Videó: IE8 Zero Day (November 2024)
A Microsoft nyolc közleményt jelentett be a novemberi Patch keddi kiadáshoz, amely a Microsoft szoftverek 19 egyedüli sebezhetőségével foglalkozik, köztük az Internet Explorer, a Hyper-V, a Grafikus eszköz interfész (GDI), az Office és mások számára. Az Internet Explorer nulla napos biztonsági rését, amelyet a FireEye a hétvégén nyilvánosságra hozott, szintén kijavítottuk.
A tanácsok közül a három legkritikusabb javítás az Interent Explorer javítása (MS13-088), a GDI (MS13-089) és az nullnapos hiba az ActiveX vezérlőben, amelyek az Internet Explorer számos verzióját érintik (MS13-090), a biztonság szakértők szerint.
"Az MS13-090 közlemény az ActiveX-vezérlés nyilvánosan ismert problémájával foglalkozik, amely jelenleg célzott támadások alatt áll. Az automatikus frissítéssel rendelkező ügyfelek védelmet élveznek a biztonsági rés ellen, és nem kell semmilyen intézkedést tenniük" - mondta Dustin Childs, a Microsoft Trustworthy Computing csoportvezetője..
A nulla napok állapota
A Microsoft biztonsági csapata néhány nap elfoglalta. A múlt héten a FireEye biztonsági cég értesítette a Microsoftot az Internet Explorer súlyos sérülékenységeiről, de úgy tűnik, hogy a csapat már tudott róluk, mivel az ActiveX vezérlő javítás (MS13-090) kijavítja az InformationCardSignInHelper hibát. A támadók már megcélozták a hibát egy öntözőlyuk-stílusú támadás során, és a ma reggel a Pastebin szövegmegosztó webhelyen megjelentek a kizsákmányoló kód, ami ezt kiemelten fontos kérdéssé tette.
"Rendkívül fontos, hogy ezt a javítást a lehető leghamarabb kihúzzuk" - mondta Marc Maiffret, a BeyondTrust vezetője.
A Microsoft emellett egy nulla napos biztonsági rést is felfedt a Microsoft Windows egyes verzióinak és a Microsoft Office régebbi verzióinak kezelése során a TIFF grafikus formátumban. A Patch keddi kiadásban nem áll rendelkezésre olyan javítás, amely orvosolja ezt a hibát, ezért azoknak a felhasználóknak, akik még nem telepítették a FixIt ideiglenes megoldást, fontolóra kell venniük a lehető leghamarabb.
"A veszélyeztetett és nagy értékű rendszereknek már alkalmazniuk kell enyhítéseiket" - mondta Ross Barrett, a Rapid7 biztonsági műszaki vezetője.
Magas prioritású javítások
Egy másik IE javítás (MS13-088) két információ-felfedési hibát és nyolc memória-megsérülési problémát javított a webböngésző különféle verzióiban. Két biztonsági rés az IE minden verzióját érinti, a 6–11-ös verziótól kezdve, a legújabb verziót. Noha ezeket a sebezhetőségeket kihasználó támadásokról még nem számoltak be, az a tény, hogy a Windows és az Internet Explorer oly sok változatát érinti, azt jelenti, hogy ezt a javítást a lehető leghamarabb be kell építeni.
A támadók kihasználhatják ezeket a hibákat egy rosszindulatú weboldal létrehozásával és a felhasználók meggyőzésével az oldal megtekintésére, hogy az indítson letöltést támadást indítson - mondta Maiffret.
A harmadik legfontosabb prioritású közlemény (MS13-089) egy GDI hibát javít, amely a Windows minden támogatott verzióját érinti az XP-től a Windows 8.1-ig. Mivel a támadóknak rosszindulatú fájlt kell készíteniük, és meg kell győzniük a felhasználót, hogy nyissa meg a WordPadben a biztonsági rés kihasználása érdekében, ez nem egy egyszerű böngészési és beszerzési forgatókönyv - figyelmeztette Maiffret. Ennek ellenére "továbbra is erős, mivel a támogatott Windows minden verzióját érinti" - mondta.
A támadó ugyanolyan szintű jogosultságot kap, mint a futó alkalmazás, amely a GDI felületet használta.
Egyszerű javítások
Számos szakértő úgy hívta a havi Patch keddt, hogy "egyértelmû", mivel a javítások a Windowsra, az Internet Explorerre és az Office egyes elemeire összpontosítottak. Nem volt semmi ezoterikus vagy nehezen javítható ", például a SharePoint beépülő modulok vagy a.NET keretrendszer - mondta Barrett. A fennmaradó javítások a Microsoft Office különféle verzióinak (MS13-091) sérülékenységeit, az Office újabb verzióinak (MS13-094) információ-nyilvánosságra hozatalának sebezhetőségét, a Hyper-V (MS13-092) kiváltságainak kiterjesztését a Windows 8 rendszerben és A Server 2012 R2 információs nyilvánosságra hozatali hiba a Windows rendszerben (MS13-093) és a szolgáltatásmegtagadás kérdése (MS13-095) az operációs rendszerben.
"Összességében, bár ez csak közepes méretű javítás kedd, fordítson különös figyelmet a két 0 napra és az Internet Explorer frissítésére. A böngészők továbbra is a támadók kedvenc célpontjai, és az Internet Explorer vezető piaci részesedésével az egyik "- mondta Wolfgang Kandek, a Qualys műszaki vezetője.
