Видео: Настя и сборник весёлых историй (Септември 2024)
Този следобед Microsoft пусна осем бюлетини за сигурност, адресиращи 23 уязвимости в редица услуги, включително Windows, Internet Explorer и Exchange. От тях трима носеха най-високата оценка на критични, а останалите бяха отбелязани като важни.
За потребители, които искат да поставят приоритет на кръпките си, Microsoft препоръчва да се съсредоточат върху MS13-059 и MS13-060. Това каза, трябва да закърпите всичко, веднага щом успеете да го направите.
Атака на шрифтове и уязвимости на IE
От тези две, Bulletin 059 е кумулативна актуализация на защитата за Internet Explorer, обхващаща 11 разкрити уязвимости. „Най-тежките уязвимости могат да позволят отдалечено изпълнение на код, ако потребителят разглежда специално изработена уеб страница, използвайки Internet Explorer“, пише Microsoft. „Нападател, който успешно е експлоатирал най-тежката от тези уязвимости, може да получи същите права на потребителя като текущия потребител.“
Marc Maiffret, CTO в BeyondTrust обяснява: „Само по себе си уязвимостта не позволява изпълнение на код, а вместо това би била комбинирана с друга уязвимост за получаване на изпълнение на код с права на потребителя.“
Актуализацията на IE също е забележителна с включването на корекция на уязвимостта, използвана от VUPEN Security в конкурса pwn2own 2013. Виждаш ли? Цялата тази конкуренция се отплаща.
Бюлетин 060 се отнася до уязвимост в Unicode Script Processor, като по същество позволява на атакуващите да използват изобразяването на шрифтове като вектор за атака. Видяхме подобни проблеми в актуализацията на Patch Tuesday от миналия месец.
Официалният директор на Qualys Волфганг Кандек обясни пред SecurityWatch, че "шрифтовете се рисуват на ниво ядро, така че ако по някакъв начин можете да повлияете на чертежа на шрифтовете и да го прелеете". Това би казало Кандек да даде на нападателя контрол върху компютъра на жертвата.
Макар и ограничена до шрифта Bangali в Windows XP, тази уязвимост е особено смущаваща поради многото различни начини за атака, които ако са предвидени. „Това е много примамлив вектор за атака“, каза Амол Сарват, директор на лабораториите за уязвимост на Qualys. Всичко, което нападателят трябва да направи, е да насочи жертва към документ, имейл или злонамерена уеб страница, за да използва уязвимостта.
Критична уязвимост
Третият критичен бюлетин е свързан с отдалечено изпълнение на код на сървърите на Microsoft Exchange. Кандек каза на SecurityWatch, че нападател може да използва тези три уязвимости със специално създаден PDF файл, който при гледане - не изтеглен - ще атакува пощенския сървър на жертвата.
Преди това тези уязвимости бяха разкрити от Oracle, което прави засегнатия компонент. За щастие, все още не е забелязано екзекуция в дивата природа, но че подобни проблеми са били променяни многократно в миналото. Maiffret пише, че две от уязвимостите са „в рамките на функцията за преглед на документи WebReady, която видяхме кръпка няколко пъти през последната година (MS12-058, MS12-080 и MS13-012). Oracle продължава да дава на Microsoft и Exchange последователно черно око."
Кандек отбелязва, че „беше много лесно да се намерят уязвимости в този софтуерен компонент“ и че потребителите трябва да обмислят изключването на тази функция в допълнение към кръпката на софтуера. Това ще принуди потребителите да изтеглят прикачени файлове за поща, за да ги видят, което може да е малка цена за заплащане на сигурността
Има няколко други екстри в списъка за корекции на този месец, включително уязвимост на IPv6 и известно повишаване на привилегиите, отказ в услуга и уязвимости при разкриване на информация. Докато всички стигат до кръпка, ще се подготвим за кръга на бъгове в следващия месец.
