У дома Securitywatch Microsoft вряза 34 бъгове в юли кръпка вторник

Microsoft вряза 34 бъгове в юли кръпка вторник

Видео: BeamNG Drive | Я до сих пор не понимаю, что тут происходит... РП ПОГОНИ:D (Ноември 2024)

Видео: BeamNG Drive | Я до сих пор не понимаю, что тут происходит... РП ПОГОНИ:D (Ноември 2024)
Anonim

Microsoft пусна седем бюлетини, поправящи 34 уникални грешки в.NET Framework, ядрото на Windows и Internet Explorer като част от юлския патч вторник. Съществува и нова 180-дневна политика за пазара на Microsoft по отношение на приложения с грешки в защитата.

От седемте бюлетини шест са оценени като критични, а един е оценен като важен, заяви Microsoft в своите препоръки за Patch Tuesday, публикувани вчера следобед. Microsoft препоръча първо да се инсталира IE бюлетин (MS13-055), последван от един от бюлетините за драйвери за режим на ядрото на Windows (MS13-053). Останалите бюлетини TrueType и Windows бяха в следващата група с приоритети, последвана от единствената „важна“ корекция.

"Всичко в основния свят на Microsoft е засегнато от едно или повече от тях; всяка поддържана ОС, всяка версия на MS Office, Lync, Silverlight, Visual Studio и.NET", казва Рос Барет, старши мениджър на инженерното осигуряване в Rapid7.

Windows 8.1 Preview и IE 11 не се влияят от нито един от тези бюлетини.

Ugly, Ugly Fonts

Три отделни бюлетини (MS13-052, MS13-053 и MS13-054) поправиха уязвимостта на шрифта TrueType в.NET. Тази грешка в шрифта TrueType е подобна на тази, експлоатирана от Stuxnet и Duqu, с изключение на факта, че присъства в.NET, а не в ядрото на Windows, заяви Marc Maiffret, CTO на BeyondTrust.

MS13-054 поправи уязвимостта на TrueType в GDI +, компонент в ядрото на Windows. Недостатъкът засяга множество продукти, включително всяка поддържана версия на Windows, Office 2003/2007/2010, Visual Studio.NET 2003 и Lync 2010/2013. Maiffret прогнозира, че този недостатък ще бъде експлоатиран от нападателите в близко бъдеще, тъй като толкова много продукти използват GDI +.

"MS13-053 е най-лошият от групата", казва Томи Чин, инженер по техническа поддръжка в CORE Security, добавяйки "Това е дистанционно изпълнение на кода и ескалация на привилегиите всичко в едно." Злоупотребите могат да потърсят потенциални жертви от социален инженер, за да видят създаден файл със злонамерено съдържание TrueType. Ако успехът, нападателят получава администраторски достъп до засегнатата система, каза Чин.

В този бюлетин също е фиксирана уязвимостта за нулев ден в ядрото на Windows, открита от изследователя по сигурността Тавис Орманди. Като се има предвид, че експлоатацията на тази уязвимост вече е включена в обществени рамки като Metasploit, това трябва да бъде с висок приоритет

Internet Explorer

Огромната актуализация на Internet Explorer адресира 17 недостатъци, от които 16 са уязвимости в корупцията на паметта и един грешка в скрипт на различни сайтове. Недостатъците на корупция в паметта могат да се използват при атаки, при които нападателите създават злонамерени уеб страници и използват тактиката на социалния инженеринг, за да привлекат потребителите към злонамерените страници. През последните няколко вторник на Patch имаше много грешки в корупцията на паметта, отбеляза Майфрет и добави: „Наложително е този пластир да бъде разгърнат възможно най-скоро“.

Промяна на правилата на Microsoft Marketplace

Microsoft също обяви промяна на политиката, свързана с пазара на Microsoft. Съгласно новата политика, всяко приложение във всеки от четирите магазина за приложения, управлявано от Microsoft (Windows Store, Windows Phone Store, Office Store и Azure Marketplace) ще получи 180 дни за разрешаване на проблеми със сигурността. Графикът се прилага за уязвимости, които са оценени като критични или важни и не са подложени на атака.

Ако не бъде закърпена в рамките на този срок, приложението ще бъде премахнато от магазина, заяви Microsoft. Политиката важи за приложения както от трети разработчици, така и от Microsoft.

„Microsoft прави голяма стъпка към минимизиране на уязвимите приложения в техните различни магазини за приложения“, казва Крейг Йънг, изследовател по сигурността в Tripwire.

Въпреки това, струва си да се отбележи, че 180 дни са дълго време, което е много малко вероятно Microsoft да се превърне в изтегляне на приложение. Не е вероятно един програмист да прекара повече от шест месеца за коригиране на критична уязвимост и ако актуализацията отнеме повече време от очакваното, Microsoft е готова да направи изключения.

Имайки предвид това, новата политика звучи като начин за Microsoft да звучи трудно, без да се отразява неблагоприятно на разработчиците.

Още напред

Това ще бъде натоварен месец за администраторите. Adobe пусна собствени актуализации, а Oracle ще пусне тримесечната си актуализация на целия им софтуер, с изключение на Java следващата седмица.

Microsoft вряза 34 бъгове в юли кръпка вторник