Video: SECURITY UPDATES today 99 Security vulnerabilities in Windows IE and Edge Adobe flash February 11th (Oktober 2024)
Det er en trifekta av programvareoppdateringer, med Microsoft, Adobe og Oracle som alle slipper sikkerhetsoppdateringer på samme dag.
Som forventet startet Microsoft 2014 med en ganske lett Patch Tuesday-utgivelse, og fikset seks ikke-så-kritiske sårbarheter på tvers av fire sikkerhetsbulletiner. Samme dag ga Adobe to kritiske oppdateringer som fikser tre kritiske utførelsesfeil for ekstern kode i Adobe Reader, Acrobat og Flash. Et planleggingsuttrykk betydde at Orakles kvartalsvise kritiske oppdatering av oppdateringer også falt samme tirsdag, noe som resulterte i et stort volum av oppdateringer for IT-administratorer å håndtere. Oracle fikset 144 sårbarheter på tvers av 40 produkter, inkludert Java, MySQL, VirtualBox og dets flaggskip Oracle-database.
"Mens Microsoft bare slipper fire oppdateringer, er det mye arbeid for IT-administratorer på grunn av utgivelser fra Adobe og Oracle, " sa Wolfgang Kandek, CTO for Qualys.
Java-lappene fra Oracle bør ha høyeste prioritet, etterfulgt av Adobe Reader og Flash-rådgivningene, og deretter Microsoft Word og XP-oppdateringene, sa eksperter.
Oracle tar på Java
Selv om vi tar hensyn til at Oracle lapper kvartalsvis og fikser flere produkter, er denne CPU fremdeles en rekordbryter i antall problemer som er løst. Av de 144 sikkerhetsfeilene, kan 82 betraktes som kritiske siden de kan utnyttes eksternt uten autentisering.
De fleste av sårbarhetene som ble adressert i Orakles gigantiske CPU var i Java v7. Oracle fikset 34 feil på ekstern utførelse, med flere som scoret 10 på skalaen Common Vulnerability Scoring System. CVSS indikerer alvorlighetsgraden av feilen og sannsynligheten for at angriperen får total kontroll over systemet.
Java var en av de mest angrepne programvarene i 2013, og eksperter advarte om at det vil fortsette å være et populært mål. Hvis du ikke bruker det, må du avinstallere det. Hvis du trenger å ha Java installert, må du i det minste deaktivere den i nettleseren, siden alle angrepene hittil har angrepet nettleseren. Hvis du får tilgang til webapplikasjoner som krever Java, må du oppbevare den i en annen nettleser enn den som er standard, og bytte når det er nødvendig. Hvis du ikke trenger det, ikke hold det. Hvis du beholder det, må du lappe umiddelbart.
Oracle fikset også fem sikkerhetsfeil i sin egen Oracle-database, hvorav den ene kan utnyttes eksternt, og 18 sårbarheter i MySQL. Tre av disse feilene kunne angripes eksternt og hadde den maksimale CVSS-poengsum på 10. Serverprogramvare Solaris hadde 11 feil, inkludert en som kunne angripes eksternt. Den alvorligste Solaris-buggen hadde en CVSS-score på 7, 2. CPU behandlet ni problemer i Oracle Virtualization Software, som inkluderer virtualiseringsprogramvare VirtualBox, hvorav fire kan utløses eksternt. Maksimal CVSS-poengsum var 6, 2.
Hvis du kjører noen av disse produktene, er det viktig å oppdatere dem umiddelbart. MySQL er mye brukt som back-end-system for en rekke populære CMS- og forumprogramvare, inkludert WordPress og phpBB.
Leser og Flash-fikser
Adobe løste sikkerhetsproblemer i Adobe Flash, Acrobat og Reader, som hvis de blir utnyttet, vil gi angripere full kontroll over målsystemet. Angrepsvektoren for feilen Acrobat and Reader var en ondsinnet PDF-fil. Flash-feilen kan utnyttes ved å besøke ondsinnede websider eller åpne dokumenter med innebygde Flash-objekter.
Hvis du har aktivert bakgrunnsoppdateringer for Adobe-produkter, bør oppdateringene være sømløse. Brukere med Google Chrome og Internet Explorer 10 og 11 trenger ikke å bekymre seg for den nye versjonen av Flash, da nettleserne vil oppdatere programvaren automatisk.
Lett Microsoft Update
Microsoft fikset et sårbarhet i filformatet i Microsoft Word (MS14-001) som kan utnyttes eksternt hvis brukeren åpner en booby-fanget Word-fil. Det påvirker alle Microsoft Word-versjoner på Windows, inkludert Office 2003, 2007, 2010, og 2013, samt Word-dokumentvisere. Mac OS X-brukere blir ikke berørt.
Nulldagers sårbarhet (CVE-2013-5065) som påvirker Windows XP og Server 2003-systemer som ble oppdaget i naturen i november i fjor, er endelig blitt oppdatert (MS14-002). Selv om privilegiet eskaleringsfeil i NDProxy ikke kan utføres eksternt, bør den være høyt prioritert fordi den kan kombineres med andre sårbarheter. Angrepene i november brukte et ondsinnet PDF-dokument for å først utløse en feil i Adobe Reader (som ble oppdatert mai 2013 i APSB13-15) for å få tilgang til Windows-kjernefeilen. Microsoft fikset en lignende opptrappingsfeil i Windows 7 og Server 2008 (MS14-003).
"Hvis du er bekymret for 002 og ikke 003, vil du sannsynligvis ha noen problemer i april når støtten slutter for Windows XP, " sa Rapid7.
På egenhånd er disse sikkerhetsproblemene kanskje ikke kritiske, men kombinert kan de være mye mer alvorlige, advarte Trustwave. Hvis en kampanje som bruker et ondsinnet Office-dokument, utførte kode som er målrettet mot rettighetshevingsfeilen, "vil en phishing-e-post til en intetanende bruker være alt som er nødvendig, " sa teamet.
