Видео: Oracle - SQL - Sorting Data (Септември 2024)
Това е трифекта на софтуерните лепенки, като Microsoft, Adobe и Oracle издават актуализации за сигурност в един и същи ден.
Както се очакваше, Microsoft стартира 2014 г. с доста лека версия на Patch Tuesday, като коригира шест не толкова критични уязвимости в четири бюлетина за сигурност. В същия ден Adobe издаде две критични актуализации, коригиращи три критични недостатъци при изпълнение на отдалечен код в Adobe Reader, Acrobat и Flash. Свидетелство за планиране означава, че тримесечната актуализация на критичните патчи на Oracle също падна през същия вторник, което доведе до огромен обем от пластири, с които ИТ администраторите могат да се справят. Oracle фиксира 144 уязвимости в 40 продукта, включително Java, MySQL, VirtualBox и неговата водеща база данни Oracle.
„Докато Microsoft пуска само четири актуализации, има много работа за ИТ администраторите поради изданията на Adobe и Oracle“, казва Волфганг Кандек, CTO на Qualys.
Java патчите от Oracle трябва да бъдат с най-висок приоритет, следвани от препоръките на Adobe Reader и Flash, а след това и актуализациите на Microsoft Word и XP, казаха експерти.
Oracle Взима Java
Дори като се има предвид, че Oracle се кръпва на тримесечие и поправя повече продукти, този процесор все още е рекорден в броя на отстранените проблеми. От 144 пропуски в сигурността 82 може да се считат за критични, тъй като могат да бъдат експлоатирани дистанционно без удостоверяване.
По-голямата част от уязвимостите, адресирани в gargantuan CPU на Oracle, бяха в Java v7. Oracle отстрани 34 пропуски при отдалечено изпълнение, с няколко оценки 10 по скалата на системата за обща уязвимост. CVSS показва сериозността на недостатъка и вероятността нападателят да получи пълен контрол върху системата.
Java беше един от най-атакуваните софтуерни програми през 2013 г. и експерти предупредиха, че ще продължи да бъде популярна цел. Ако не го използвате, деинсталирайте го. Ако трябва да имате инсталирана Java, поне я деактивирайте в уеб браузъра, тъй като всички атаки досега са атакували браузъра. Ако имате достъп до уеб приложения, които изискват Java, дръжте го в различен уеб браузър от този по подразбиране и превключвайте, когато е необходимо. Ако не ви трябва, не го пазете. Ако все пак го запазите, незабавно кръпка.
Oracle също така отстрани пет пропуски в сигурността в собствената си база данни Oracle, един от които може да се използва дистанционно, и 18 уязвимости в MySQL. Три от тези грешки могат да бъдат атакувани дистанционно и имат максимален резултат CVSS от 10. Сървърният софтуер Solaris има 11 недостатъци, включително един, който може да бъде атакуван дистанционно. Най-сериозната грешка в Solaris имаше CVSS оценка 7, 2. Процесорът адресира девет проблема в Oracle Virtualization Software, който включва софтуер за виртуализация VirtualBox, от които четири могат да бъдат задействани дистанционно. Максималният CVSS резултат е 6, 2.
Ако използвате някой от тези продукти, важно е да ги актуализирате незабавно. MySQL се използва широко като бек-енд система за редица популярни CMS и форумен софтуер, включително WordPress и phpBB.
Поправки за четене и флаш
Adobe фиксира проблеми със сигурността в Adobe Flash, Acrobat и Reader, които, ако бъдат експлоатирани, ще дадат на нападателите пълен контрол върху целевата система. Векторът за атака за грешка Acrobat и Reader беше злонамерен PDF файл. Проблемът с Flash може да бъде използван чрез посещение на злонамерени уеб страници или отваряне на документи с вградени Flash обекти.
Ако имате включени актуализации на фона за продуктите на Adobe, актуализациите трябва да са безпроблемни. Потребителите с Google Chrome и Internet Explorer 10 и 11 няма да се притесняват за новата версия на Flash, тъй като браузърите ще актуализират софтуера автоматично.
Лека актуализация на Microsoft
Microsoft отстрани уязвимостта на файловия формат в Microsoft Word (MS14-001), която може да бъде експлоатирана дистанционно, ако потребителят отвори затворен файл в Word. Той засяга всички версии на Microsoft Word в Windows, включително Office 2003, 2007, 2010 и 2013 г., както и зрителите на документи на Word. Потребителите на Mac OS X не са засегнати.
Уязвимостта за нулев ден (CVE-2013-5065), засягаща системите Windows XP и Server 2003, която беше открита в дивата природа през ноември миналата година, най-накрая беше изкоренена (MS14-002). Въпреки че недостатъкът на ескалация на привилегиите в NDProxy не може да бъде изпълнен дистанционно, той трябва да бъде с висок приоритет, тъй като може да се комбинира с други уязвимости. Атаките през ноември използваха злонамерен PDF документ за първо задействане на недостатък в Adobe Reader (който беше закърпен през май 2013 г. в APSB13-15) с цел достъп до грешката в ядрото на Windows. Microsoft отстрани подобен недостатък за ескалация на привилегии в Windows 7 и Server 2008 (MS14-003).
"Ако се притеснявате за 002, а не за 003, най-вероятно ще имате някои проблеми, идващи през април, когато поддръжката приключи за Windows XP", заяви Rapid7.
Само по себе си тези уязвимости може да не са критични, но в комбинация те могат да бъдат много по-сериозни, предупреди Trustwave. Ако кампания, използваща злонамерен документ на Office, изпълнен код, насочен към грешка с повишаване на привилегиите, „тогава фишинг имейл до нищо неподозиращ потребител ще бъде всичко необходимо“, заяви екипът.
