У дома Securitywatch Гигантски патч на Internet Explorer във вторник кръпка

Гигантски патч на Internet Explorer във вторник кръпка

Видео: Как скачать и установить браузер Интернет Эксплорер бесплатно (Ноември 2024)

Видео: Как скачать и установить браузер Интернет Эксплорер бесплатно (Ноември 2024)
Anonim

Microsoft отстрани 37 уязвимости в Internet Explorer и в поддържаните версии на Windows като част от своята версия на August Patch Tuesday.

Имаше девет бюлетини за сигурност за август, от които два бяха оценени като критични, според препоръките на Microsoft. Кумулативната актуализация за всички поддържани версии на Internet Explorer фиксира 26 грешки, включително тази, която е публично оповестена в Black Hat, и трябва да се счита за най-висок приоритет. От 26-те години бъгът за ескалация на привилегиите вече се експлоатира в природата, заяви Microsoft. Разкритият недостатък на Black Hat също е недостатък на ескалация на привилегиите и може да позволи на нападателя да заобиколи пясъчната кутия на приложението.

"Това постоянно убийство на критични уязвимости на Internet Explorer е още едно напомняне за важността на прилагането на най-малко привилегия, за да се гарантира, че ако потребителят бъде експлоатиран с една от тези уязвимости, на атакуващия няма да му бъдат предоставени права на администратор", казва Марк Майфрет, CTO на BeyondTrust.

Важно е също да се помни, че много от тези проблеми вероятно присъстват в Internet Explorer на Windows XP и биха били кръпка, ако Microsoft все още поддържаше старата операционна система, заяви Рос Барет, старши мениджър на инженерното осигуряване в Rapid7.

Хората все още използват Windows Media Center?

Втората критична актуализация на месеца отстрани един недостатък в Windows Media Center, но засяга само изданията Professional / Ultimate / Enterprise за Windows 7 и 8 / 8.1 и "Media Center TV Pack" за Windows Vista. Успешният подвиг ще изисква от потребителя да отвори специално изработен файл на Microsoft Office, който извиква ресурси на Windows Media Center и да доведе до отдалечено изпълнение на код. Нападателят ще получи същите привилегии като потребителя.

"Това не е истинско дистанционно, а по-скоро поредната атака, при която потребителят трябва да бъде принуден да отваря злонамерен файл", каза Барет.

Проблеми в SQL Server

Патчът на SQL Server отстрани проблем, който, ако се използва, може да доведе до отказ на услуга във всички версии за поддръжка. Повишението на привилегирования бъг не се оценява като критично, тъй като изисква известна степен на автентификация, за да се използва, "но предвид възможността това да се случи при всякакъв брой обстоятелства, това без съмнение ще бъде важен въпрос, който администраторите трябва да разрешат", каза Барет,

Недостатъкът на скриптове на различни сайтове в патча на SQL Server може да бъде използван, "за да предприеме действия, които потребителят може да предприеме в даден сайт от името на целевия потребител", заяви Майферет. XSS филтърът в Internet Explorer версии 8 до 11 може да предотврати тази атака, така че потребителите трябва да активират филтъра както в Интернет, така и в интранет зони.

Време е да премахнете администраторските права

Останалите седем бюлетини отстраниха проблеми в различни други технологии на Microsoft, включително драйвери за режим на ядро,.NET Framework, OneNote, Windows Installer и SharePoint. Повечето от тях са издигане на привилегированите недостатъци.

Повишаването на уязвимостите на привилегиите може да бъде смекчено чрез намаляване на нивото на привилегията на влезлия потребител до най-ниското възможно ниво на привилегия, заяви Крис Гьотъл, продуктов мениджър в Shavlik. "Много ИТ организации се борят да намалят привилегиите за потребителя, като все още им позволяват да работят ефективно", но актуализациите от този месец показват защо администраторите трябва да блокират привилегиите, където е възможно, заяви Goettl.

Гигантски патч на Internet Explorer във вторник кръпка