Video: Patch Tuesday updates for Windows 7 8.1 and 10 with bug fixes also November 14th 2017 (Oktober 2024)
Microsoft ga ut åtte oppslag som adresserer 13 sårbarheter i Internet Explorer, Windows og Office som en del av May's Patch Tuesday-oppdatering. Tre av dem utnyttes allerede i naturen, sa Microsoft.
Selv om Microsoft ikke ga ut noen oppdateringer for XP-brukere, mener eksperter problemene også påvirker det gamle operativsystemet. Microsoft avsluttet støtte for Windows XP forrige måned, noe som betyr at brukere ikke lenger mottar sikkerhetsoppdateringer for det gamle operativsystemet. Foretak som har gitt beskjed om utvidede støttekontrakter vil fortsatt motta oppdateringer.
Fixing IE, Under Attack
Internet Explorer-oppdateringen (MS14-029) er den høyeste prioritetslappen denne måneden. Det er forskjellig fra andre IE-oppdateringer fordi dette ikke er en kumulativ oppdatering, noe som betyr at brukere må installere forrige måneds kumulative IE-oppdatering (MS14-018) før de installerer denne oppdateringen. Denne månedens bulletin inneholder ut-av-band-fiksen fra tidligere denne måneden som løste et null-dagers sårbarhet (CVE-2014-1776). Bulletinen fikset også to sårbarheter med hukommelseskorrupsjon (CVE-2014-1815) som kan føre til ekstern kjøring av kode. Microsoft sa at det var "begrensede angrep" som forsøkte å utnytte en av IE-bugs.
"Det er viktig å sørge for at du bruker MS14-018 og MS14-029 hvis du ikke allerede har brukt forrige måneds kumulative IE-oppdatering, " sier Tyler Reguly, sjef for sikkerhetsforskning i Tripwire.
Angrep i naturen
Microsoft fikset en opptrappingsrettighetsfeil i Group Policy Preferences (MS14-025) og sa at det allerede var angrep i naturen mot denne feilen. En feil i hvordan Active Directory distribuerer passord som er konfigurert ved hjelp av gruppepolicyinnstillinger, kan tillate at angripere potensielt kan hente skjemmede domenekontoopplysninger og bruke dem til å kjøre privilegerte prosesser.
Bulletinen som adresserer en ASLR-bypass (MS14-024) har faktisk en "viktig" vurdering, snarere enn "kritisk", men bør anses som høy prioritet, bemerket Ross Barrett, senior manager for sikkerhetsteknikk i Rapid7. Problemstillingen er egentlig ikke en utnyttelse i seg selv, men er en svakhet som kan brukes i forbindelse med andre utnyttelser, sa Barrett. Denne omgangen er blitt påvist i bruk sammen med andre angrep. Angripere utnytter også et sikkerhetsproblem i Windows for å få tilgang til Local System-kontoen (MS14-027) i målrettede angrep.
"Begge fikser er sterkt anbefalt og vil gjøre en lang vei for å gjøre oppsettet ditt mer robust, " sa Wolfgang Kandek, CTO for Qualys.
Hjemmekontorbrukere på varsel
Office-lappen (MS14-023) var "veldig interessant" for Tripwires Tyler Reguly, som bemerket at han bruker Microsoft OneDrive og Office365 Home hjemme, og feilen med ekstern kjøring av kode ville påvirke hvordan tokens sendes i OneDrive. "Jeg må være overvåken når det gjelder å overvåke familiens bruk av disse tjenestene til jeg kan få oppdateringene distribuert på alle datamaskinene våre, " sa Reguly.
BeyondTrust-forskere anbefalte å prioritere denne oppdateringen fordi sikkerhetsproblemet med forhåndslasting av DLL "er veldig lett å utnytte med offentlig tilgjengelige, pålitelige og brukervennlige verktøy."
XP-brukere i kulden
Microsoft avsluttet støtten for Office 2003 og SharePoint 2003 sammen med Windows XP forrige måned. De fleste av sårbarhetene som er adressert i utgivelsen May Patch Yuesday "sannsynligvis" påvirker Windows XP og Office 2003, sa Kandek, som antok at et hvilket som helst sårbarhet som påvirker Windows Server 2003, sannsynligvis vil påvirke XP. Dette betyr at manglene i adressene for Internet Explorer, ALSR, Group Profile og SharePoint er til stede i XP eller Office 2003.
Minst ett av de ikke-kritiske sårbarhetene som er fikset i Microsoft Office, er sannsynligvis til stede i Office 2003. Denne månedens oppdateringer løste tre kritiske sårbarheter i SharePoint Server versjoner 2007, 2010 og 2013, Office Web Apps, SharePoint Designer og SharePoint Server 2013 klientkomponenter SDK. Selv om Microsoft fikset Internet Explorer for XP i out-of-band-oppdateringen, ga den ikke ut XP i denne måneds patchoppdatering. IE-feilen som for øyeblikket er under angrep, påvirker nesten Windows XP.
"Vi har hatt falske starter før, men denne gangen skal Microsoft virkelig fortelle verden om sikkerhetsproblemer i Windows og ikke lappe dem i XP, " skrev sikkerhetsekspert Graham Cluely på Lumension-bloggen. Angriperne regelmessig omstrukturerer lapper for å finne sårbarhetene, og de vil sannsynligvis se etter om de samme problemene eksisterer på XP. Med utgivelsen av lappene tikker klokken.
"Hvis du fremdeles kjører Windows XP, betyr det å gå videre med planen din om å bytte fra operativsystemet til noe bedre på den tidligste, sikreste muligheten, " sa Cluley. "Uansett hvilken versjon av Windows du kjører, gjør riktig ting."
