Video: Microsoft Teams AUGUST Update (2020) (Oktober 2024)
I ettermiddag slapp Microsoft åtte sikkerhetsbulletiner med 23 sårbarheter på tvers av en rekke tjenester, inkludert Windows, Internet Explorer og og Exchange. Av disse hadde tre den høyeste vurderingen av Critical, mens resten ble merket som Viktig.
For brukere som ønsker å prioritere lappen, anbefaler Microsoft å fokusere på MS13-059 og MS13-060. Når det er sagt, bør du lappe alt så snart du er i stand til det.
Font Attacks og IE Sikkerhetsproblemer
Av disse to er Bulletin 059 en kumulativ sikkerhetsoppdatering for Internet Explorer, som dekker 11 privat avslørte sårbarheter. "De alvorligste sårbarhetene kan tillate ekstern kjøring av kode hvis en bruker ser på en spesiallaget webside med Internet Explorer, " skriver Microsoft. "En angriper som med suksess utnyttet det alvorligste av disse sikkerhetsproblemene, kunne få de samme brukerrettighetene som den nåværende brukeren."
Marc Maiffret, CTO hos BeyondTrust forklarer: "Alene, sårbarheten tillater ikke kjøring av kode, men vil i stedet bli kombinert med et annet sårbarhet for å få kodeutførelse med brukerrettigheter."
IE-oppdateringen er også kjent for å inkludere en løsning på et sårbarhet som brukes av VUPEN Security i 2013-konkurransen. Se? All den konkurransen lønner seg.
Bulletin 060 angår en sårbarhet i Unicode script-prosessor, som i utgangspunktet lar angripere bruke skriftgjengivelse som angrepsvektor. Vi så lignende problemer i forrige måneds oppdatering om tirsdag.
Qualys CTO Wolfgang Kandek forklarte til SecurityWatch at "skrifttypene er tegnet på kjernenivå, så hvis du på en eller annen måte kan påvirke tegningen av skrifttypene og overfylle dem." Dette ville, sa Kandek, gi en angriper kontroll over offerets datamaskin.
Selv om det er begrenset til Bangali-skriften i Windows XP, er dette sikkerhetsproblemet spesielt forvirrende på grunn av de mange forskjellige angrepsmuligheter som gir. "Det er en veldig fristende angrepsvektor, " sa Amol Sarwate, direktør for Qualys Vulnerability Labs. Alt en angriper måtte gjøre er å lede et offer til et dokument, e-post eller ondsinnet webside for å utnytte sårbarheten.
Sikkerhetsproblem med kritisk utveksling
Den tredje kritiske bulletin har å gjøre med ekstern kjøring av kode på Microsoft Exchange-servere. Kandek fortalte SecurityWatch at en angriper kunne utnytte disse tre sårbarhetene med en spesialopprettet PDF-fil som når den ble sett - ikke lastet ned - ville angripe offerets e-postserver.
Tidligere ble disse sikkerhetsproblemene avslørt av Oracle som gjør den berørte komponenten. Heldigvis har det ennå ikke blitt sett noen henrettelse i naturen, men at lignende problemer har blitt løst gjentatte ganger tidligere. Maiffret skriver at to av sårbarhetene er "innenfor WebReady Document Viewing-funksjonen, som vi har sett lappet flere ganger det siste året (MS12-058, MS12-080 og MS13-012). Oracle fortsetter å gi Microsoft og Exchange en gjennomgående svart øye."
Kandek bemerker at "det har vært veldig enkelt å finne sårbarheter i denne programvarekomponenten", og at brukere bør vurdere å slå av denne funksjonen i tillegg til å lappe programvaren. Hvis du gjør det, tvinger brukerne til å laste ned e-postvedlegg for å se dem, noe som kan være en liten pris å betale for sikkerhet
Det er noen få andre godbiter i denne månedens oppdateringsliste, inkludert en IPv6-sårbarhet, og noe heving av privilegier, nektelse av tjenester og sårbarheter for informasjonsutlevering. Mens alle begynner å lappe, vil vi gjøre oss klar til neste måneds runde med bug-quashing.
