Video: Webinar: Automating Patch Tuesday - August 2020 (Oktober 2024)
Microsoft ga ut fem oppdateringer - to som er klassifisert som "kritiske" og tre som "viktig" - å fikse 23 sårbarheter i Internet Explorer, Microsoft Windows og Silverlight som en del av Mars 'oppdatering om tirsdag. IE-oppdateringen stengte også nulldagers sårbarhet som angriperne har utnyttet siden februar.
Angripere utnyttet den kritiske sårbarheten på null dager (CVE-2014-0322) i Internet Explorer 10 forrige måned som en del av Operasjon SnowMan, som kompromitterte nettstedet som tilhører de amerikanske veteranene i utenlandske kriger, samt i et annet angrep som etterligger en franskmann luftfart produsent. IE-lappen (MS14-022) lukker denne feilen, så vel som 17 andre, inkludert en som har blitt brukt i begrensede målrettede angrep mot Internet Explorer 8 (CVE-2014-0324), Dustin Childs, en gruppesjef hos Microsoft Trustworthy Computing, skrev på Microsoft Security Response Center-bloggen.
"Det er klart at IE-oppdateringen skal være din høyeste prioritet, " sa Childs.
Problemer med Silverlight
Den andre kritiske oppdateringen løser en kritisk feil på kjøringen av ekstern kode i DirectShow og påvirker flere versjoner av Windows. Sårbarheten er i hvordan JPEG-bilder blir analysert av DirectShow, noe som gjør det sannsynlig at angrep som utnytter denne feilen vil sette inn ondsinnede bilder på kompromitterte websider eller være innebygd i dokumenter, sier Marc Maiffret, administrerende direktør for BeyondTrust. Det er verdt å merke seg at brukere som kjører med ikke-administratorrettigheter, blir mindre påvirket av disse angrepene fordi angriperen vil være begrenset i skaden han eller hun kan forårsake.
Sikkerhetsfunksjonen bypass i Silverlight er vurdert som "viktig", men bør også være ganske høyt prioritert. Angripere kan utnytte feilen ved å lede brukere til et ondsinnet nettsted som inneholder spesielt laget Silverlight-innhold, sa Microsoft. Det som er farlig er at angripere kan omgå ASLR og DEP, to utnytte avbøtende teknologier innebygd i Windows ved å utnytte dette sikkerhetsproblemet, advarte Maiffret. En angriper vil trenge en sekundær utnyttelse for å oppnå ekstern kjøring av kode etter å ha omgått ASLR og DEP for å få kontroll over systemet, for eksempel ASLR-bypass-feilen som ble oppdatert i desember (MS13-106). Mens det foreløpig ikke er noen angrep som utnytter denne feilen i naturen, bør brukerne blokkere Silverlight fra å kjøre i Internet Explorer, Firefox og Chrome til lappen er påført, sa Maiffret. Det er også viktig å sørge for at eldre lapper også har blitt distribuert.
Microsoft burde gi opp Silverlight da "den ser mange oppdateringer gitt den begrensede adopsjonen, " foreslo Tyler Reguly. Siden Microsoft vil fortsette å støtte det til minst 2021, bør organisasjoner begynne å migrere bort fra Silverlight slik at "vi alle kan avinstallere Silverlight og effektivt øke sikkerheten til sluttbrukersystemer, " la han til.
Gjenværende Microsoft-lapper
En annen oppdatering som bør brukes tidligere enn senere, er den som adresserer et par heving av privilegiumsårbarheter Windows Kernel Mode Driver (MS14-014), da det påvirker alle støttede versjoner av Windows (for denne måneden, som fortsatt inkluderer Windows XP). For å utnytte denne feilen må angriperen "ha gyldige påloggingsinformasjon og kunne logge på lokalt, " advarte Microsoft.
Den endelige oppdateringen løser problemer i Security Account Manager Remote (SAMR) -protokollen som lar angripere brute-force Active Directory-kontoer og ikke bli låst ute av kontoen. Oppdateringen fikser API-anropet slik at Windows låser kontoer riktig når de blir angrepet. Regully sier "Retningslinjer for innlåsning av passord er spesielt på plass for å forhindre forsøk på brute-force og la en ondsinnet angriper omgå politikken.
Andre programvareoppdateringer
Dette er uken for operativsystemoppdateringer. Apple ga ut iOS 7.1 tidligere denne uken, og Adobe oppdaterte Adobe Flash Player (APSB14-08) for å lukke to sårbarheter i dag. Problemene utnyttes foreløpig ikke i naturen, sa Adobe.
Apple løste noen viktige problemer i iOS 7, inkludert et problem med rapportering av krasj som kan gjøre det mulig for en lokal bruker å endre tillatelser på vilkårlige filer på de berørte enhetene, et kjerneproblem som kan gi mulighet for en uventet systemavslutning eller kjøring av vilkårlig kode i kjernen., og en feil som tillot en uautorisert bruker å omgå kravene til kodesignering på berørte enheter. Apple fikset også en feil som kunne gjøre det mulig for en angriper å lokke en bruker til å laste ned en ondsinnet app via Enterprise App Download og en annen som tillot en skadelig backup-fil å endre iOS-filsystemet.
