-2014-1776). בעלון תוקן גם שתי פגיעויות בשחיתות זיכרון (CVE-2014-1815) העלולות לגרום לביצוע קוד מרחוק. מיקרוסופט אמרה כי היו "התקפות מוגבלות" שניסו לנצל את אחד הבאגים של ה- IE.

טיילר רגולי, מנהל מחקרי אבטחה ב- Tripwire, אמר: "חשוב לוודא שאתה מחיל את MS14-018 ו- MS14-029 אם לא החלת עדכון מצטבר של IE בחודש שעבר.

התקפות בטבע

מיקרוסופט תוקנה פגם של הסלמה בהעדפות המדיניות הקבוצתית (MS14-025) ואמרה שכבר היו התקפות בטבע שמכוונות לבאג זה. פגם באופן הפצת Active Directory של סיסמאות המוגדרות באמצעות העדפות מדיניות קבוצתית עשוי לאפשר לתוקפים לאחזר פוטנציאל אישורי חשבון דומיין מוסתרים ולהשתמש בהם להפעלת תהליכים מיוחדים.

לעלון העוסק במעקף ASLR (MS14-024) יש למעשה דירוג "חשוב" ולא "קריטי", אך יש לראות בו עדיפות גבוהה, ציין רוס בארט, מנהל בכיר בהנדסת אבטחה ב- Rapid7. הנושא הוא לא באמת ניצול בפני עצמו, אלא הוא חולשה שניתן להשתמש בה בשילוב עם מעללים אחרים, אמר בארט. מעקף זה התגלה בשימוש בשילוב עם התקפות אחרות. התוקפים מנצלים גם פגיעות של העלאת הרשאות ב- Windows כדי לקבל גישה לחשבון המערכת המקומית (MS14-027) בהתקפות ממוקדות.

וולפגנג קנדק, סמנכ"ל הכספים של קוואליס, אמר: "שני התיקונים מומלצים מאוד ויעשו דרך ארוכה להפוך את ההתקנה שלך לחזקה יותר.

משתמשי משרד הפנים בהתראה

תיקון ה- Office (MS14-023) היה "מעניין מאוד" לטיילר רגולי של Tripwire, שציין כי הוא משתמש ב- Microsoft OneDrive ו- Office365 Home, והליקוי של ביצוע קוד מרחוק ישפיע על העברת האסימונים ב- OneDrive. "אני אצטרך להיות ערניים בקפדנות אחר השימוש של משפחתי בשירותים אלה עד שאוכל לפרוס את העדכונים בכל המחשבים שלנו, " אמרה רגולי.

חוקרי BeyondTrust המליצו לתעדף תיקון זה מכיוון שהפגיעות שנטען מראש ב- DLL "קלה מאוד לשימוש עם כלים זמינים, אמינים וקלים לשימוש בפומבי."

משתמשי XP בקור

מיקרוסופט סיימה את התמיכה ב- Office 2003 ו- SharePoint 2003 יחד עם Windows XP בחודש שעבר. מרבית הפגיעויות בהן התייחסו במהדורת May Patch Yuesday "ככל הנראה" משפיעות על Windows XP ו- Office 2003, אמר קנדק, שהניח כי כל פגיעות המשפיעת על Windows Server 2003 עשויה להשפיע על XP. פירוש הדבר שהליקויים בהם טופלו במדבקות ל- Internet Explorer, ALSR, פרופיל קבוצתי ו- SharePoint קיימים ב- XP או Office 2003.

לפחות אחת מהפגיעויות הלא-קריטיות שתוקנו ב- Microsoft Office קיימת ב- Office 2003. עדכוני החודש תוקנו שלוש פגיעויות קריטיות בגירסאות SharePoint Server 2007, 2010 ו- 2013, Office Web Apps, SharePoint Designer ו- SharePoint Server 2013 רכיבי לקוח SDK. למרות שמיקרוסופט תיקנה את Internet Explorer ל- XP בעדכון החוצה מהלהקה, היא לא פרסמה את XP בשחרור התיקון החודש. הפגם ב- IE שנמצא תחת התקפה כמעט ודאי משפיע על Windows XP.

"היו לנו התחלות שקריות בעבר, אבל הפעם מיקרוסופט באמת הולכת לספר לעולם על פגיעויות אבטחה ב- Windows ולא לתקן אותן ב- XP", כתב מומחה האבטחה גרהם קלואי בבלוג Lumension. התוקפים תוקנים מהנדסים הפוכים באופן קבוע כדי למצוא את הפגיעויות, והם ככל הנראה יחפשו לבדוק אם אותם בעיות קיימות ב- XP. עם שחרור הטלאים, השעון מתקתק.

"אם אתה עדיין מפעיל את Windows XP, פירוש הדבר להתקדם עם התוכנית שלך לעבור ממערכת ההפעלה למשהו טוב יותר בהזדמנות המוקדמת והבטוחה ביותר, " אמר קלולי. "כל גרסת Windows שאתה מפעיל, תעשי את הדבר הנכון."