וִידֵאוֹ: Fortnite 23 ª stream (אוֹקְטוֹבֶּר 2024)
היום אחר הצהריים פרסמה מיקרוסופט שמונה עלוני אבטחה המתייחסים ל -23 פגיעויות במספר שירותים כולל Windows, Internet Explorer ו- Exchange. מבין אלה, שלושה מהם קיבלו את הדירוג הגבוה ביותר של Critical, בעוד השאר סומנו כחשובים.
למשתמשים המעוניינים לתעדף את התיקון שלהם, מיקרוסופט ממליצה להתמקד ב- MS13-059 ו- MS13-060. עם זאת, עליכם לתקן הכל ברגע שתוכלו לעשות זאת.
התקפות גופן ופגיעויות ב- IE
מבין השניים, עלון 059 הוא עדכון אבטחה מצטבר עבור Internet Explorer, המכסה 11 פגיעויות שנחשפו באופן פרטי. "הפגיעויות הקשות ביותר עלולות לאפשר ביצוע קוד מרחוק אם משתמש רואה דף אינטרנט בעל מבנה מיוחד באמצעות Internet Explorer", כותבת מיקרוסופט. "תוקף שניצל בהצלחה את החמורות מבין פגיעויות אלה יכול לזכות באותן זכויות משתמש כמו המשתמש הנוכחי."
מארק Mafrfret, CTO ב- BeyondTrust מסביר: "לבד, הפגיעות אינה מאפשרת ביצוע קוד, אלא היא תשולב עם פגיעות אחרת כדי להשיג ביצוע קוד עם זכויות משתמש."
עדכון ה- IE ראוי לציון גם לכלול תיקון לפגיעות המשמשת את VUPEN Security בתחרות pwn2own 2013. רואים? כל התחרות הזו משתלמת.
עלון 060 מתייחס לפגיעות במעבד הסקריפט של Unicode, בעצם מאפשר לתוקפים להשתמש בעיבוד גופנים כקטור התקפה. ראינו בעיות דומות בעדכון התיקון שלישי בחודש שעבר.
וולפגנג קנדק, ה- CTO של קוואליס, הסביר ל- SecurityWatch כי "הגופנים נמשכים ברמה של הגלעין, כך שאם אתה יכול איכשהו להשפיע על ציור הגופנים ולהציף אותם." זה היה אומר, קנדק, נותן לתוקף שליטה על מחשב הקורבן.
אף על פי שהוא מוגבל לגופן Bangali במערכת Windows XP, פגיעות זו מעוררת התפעלות במיוחד בגלל אמצעי התקיפה הרבים והשונים שאם מספקת. אמול סרוואט, מנהל מעבדות הפגיעות של קוואליס, אמר: "זהו וקטור התקפה מפתה מאוד." כל מה שתוקף יצטרך לעשות הוא להפנות קורבן למסמך, לדוא"ל או לדף אינטרנט זדוני כדי לנצל את הפגיעות.
פגיעות קריטית בבורסה
העלון הקריטי השלישי קשור לביצוע קוד מרחוק בשרתי Microsoft Exchange. קנדק אמר ל- SecurityWatch כי תוקף יכול לנצל את שלוש הפגיעויות הללו באמצעות קובץ PDF שנוצר במיוחד שכאשר הוא נצפה - לא יורד - יתקוף את שרת הדואר של הקורבן.
בעבר, נחשפו נקודות התורפה על ידי Oracle מה שהופך את המרכיב המושפע. למרבה המזל, טרם אותר שום הוצאה להורג בטבע, אך נושאים דומים טופלו שוב ושוב בעבר. Mafrfret כותבת כי שתיים מהפגיעויות הן "בתוך תכונת WebReady Document Viewing, אותה ראינו תיקונים פעמים רבות במהלך השנה האחרונה (MS12-058, MS12-080 ו- MS13-012). אורקל ממשיכה לתת ל- Microsoft ו- Exchange עין שחורה עקבית."
קנדק מציין, "היה קל מאוד למצוא פגיעויות ברכיב תוכנה זה" וכי המשתמשים צריכים לשקול כיבוי של תכונה זו בנוסף לתיקון התוכנה. פעולה זו תאלץ את המשתמשים להוריד קבצים מצורפים לדואר כדי להציג אותם, וזה עשוי להיות מחיר נמוך לשלם עבור האבטחה
יש עוד כמה דברים טובים ברשימת התיקונים של החודש, כולל פגיעות IPv6, והעלאת רמת הרשאות, מניעת שירות וגילוי מידע. בזמן שכולם יגיעו לטלאים, אנו נהיה מוכנים לסיבוב של ביטול באגים בחודש הבא.
