וִידֵאוֹ: Quando tudo passar… (Homilia Diária.1641: Quinta-feira da 34.ª Semana do Tempo Comum) (אוֹקְטוֹבֶּר 2024)
מיקרוסופט פרסמה שבעה עלונים לתיקון 34 באגים ייחודיים ב-.NET Framework, גרעין Windows וב- Internet Explorer כחלק מה- Patch של יום שלישי. יש גם מדיניות חדשה של 180 יום לשוק של מיקרוסופט לגבי אפליקציות עם באגי אבטחה.
מבין שבעה עלונים, שישה דורגים ביקורתיים, ואחד דורג כחשוב, כך מסרה מיקרוסופט במייעוץ של Patch Tuesday שפורסם אתמול אחר הצהריים. מיקרוסופט המליצה להתקין תחילה את עלון ה- IE (MS13-055), ואחריו באחד מהעלונים עבור מנהלי ההתקנים של מצב הליבה של Windows (MS13-053). עלוני TrueType ו- Windows הושארו בקבוצת העדיפות הבאה, ואחריה התיקון "החשוב" היחיד.
רוס בארט, מנהל בכיר בהנדסת אבטחה ב- Rapid7, אמר "כל מה שבעולם הליבה של מיקרוסופט מושפע מאחת או יותר מאלה; כל מערכת הפעלה נתמכת, כל גרסה של MS Office, Lync, Silverlight, Visual Studio ו-.NET.
תצוגה מקדימה של Windows 8.1 ו- IE 11 אינם מושפעים מאף אחד מהעלונים הללו.
גופנים מכוערים, מכוערים
שלושה עלונים נפרדים (MS13-052, MS13-053 ו- MS13-054) תיקנו את הפגיעות בגופן TrueType ב-.NET. באג הגופנים של TrueType דומה לזה שנוצל על ידי Stuxnet ו- Duqu, למעט העובדה שהוא קיים ב-.NET ולא בגרעין Windows, אמר מארק מאפרפר, CTO של BeyondTrust.
MS13-054 תיקן את הפגיעות של TrueType ב- GDI +, רכיב בגרעין Windows. הפגם משפיע על מוצרים רבים, כולל כל גירסה נתמכת של Windows, Office 2003/2007/2010, Visual Studio.NET 2003 ו- Lync 2010/2013. Mafrfret ניבא כי פגם זה ינוצל על ידי התוקפים בעתיד הקרוב מכיוון שכל כך הרבה מוצרים משתמשים ב- GDI +.
"MS13-053 הוא הגרוע בקבוצה, " אמר טומי צ'ין, מהנדס תמיכה טכנית ב- CORE Security, והוסיף "זו ביצוע קוד מרחוק והסלמת הרשאות הכל באחד." התוקפים יכולים להנדס קורבנות פוטנציאליים כדי לראות קובץ בעל מבנה עם תוכן TrueType זדוני. אם הצליח, התוקף זוכה לגישה למנהל למערכת המושפעת, אמר צ'ין.
הפגיעות באפס יום בגרעין Windows שהתגלה על ידי חוקר האבטחה טאוויס אורמנדי קבועה גם בעלון זה. בהתחשב בניצולים לפגיעות זו כלולים כבר במסגרות ציבוריות כמו Metasploit, זו צריכה להיות בעדיפות גבוהה
אינטרנט אקספלורר
העדכון המסיבי של Internet Explorer התייחס ל -17 פגמים, מתוכם 16 פגיעות בזיכרון ואחד באג סקריפטים חוצה אתרים. ניתן להשתמש בפגמים בשחיתות זיכרון בהתקפות על ידי כונן בהם התוקפים מקימים דפי אינטרנט זדוניים ומשתמשים בטקטיקות הנדסה חברתית כדי למשוך משתמשים לדפים הזדוניים. היו הרבה באגים בשחיתות זיכרון ב- Internet Explorer במהלך ימי שלישי התיקון האחרונים האחרונים, ציין מפפרט והוסיפה, "חובה שהתיקון הזה ייפתח בהקדם האפשרי."
שינוי מדיניות השוק של מיקרוסופט
מיקרוסופט הודיעה גם על שינוי מדיניות שקשור לשוק של מיקרוסופט. על פי המדיניות החדשה, יישום כלשהו בארבע חנויות האפליקציות המופעלות על ידי מיקרוסופט (חנות Windows, חנות Windows Phone, Office Store ו- Azure Marketplace) יינתן 180 יום לפתרון בעיות אבטחה. ציר הזמן חל על פגיעויות המדורגות קריטיות או חשובות ואינן מותקפות.
אם היא לא טופחת במסגרת זמן זו, האפליקציה תוסר מהחנות, אמרה מיקרוסופט. המדיניות חלה על יישומים מצד מפתחי צד ג 'וגם של מיקרוסופט.
"מיקרוסופט עושה צעד גדול בדרך למזעור אפליקציות פגיעות בחנויות האפליקציות השונות שלהן", אמר קרייג יאנג, חוקר אבטחה בחברת Tripwire.
עם זאת, ראוי לציין ש -180 יום זה זמן רב, מה שהופך את זה מאוד לא סביר שמיקרוסופט אי פעם תסיים למשוך אפליקציה. לא סביר שמפתח ישקיע יותר משישה חודשים בתיקון פגיעות קריטית, ואם העדכון אורך זמן רב מהצפוי, מיקרוסופט מוכנה לעשות חריגים.
בהתחשב בכך, המדיניות החדשה נשמעת כדרך של מיקרוסופט להישמע קשוחה בלי להשפיע לרעה על המפתחים.
עוד קדימה
זה יהיה חודש עמוס עבור מנהלי מערכת. אדובי פרסמה עדכונים משלה, ואורקל תשחרר בשבוע הבא את העדכון הרבעוני של כל התוכנות שלהם.
