Video: Zero-Day: Internet Explorer 11 Sandbox Bypass (Oktober 2024)
Microsoft kunngjorde åtte oppslag for novembers utgivelse av Patch Tuesday, og adresserte 19 unike sårbarheter i Microsoft-programvare, inkludert Internet Explorer, Hyper-V, Graphics Device Interface (GDI), Office og andre. Nulldagers sårbarhet i Internet Explorer som ble avslørt av FireEye i løpet av helgen, er også løst.
Av rådgivningene er de tre mest kritiske oppdateringene Interent Explorer-oppdateringen (MS13-088), GDI (MS13-089), og nulldagers feil i ActiveX-kontrollen som påvirket flere versjoner av Internet Explorer (MS13-090), sikkerhet sa eksperter.
"Bulletin MS13-090 adresserer det offentlig kjente problemet i ActiveX Control, for tiden under målrettede angrep. Kunder med automatiske oppdateringer aktivert, er beskyttet mot dette sikkerhetsproblemet og trenger ikke å gjøre noe, " sier Dustin Childs, gruppesjef for Microsoft Trustworthy Computing.
Status for null dager
Microsofts sikkerhetsteam har hatt det travelt noen dager. Forrige uke varslet sikkerhetsfirmaet FireEye Microsoft om alvorlige sårbarheter i Internet Explorer, men det ser ut til at teamet allerede visste om dem da ActiveX-kontrolloppdateringen (MS13-090) fikserer InformationCardSignInHelper-feilen. Angripere har allerede målrettet feilen i et angrep med vannhullsstil, og utnyttingskoden dukket opp på tekstdelingsnettstedet Pastebin i morges, noe som gjør dette til et høyt prioritert spørsmål.
"Det er ekstremt viktig å rulle ut denne lappen så snart som mulig, " sa Marc Maiffret, administrerende direktør i BeyondTrust.
Microsoft avslørte også en sårbarhet på null dager i hvordan noen versjoner av Microsoft Windows og eldre versjoner av Microsoft Office håndterte TIFF-grafikkformatet. Det er ingen tilgjengelige oppdateringer for å løse denne feilen i denne utgivelsen av Patch Tuesday, så brukere som ennå ikke har installert FixIt midlertidig løsning, bør vurdere å gjøre det så snart som mulig.
"Risikosystemer og høytverdige systemer bør allerede ha forebygging, " sa Ross Barrett, senior manager for sikkerhetsteknikk i Rapid7.
Høyt prioriterte lapper
En annen IE-oppdatering (MS13-088) fikset to informasjonsutleveringsfeil og åtte problemer med minnekorrupsjon i forskjellige versjoner av nettleseren. To av sårbarhetene påvirker hver versjon av IE, fra versjon 6 til 11, den siste versjonen. Selv om angrep som utnytter disse sårbarhetene ennå ikke er rapportert, betyr det at så mange versjoner av Windows og Internet Explorer er berørt, at denne oppdateringen bør rulles ut så snart som mulig.
Angripere kan utnytte disse feilene ved å opprette en ondsinnet webside og overbevise brukerne om å se siden for å utløse et angrep som er kjørt for nedlasting, sa Maiffret.
Den tredje høyeste prioriterte bulletin (MS13-089) fikser en GDI-bug, som påvirker alle støttede versjoner av Windows fra XP til Windows 8.1. Siden angripere trenger å lage en ondsinnet fil og overbevise brukere om å åpne den i WordPad for å utnytte dette sikkerhetsproblemet, er dette ikke et enkelt bla-og-få-eid scenario, advarte Maiffret. Imidlertid er det "fortsatt potent, på grunn av det faktum at det påvirker alle versjoner av støttet Windows, " sa han.
Angriperen ville motta samme nivå av privilegium som det kjørende programmet som brukte GDI-grensesnittet.
Rette lapper
Flere eksperter kalte denne månedens oppdatering tirsdag for "rettferdig" fordi rettelsene fokuserte på Windows, Internet Explorer og noen Office-komponenter. Det var "ingenting esoterisk eller vanskelig å lappe, " som SharePoint-plugins eller.NET-rammeverket, sa Barrett. De resterende oppdateringene adresserte sårbarheter i forskjellige versjoner av Microsoft Office (MS13-091), et sikkerhetsproblem i informasjonsutlevering i nyere versjoner av Office (MS13-094), en forhøyning av privilegiumfeil i Hyper-V (MS13-092) i Windows 8 og Server 2012 R2, en informasjonsavskjermingsfeil i Windows (MS13-093), og et tjenestenekt (MS13-095) i operativsystemet.
"Totalt sett, mens det bare er en mellomstor lapp tirsdag, må du være spesielt oppmerksom på de to 0-dagene og Internet Explorer-oppdateringen. Nettlesere fortsetter å være favorittmålet for angripere, og Internet Explorer, med sin ledende markedsandel, er en av de mest synlige og sannsynlige målene, "sa Wolfgang Kandek, CTO for Qualys.
