Видео: CVE-2018-15982 Flash IE n FireFox (Септември 2024)
Microsoft обяви осем бюлетини за ноемврийската версия на Patch Tuesday, адресираща се до 19 уникални уязвимости в софтуера на Microsoft, включително Internet Explorer, Hyper-V, Graphics Device Interface (GDI), Office и други. Беше установена и уязвимостта за нулев ден в Internet Explorer, разкрита от FireEye през уикенда.
От препоръките, трите най-критични лепенки са кръпка Interent Explorer (MS13-088), GDI (MS13-089) и недостатъкът за нулев ден в контрола ActiveX, който засяга няколко версии на Internet Explorer (MS13-090), сигурност казаха експерти.
„Бюлетин MS13-090 адресира публично известния проблем в ActiveX Control, който понастоящем е под целенасочени атаки. Клиентите с активирани автоматични актуализации са защитени от тази уязвимост и не е необходимо да предприемат никакви действия“, казва Дъстин Чайлдс, мениджър на групата на Microsoft Trustworthy Computing,
Състояние на нулевите дни
Екипът за сигурност на Microsoft имаше натоварен няколко дни. Миналата седмица фирмата за сигурност FireEye уведоми Microsoft за сериозни уязвимости в Internet Explorer, но изглежда, че екипът вече знае за тях, тъй като кръпката за контрол на ActiveX (MS13-090) коригира недостатъка на InformationCardSignInHelper. Нападателите вече са насочили грешката в атака в стил на поливане на дупки и този сутрин се появи код за експлоатация на уебсайта за споделяне на текст Pastebin, което превръща това в проблем с висок приоритет.
„Изключително важно е да разгърнете този пластир възможно най-скоро“, казва Марк Майфрет, технически директор на BeyondTrust.
Microsoft разкри и уязвимост за нулев ден в това как някои версии на Microsoft Windows и по-старите версии на Microsoft Office обработват графичния формат TIFF. В тази версия на Patch Tuesday не е наличен пластир, който да адресира този недостатък, така че потребителите, които все още не са инсталирали временното решение на FixIt, трябва да обмислят да направят това възможно най-скоро.
„Системите с риск и с висока стойност вече трябва да имат смекчаващи мерки“, казва Рос Барет, старши мениджър по инженерно осигуряване в Rapid7.
Пачове с висок приоритет
Друг IE патч (MS13-088) отстрани две грешки в разкриването на информация и осем проблема с корупцията в паметта в различни версии на уеб браузъра. Две от уязвимостите засягат всяка версия на IE, от най-новата версия 6 до 11. Въпреки че все още не се съобщава за атаки, използващи тези уязвимости, фактът, че са засегнати толкова много версии на Windows и Internet Explorer, означава, че този пластир трябва да бъде разгърнат възможно най-скоро.
Нападателите биха могли да се възползват от тези недостатъци чрез създаване на злонамерена уеб страница и убеждаване на потребителите да видят страницата, за да предизвикат атака при изтегляне от диск, заяви Майфрет.
Третият бюлетин с най-висок приоритет (MS13-089) коригира грешка в GDI, която засяга всяка поддържана версия на Windows от XP до Windows 8.1. Тъй като нападателите трябва да създадат злонамерен файл и да убедят потребителите да го отворят в WordPad, за да се възползват от тази уязвимост, това не е прост сценарий за сърфиране и получаване, предупреди Maiffret. Той обаче е „все още мощен, поради факта, че засяга всяка версия на поддържан Windows“, каза той.
Нападателят ще получи същото ниво на привилегия като работещото приложение, което използваше GDI интерфейса.
Прави лепенки
Няколко експерти нарекоха този месец патч вторник „направо“, тъй като корекциите бяха фокусирани върху Windows, Internet Explorer и някои компоненти на Office. Нямаше "нищо езотерично или трудно да се лепят", като SharePoint плъгини или.NET рамката, каза Барет. Останалите корекции адресираха уязвимостите в различни версии на Microsoft Office (MS13-091), уязвимостта при разкриване на информация в по-нови версии на Office (MS13-094), повишаване на недостатъка на привилегиите в Hyper-V (MS13-092) в Windows 8 и Server 2012 R2, грешка в разкриването на информация в Windows (MS13-093) и проблем с отказ в услуга (MS13-095) в операционната система.
„Като цяло, макар че е само средно голям Patch вторник, обърнете специално внимание на двата 0-дневни и актуализацията на Internet Explorer. Браузърите продължават да са любимата мишена за нападателите, а Internet Explorer, с водещия си пазарен дял, е един от най-видимите и вероятни цели “, заяви Волфганг Кандек, технически директор на Qualys.
