Video: All the Microsoft Office 365 apps explained (Oktober 2024)
Microsoft ga ut syv bulletiner som fikser 34 unike bugs i.NET Framework, Windows-kjernen og Internet Explorer som en del av juli's Patch Tuesday. Det er også en ny 180-dagers policy for Microsoft Marketplace angående apper med sikkerhetsfeil.
Av de syv oppslagene er seks vurdert som kritiske, og en ble vurdert til å være viktig, sa Microsoft i sin rådgivning om Patch Tuesday som ble utgitt i går ettermiddag. Microsoft anbefalte å installere IE-bulletin (MS13-055) først, etterfulgt av en av oppslagene for drivere av Windows-kjernemodus (MS13-053). De resterende TrueType- og Windows-bulletinene var i neste prioriteringsgruppe, etterfulgt av den eneste "viktige" oppdateringen.
"Alt i kjernen av Microsoft-verdenen påvirkes av ett eller flere av disse; hvert støttede operativsystem, hver versjon av MS Office, Lync, Silverlight, Visual Studio og.NET, " sa Ross Barrett, senior manager for sikkerhetsteknikk i Rapid7.
Windows 8.1 Preview og IE 11 påvirkes ikke av noen av disse oppslagene.
Stygge, stygge skrifter
Tre separate oppslag (MS13-052, MS13-053 og MS13-054) fikset TrueType-font-sårbarheten i.NET. Denne TrueType-fontfeilen er lik den som Stuxnet og Duqu utnyttet, bortsett fra at den er til stede i.NET og ikke i Windows-kjernen, sier Marc Maiffret, CTO for BeyondTrust.
MS13-054 løste TrueType-sårbarheten i GDI +, en komponent i Windows-kjernen. Feilen påvirker flere produkter, inkludert alle støttede versjoner av Windows, Office 2003/2007/2010, Visual Studio.NET 2003 og Lync 2010/2013. Maiffret spådde at denne feilen vil bli utnyttet av angripere i nær fremtid fordi så mange produkter bruker GDI +.
"MS13-053 er den verste gruppen, " sa Tommy Chin, teknisk supportingeniør ved CORE Security, og la til "Det er ekstern kjøring av kode og privilegering av rettigheter alt i ett." Angripere kan sosialingeniører potensielle ofre for å se en utformet fil med skadelig TrueType-innhold. Hvis den lykkes, får angriperen administratoradgang til det berørte systemet, sa Chin.
Nulldagers sårbarhet i Windows-kjernen som er oppdaget av sikkerhetsforsker Tavis Ormandy, er også løst i denne bulletinen. Tatt i betraktning utnyttelse av dette sikkerhetsproblemet allerede er inkludert i offentlige rammer som Metasploit, bør dette være høyt prioritert
Internet Explorer
Internet Explorers massive oppdatering tok for seg 17 feil, hvorav 16 er sårbarheter i hukommelseskorrupsjon og en en scripting-feil på tvers av nettsteder. Feil i hukommelseskorrupsjon kan brukes i drive-by-angrep der angripere setter opp ondsinnede websider og bruker sosialteknisk taktikk for å trekke brukere til ondsinnede sider. Det har vært mange minnekorrupsjonsfeil i Internet Explorer de siste patch-tirsdager, bemerket Maiffret, og la til, "Det er viktig at denne oppdateringen blir rullet ut så snart som mulig."
Endring av policy for Microsoft Marketplace
Microsoft kunngjorde også en policyendring relatert til Microsoft Marketplace. I henhold til den nye policyen vil alle apper i noen av de fire appbutikkene som drives av Microsoft (Windows Store, Windows Phone Store, Office Store og Azure Marketplace) få 180 dager på å løse sikkerhetsproblemer. Tidslinjen gjelder sårbarheter som er vurdert som kritiske eller viktige og ikke er under angrep.
Hvis den ikke blir lappet innen den tidsrammen, vil appen bli fjernet fra butikken, sa Microsoft. Retningslinjene gjelder applikasjoner fra både tredjepartsutviklere og Microsoft.
"Microsoft tar et stort skritt mot å minimere utsatte applikasjoner i deres forskjellige app-butikker, " sier Craig Young, en sikkerhetsforsker med Tripwire.
Imidlertid er det verdt å merke seg at 180 dager er lang tid, noe som gjør det høyst usannsynlig at Microsoft noen gang vil avvikle å trekke en app. En utvikler vil sannsynligvis ikke bruke mer enn seks måneder på å fikse en kritisk sårbarhet, og hvis oppdateringen tar lenger tid enn forventet, er Microsoft villig til å gjøre unntak.
Tatt i betraktning det, høres den nye policyen ut som en måte for Microsoft å høres tøff ut uten å påvirke utviklerne negativt.
Mer foran
Dette kommer til å bli en travel måned for administratorer. Adobe ga ut sine egne oppdateringer, og Oracle vil gi ut sin kvartalsvise oppdatering av all programvaren deres unntatt Java neste uke.
