Video: The Future of Tasks in Microsoft 365 (Oktober 2024)
Microsoft kunngjorde 11 sikkerhetsbulletiner for desembers utgivelse av Patch Tuesday, og fikset 24 sårbarheter i Microsoft-programvare, inkludert Microsoft Windows, Internet Explorer, Office og Exchange. Selv om Microsoft ikke adresserte feilen på null dager i XP / Server 2003 som ble oppdaget i november, løste den TIFF-feilen som påvirket Windows, Office og Lync enterprise messaging system.
Fem av oppslagene er vurdert som "kritiske" og de resterende seks blir ansett som "viktige." Kritisk i dette tilfellet betyr at hvis sårbarheten utnyttes, vil angriperen kunne utføre kode eksternt. Viktig i denne sammenhengen betyr at sårbarheten kan føre til at brukerdata blir kompromittert eller at visse prosesser blir forstyrret. Microsoft anbefaler at kritiske oppdateringer påføres umiddelbart og viktige oppdateringer "så tidlig som mulig."
"Som den siste, sene tropiske uværet av sesongen, tar Microsoft en siste sveipe på sikkerhets- og IT-team både, " sa Ross Barrett, seniorsjef for sikkerhetsteknikk på Rapid7.
Null dagen som fikset
Grafikkomponentens nulldagers problem påvirket Windows Vista, Windows Server 2008, Office 2003/2007/2010 og Lync 2010/2013. Dette sikkerhetsproblemet kan utnyttes ved å forhåndsvise eller åpne et skadelig TIFF-bilde, og aktive angrep som er vellykket målrettet Office 2010 på XP-systemer. Denne feilen er løst i MS13-096, sier Dustin Childs, en gruppesjef for Microsoft Trustworthy Computing.
Brukere og administratorer bør behandle denne oppdateringen som topp prioritet, selv om de hadde installert hurtigreparasjonen i november, fortalte Paul Henry, en kriminalteknisk analytiker med Lumension, til SecurityWatch. "Fordi vi vet at det ikke alltid er så vanskelig å overtale brukere til å klikke, er en oppdatering for denne definitivt velkommen, " sa Henry.
Mange rettelser for Internet Explorer
Den neste prioritetslappen skal være MS13-097, den kumulative oppdateringen til Internet Explorer. Denne bulletinen sirkler syv feil. Selv om disse problemene for øyeblikket ikke blir målrettet, liker mange skribenter av skadelig programvare å reversere patcher for å lage nye utnyttelser. Dette betyr at brukere som ikke oppdaterer IE raskt, kan bli fanget av en av disse utnyttelsene.
En av feilene som er fikset i IE-lappen, berører alle støttede versjoner av Internet Explorer, advarte Marc Maiffret, administrerende direktør for BeyondTrust. "Rull ut denne lappen så snart som mulig, " sa han.
Bulletin som løser et problem i Microsoft scripting runtime time-objektbibliotek (MS13-099), bør også anses som høy prioritet fordi denne Windows-komponenten er distribuert med alle versjoner av operativsystemet. Angripere kan utnytte feilen via nettleseren ved å starte et drive-by-angrep og lure offerets datamaskin til å utføre ondsinnet kode, advarte Maiffret.
Problemstilling ved validering av underskrift
Microsoft løste problemet i WinVerifyTrust signaturvalideringsmekanisme (MS13-098) som finnes i alle støttede versjoner av Windows. Angripere kan dra nytte av denne feilen til å endre et signert program uten å ugyldiggjøre programmets signatur. Brukere skulle tro den kjørbare var et legitimt program fordi det hadde en legitim signatur når den i realiteten inneholdt ondsinnet kode, sa Maiffret.
Anvendelser som er målrettet mot dette sikkerhetsproblemet, er allerede observert i naturen, noe som gjør at distribusjon av denne oppdateringen også er en prioritet.
Exchange Bug i Outlook Web Access
Microsoft Exchange-bulletin (MS13-105) løser problemer med Outlook Web Access (OWA) og er relatert til Oracle's Outside-In-komponent. Denne oppdateringen kommer etter at Oracle lanserte en ny versjon av komponenten i sin Critical Patch Update tilbake i oktober. Angripere kan utnytte disse feilene ved å sende et ondsinnet dokument via e-post. Angripere kan ta kontroll over hele postserveren etter å lure brukeren til å se den, sa Wolfgang Kandek, CTO for Qualys. "Hvis du bruker OWA i oppsettet ditt, er MS13-105 en viktig oppdatering for organisasjonen din, " sa Kandek.
Oppdatering av Adobe Flash
Selskapet ga også ut fire andre rådgivere, hvorav den ene oppdaterte Adobe Flash Player i Internet Explorer. Adobe lappet tidligere i dag to sårbarheter i Flash Player 11.9.900.153 og tidligere versjoner av Windows og Mac OS X. Et av problemene er for øyeblikket rettet mot naturen, sa Adobe. Microsoft ga ut rådgivningen fordi den pakker Flash Player i den nyeste versjonen av Internet Explorer, på lik linje med hva Google gjør med Chrome-nettleseren.
En annen Microsoft-rådgivning tok for seg et viktig autentiseringsrelatert problem som påvirker ASP.NET-applikasjoner..NET-applikasjonsutviklere må ta hensyn til det rådgivende for å sikre at deres applikasjoner ikke blir påvirket.
"Det kommer til å bli en travel måned for alle involverte lag her, fornøyd med å lappe alle sammen, " sa Barrett.
