Видео: IE Zero Day Emergency Patch, Windows Sandbox, New ThinScale Product & More | Dec 20th 2018 (Септември 2024)
Microsoft пусна пет лепенки - два оценявани като "критични" и три като "важни" - фиксирайки 23 уязвимости в Internet Explorer, Microsoft Windows и Silverlight като част от актуализацията на Patch Tuesday в март. Патчът IE също затвори нулевия ден, атакуващите уязвимостта експлоатират от февруари.
Атакуващите използваха критичната уязвимост за нулев ден (CVE-2014-0322) в Internet Explorer 10 миналия месец като част от операция SnowMan, която компрометира уебсайта, принадлежащ на американските ветерани от чуждестранни войни, както и при друга атака, представяща се за французин производител на космически космически средства. IE кръпка (MS14-022) затваря този недостатък, както и 17 други, включително и този, който е използван при ограничени насочени атаки срещу Internet Explorer 8 (CVE-2014-0324), Dustin Childs, мениджър на групи в Microsoft Trustworthy Computing, написа в блога на Центъра за реакция на сигурността на Microsoft.
„Очевидно актуализацията на IE трябва да бъде най-големият ви приоритет“, каза Чайлдс.
Проблеми със Silverlight
Другият критичен кръпка коригира критичен недостатък при изпълнение на отдалечен код в DirectShow и засяга множество версии на Windows. Уязвимостта е в това, как JPEG изображенията се анализират от DirectShow, което прави вероятността атаките, експлоатиращи този недостатък, да вмъкнат злонамерени изображения в компрометирани уеб страници или вградени в документи, заяви Марк Майфрет, CTO на BeyondTrust. Струва си да се отбележи, че потребителите, работещи с не-администраторски привилегии, ще бъдат по-слабо засегнати от тези атаки, тъй като нападателят ще бъде ограничен в щетите, които може да причини.
Байпасът на функцията за сигурност в Silverlight се оценява като "важен", но също така трябва да бъде доста висок приоритет. Нападателите могат да използват недостатъка, като насочват потребителите към злонамерен сайт, съдържащ специално изработено съдържание на Silverlight, заяви Microsoft. Опасното е, че нападателите могат да заобиколят ASLR и DEP, две експлоатационни технологии за смекчаване, вградени в Windows, използвайки тази уязвимост, предупреди Майфрет. Нападателят ще се нуждае от вторичен експлоатация, за да постигне отдалечено изпълнение на код след заобикаляне на ASLR и DEP, за да получи контрол върху системата, като ASLR байпас на байпаса, запечатан през декември (MS13-106). Въпреки че в момента няма атаки, използващи този недостатък в природата, потребителите трябва да блокират изпълнението на Silverlight в Internet Explorer, Firefox и Chrome, докато пластирът не бъде приложен, каза Maiffret. Важно е също така да се уверите, че са поставени и по-стари пластири.
Microsoft трябва да се откаже от Silverlight, тъй като „вижда много лепенки предвид ограниченото му приемане“, предложи Тайлър Регули. Тъй като Microsoft ще продължи да го поддържа най-малко до 2021 г., организациите трябва да започнат да мигрират далеч от Silverlight, така че „всички бихме могли да деинсталираме Silverlight и ефективно да повишим сигурността на системите за крайни потребители“, добави той.
Оставащи патчи на Microsoft
Друг пластир, който трябва да бъде приложен по-скоро, отколкото по-късно, е този, който адресира двойка повишаване на уязвимостите на привилегированите уязвимости Windows Kernel Mode Driver (MS14-014), тъй като засяга всички поддържани версии на Windows (за този месец, който все още включва Windows XP). За да се възползва от този недостатък, нападателят „трябва да има валидни идентификационни данни за влизане и да може да влиза на локално ниво“, предупреди Microsoft.
Последната корекция коригира проблеми в протокола за управление на акаунти за сигурност (SAMR), който позволява на нападателите да извършват брутални акаунти в Active Directory и да не се блокират от акаунта. Патчът коригира обаждането на API, така че Windows правилно да заключва акаунти, когато е атакуван. „Политиките за блокиране при опит за парола се въвеждат специално, за да се предотвратят опити за груба сила и да се позволи на злонамерен нападател да заобиколи политиката, напълно разгромява защитата, която предоставя“, казва Регулярно.
Други актуализации на софтуера
Това е седмицата за актуализации на операционната система. Apple пусна iOS 7.1 по-рано тази седмица, а Adobe актуализира своя Adobe Flash Player (APSB14-08), за да затвори две уязвимости днес. Понастоящем проблемите не се експлоатират в природата, заяви Adobe.
Apple отстрани някои значими проблеми в iOS 7, включително проблем за отчитане на сривовете, който може да позволи на местния потребител да променя разрешенията на произволни файлове на засегнатите устройства, проблем с ядрото, който може да позволи неочаквано прекратяване на системата или произволно изпълнение на код в ядрото и грешка, която позволи на неоторизиран потребител да заобиколи изискванията за подписване на код на засегнатите устройства. Apple също отстрани грешка, която може да позволи на атакуващия да примами потребителя да изтегли злонамерено приложение чрез Enterprise App Download и друго, което позволи злонамерено създаден архивен файл да промени файловата система на iOS.
