У дома Securitywatch Microsoft коригира критични, т.е. недостатъци в кръпката за юни, вторник

Microsoft коригира критични, т.е. недостатъци в кръпката за юни, вторник

Видео: We CALLED Microsoft to Check if $12 Windows 10 PRO Keys are LEGIT... (Ноември 2024)

Видео: We CALLED Microsoft to Check if $12 Windows 10 PRO Keys are LEGIT... (Ноември 2024)
Anonim

Microsoft отстрани 23 уязвимости в пет бюлетини за сигурност като част от изданието си за юни Patch Tuesday. От отстранените бъгове 19 бяха в Internet Explorer.

Уязвимостите за корупция в паметта засегнаха всички поддържани версии на уеб браузъри на Internet Explorer, работещи на всички поддържани операционни системи, според препоръките на Microsoft Patch Tuesday. Информационният бюлетин на IE (MS13-047) е единственият, оценен като критичен този месец,

докато останалите четири бюлетини бяха оценени като важни.

Четири от проблемите засягат всяка поддържана версия на IE, което предполага, че най-вероятно е атакуващите да следват тези уязвимости, преди да се опитат да използват другите, заяви Марк Майфрет, технически директор на BeyondTrust.

"Предвид големия брой отстранени уязвимости, това ще бъде основната цел за атакуващите да обърнат инженер и да конструират експлоатация, която може да бъде доставена чрез злонамерена уеб страница", съгласи се Волфганг Кандек, CTO на Qualys.

Актуализации на Office, Windows

Друг бюлетин с висок приоритет се справи с уязвимостите в Microsoft Office (MS13-051). Според Microsoft уязвимостта на графичния формат PNG в Office 2003 за Windows и 2011 за Mac OS X понастоящем е насочена в природата при ограничени атаки, според Microsoft.

"Единствената причина" Microsoft не определи бюлетина на Office като критичен поради малкия брой засегнати платформи, заяви Рос Барет, старши мениджър по инженерно осигуряване в Rapid7. Нападателите, заинтересовани да използват този недостатък, биха използвали

скрит с бум Word документ.

Останалите бюлетини адресираха уязвимостта при разкриване на информация (MS13-048), проблем с отказ от обслужване в TCP / IP стека (MS13-049) и уязвимостта на локална привилегия на ескалация в Windows Print Spooler (MS13-050), според Microsoft. Грешката в DoS

засяга по-новите версии на Windows, от Vista до Windows 8 и Server 2008 до Server 2012. Недостатъкът е само локална уязвимост за Vista, Windows 7 и Server 2008, но при Windows 8 и Server 2012, грешката може да се използва в мрежата,

„Учудващо е, че по-новите версии на Windows са по-податливи на този бъг от по-старите версии“, казва Ламар Бейли, директор на изследванията за сигурност в Tripwire. „По-новото не винаги е по-добро“, добави той.

Microsoft не прекрати повишаването на ядрото на уязвимостта на привилегиите, разкрито от служителя на Google Tavis Ormandy по-рано този месец като част от тази версия на Patch Tuesday. Вече е налице доказателство за експлоатация на концепцията, така че е разумно да се приеме „

"Underground" работи за превръщането на тази уязвимост в техния арсенал ", заяви Кандек, който прогнозира, че поправката ще бъде част от актуализацията на Patch Tuesday в юли. Барет не смята, че патчът, който е извън лентата, е вероятно само за локална грешка в ядрото.

Като цяло, това е доста малък Patch вторник, но като се има предвид скорошната актуализация на Mac OS X и актуализацията на Flash на Adobe, администраторите все още ще бъдат заети.

Microsoft коригира критични, т.е. недостатъци в кръпката за юни, вторник