Microsoft има само един критичен кръпка през септември в патрон вторник

Microsoft предоставя на администраторите почивка със сравнително лека версия на Patch Tuesday през септември. Компанията отстрани 42 грешки в четири бюлетини, обхващащи Internet Explorer,.NET Framework, Windows Task Scheduler и Microsoft Lync.

Приложете актуализацията на Internet Explorer. Може да ви предпази от атаки с нулев ден.

Чат IE грешка затворена

Microsoft оцени само една актуализация - кумулативният кръпка за Internet Explorer (MS14-052) - като "критична". Това означава, че Microsoft знае, че бъговете вече са атакувани или очаква атакуващите да експлоатират бъговете в рамките на 30 дни. Недостатъците могат да доведат и до отдалечено изпълнение на код.

Microsoft отстрани 37 уязвимости в IE, включително 26 частно разкрити уязвимости в паметта от корупция от Internet Explorer 6 чак до най-новия Internet Explorer 11. Microsoft също така коригира грешката в разкриването на информация, която беше използвана при атаки с нулев ден, свързани с операцията SnowMan кампания за кибереспионаж по-рано тази година.

В тази кампания нападателите изложиха грешка в разкриването на информация, за да разберат дали компрометираният компютър използва инструментариума на Microsoft за подобряване на смекчаването (EMET) и други защитни мерки. EMET е безплатен набор от инструменти на Microsoft с различни техники за смекчаване на експлоатацията, които предпазват от често срещани уязвимости в паметта. Предприятията могат да използват EMET за временна защита срещу атаки с нулев ден. Уязвимостта (CVE-2013-7331) в IE "позволява на отдалечените атакуващи да определят съществуването на локални имена на пътища, имена на пътища за споделяне на UNC, имена на хост в интранет и IP адреси на интранет чрез изследване на кодове за грешки", каза Амол Сарват, директор на лабораториите за уязвимост в Qualys, Ако инструментите бяха налице, нападателите прекратиха атаката.

"Този пластир е опитът на Microsoft да ограничи възможностите за експлоатационни комплекти, които са идентифицирани като използване на техника за разкриване на информация, за да определи дали е инсталиран конкретен софтуер за сигурност", казва Крейг Янг, изследовател по сигурността на Tripwire.

Откази за отказ от обслужване, О, Боже

Останалите бюлетини за.NET, Windows Task Scheduler и Microsoft Lync, адресираха различни грешки при отказване на услугата и бяха оценени като „важни“ или няма вероятност да доведат до отдалечено изпълнение на код. За да може атакуващият да използва уязвимостта на ескалацията на привилегиите в Task Scheduler (MS14-054), лицето първо трябва да има валидни идентификационни данни и локален достъп до засегнатата система, за да изпълни своя код. Изданието присъства в Windows 8, Windows 8.1, Windows RT и Windows RT 8.1, както и Windows Server 2012 и Windows Server 2012 R2. Актуализацията на.NET Framework (MS14-053) засяга повечето версии на.NET, както и ASP.NET инсталациите, активирани на IIS. Грешка при отказ на услуга в Microsoft Lync Server 2010 и Lync Server 2013 може да позволи на нападателите да изпращат злонамерени SIP заявки до сървъра Lync.

„Ако използвате ASP.NET или изпращате заявки за среща на Lync на трети страни, тогава тези актуализации са особено важни за вашата организация“, казва Тайлър Регули, мениджър на проучванията за сигурност на Tripwire. "В някои случаи те могат дори да се считат за критични; отказът от услуга не е нещо, което трябва да се приема леко".

Още петна по пътя

Само защото цикълът за актуализиране на този месец е малко лек, не означава, че е време да бъдете самодоволни. Adobe актуализира днес Flash Player като част от своя редовен цикъл на актуализиране, но закъснява патчите, адресиращи критичните уязвимости в Adobe Reader и Acrobat както за Windows, така и за OSX. Тези лепенки ще бъдат налични някъде следващата седмица, заявиха от компанията. Пластирите бяха забавени поради проблеми, забелязани по време на тестване. Adobe не разработи по-нататък действителните недостатъци, освен да ги нарече основен приоритет. Така че бъдете нащрек!