אורקל מצטרפת לאדובי, מיקרוסופט בתיקון הענק בינואר

זוהי טריפקטה של ​​תיקוני תוכנה, כאשר מיקרוסופט, אדובי ואורקל משחררים את כל עדכוני האבטחה באותו יום.

כצפוי, מיקרוסופט החלה את שנת 2014 עם שחרור קל למדי של יום שלישי, ותיקנה שש פגיעויות לא קריטיות בכל ארבעה עלוני אבטחה. באותו יום הוציאה אדובי שני עדכונים קריטיים המתקנים שלושה פגמים ביצועיים של קוד מרחוק קריטיים ב- Adobe Reader, Acrobat ו- Flash. פירוט התזמון פירושו כי עדכון התיקון הביקור הרבעוני של אורקל נפל באותו יום שלישי, והביא לנפח אדיר של תיקונים שמנהלי IT יתמודדו איתם. אורקל תיקן 144 נקודות תורפה על פני 40 מוצרים, כולל Java, MySQL, VirtualBox ומסד הנתונים הדגל שלה Oracle.

וולפגנג קנדק, סמנכ"ל הכספים של קוואליס, אמר: "בעוד שמיקרוסופט רק משחררת ארבעה עדכונים, יש הרבה עבודה למנהלי IT בגלל שחרורים של אדובי ואורקל.

המומחים טוענים כי תיקוני ה- Java של אורקל צריכים להיות בעלי עדיפות עליונה, ואחריהם יועצי Adobe Reader ו- Flash ואז עדכוני Microsoft Word ו- XP.

אורקל לוקח על ג'אווה

אפילו אם לוקחים בחשבון שאורקל מתוקנת רבעונית ומתקנת מוצרים נוספים, מעבד זה הוא עדיין פורץ שיאים במספר הבעיות שנקבעו. מבין 144 פגמי האבטחה, 82 יכולים להיחשב קריטיים מכיוון שהם עשויים להיות מנוצלים מרחוק ללא אימות.

מרבית הפגיעויות בהן טופלו במעבד ה- gargantuan של אורקל היו ב- Java v7. אורקל תיקן 34 פגמים בביצוע מרחוק, כאשר מספרם קיבלו ציון 10 בסולם מערכת הפגיעות הנפוצה. CVSS מציין את חומרת הפגם ואת הסבירות שהתוקף ישיג שליטה מוחלטת במערכת.

ג'אווה הייתה אחת התוכנות המותקפות ביותר בשנת 2013 והמומחים הזהירו שהיא תמשיך להיות יעד פופולרי. אם אינך משתמש בו, הסר אותו. אם אתה צריך להתקין את Java, לפחות השבת אותה בדפדפן האינטרנט, מכיוון שכל ההתקפות עד כה תקפו את הדפדפן. אם אתה ניגש ליישומי אינטרנט הדורשים ג'אווה, שמור אותו בדפדפן אינטרנט שונה מזה שברירת המחדל שלך והחל במידת הצורך. אם אינך זקוק לזה, אל תמשיך. אם אתה שומר עליו, התקן מייד.

אורקל גם תיקנה חמישה פגמי אבטחה במסד הנתונים של אורקל משלה, שאחד מהם ניתן לנצל מרחוק, ו -18 פגיעויות ב- MySQL. שלושה מאותם חרקים ניתנים לתקיפה מרחוק והיה להם ציון CVSS מקסימלי של 10. תוכנת השרת לסולאריס היו 11 פגמים, כולל אחד שניתן לתקוף אותו מרחוק. באג Solaris החמור ביותר קיבל ציון CVSS של 7.2. המעבד התייחס לתשעה בעיות בתוכנת Oracle Virtualization, הכוללת תוכנת וירטואליזציה VirtualBox, מהן ארבע יכולות להיות מופעלות מרחוק. ציון ה- CVSS המרבי היה 6.2.

אם אתה מפעיל מוצרים אלה, חשוב לעדכן אותם מייד. MySQL נמצא בשימוש נרחב כמערכת הגיבוי למספר תוכנות CMS ופורום פופולריות, כולל WordPress ו- phpBB.

תיקוני קורא והבזק

Adobe תוקנה בעיות אבטחה ב- Adobe Flash, Acrobat ו- Reader, שאם היו מנוצלים, היו נותנות לתוקפים שליטה מלאה במערכת היעד. וקטור ההתקפה לבאג Acrobat ו- Reader היה קובץ PDF זדוני. ניתן לנצל את פגם ה- Flash על ידי ביקור בדפי אינטרנט זדוניים או פתיחת מסמכים עם חפצי Flash משובצים.

אם מופעלים עדכוני רקע למוצרי Adobe, העדכונים צריכים להיות חלקים. משתמשים עם Google Chrome ו- Internet Explorer 10 ו- 11 לא יצטרכו לדאוג לגירסה החדשה של Flash שכן הדפדפנים יעדכנו את התוכנה באופן אוטומטי.

עדכון קל של מיקרוסופט

מיקרוסופט תיקן פגיעות בפורמט קובץ ב- Microsoft Word (MS14-001) הניתנת לניצול מרחוק אם המשתמש פותח קובץ Word ממלכוד. זה משפיע על כל גרסאות Microsoft Word במערכת Windows, כולל Office 2003, 2007, 2010, ו- 2013, כמו גם על צופי מסמכי Word. משתמשי Mac OS X אינם מושפעים.

הפגיעות באפס יום (CVE-2013-5065) המשפיעת על מערכות Windows XP ו- Server 2003 שהתגלתה בטבע בנובמבר האחרון, סוף סוף טופלה (MS14-002). אף על פי שלא ניתן לבצע מרחוק את ליקוי ההסלמה של הרשאות ב- NDProxy, הוא צריך להיות בעדיפות גבוהה מכיוון שניתן לשלב אותו עם פגיעויות אחרות. ההתקפות בנובמבר השתמשו במסמך PDF זדוני כדי לעורר לראשונה ליקוי ב- Adobe Reader (שתוקן במאי 2013 ב- APSB13-15) כדי לגשת לבאג הגרעין של Windows. מיקרוסופט תוקנה פגם בהסלמת הרשאות דומה ב- Windows 7 ו- Server 2008 (MS14-003).

Rapid7 אמר כי "אם אתה חושש מ- 002 ולא מ- 003, סביר להניח שיש לך בעיות באפריל כאשר התמיכה תסתיים עבור Windows XP.

בפני עצמם פגיעויות אלה אינן קריטיות, אך בשילוב הן יכולות להיות חמורות בהרבה, הזהיר Trustwave. אם מסע פרסום המשתמש במסמך Office זדוני, מבצע קוד שממוקד לבאג העלאת ההרשאות, "דוא"ל התחזות למשתמש חסר תמימות יהיה כל מה שצריך", אמר הצוות.