Videó: Introducing Windows 20 (Concept by Avdan) (November 2024)
A Microsoft hét biztonsági közleményt adott ki, amelyek több mint 20 sebezhetőséget javítottak a March Patch kedden. Az érintett alkalmazások és összetevők az Internet Explorer, a Silverlight, a Visio Viewer, a Sharepoint, a OneNote, az Office for Mac és a rendszermag-illesztőprogram a Windows összes verziójában.
A hírlevelek közül négyet kritikusnak és háromot fontosnak ítéltek - állítja a Microsoft kedden közzétett biztonsági tanácsadása. Az összesített Internet Explorer javítás, amely a legmagasabb prioritással rendelkezik, az Internet Explorer összes támogatott verziójára vonatkozik, a 6-tól 10-ig.
"Szinte mindenkinek, aki Windows operációs rendszert futtat, és sok Microsoft üzletnek, ma szorgalmasan kell javítania a rendszereket" - írta Kurt Baumgartner, a Kaspersky Lab vezető biztonsági kutatója a SecureList oldalon.
Az IE-tanácsadás nem vonatkozik azokra a felhasználókra, akik letöltöttek és telepítettek néhány héttel ezelőtt kiadott Windows 7 rendszerre az IE 10 verziót, mivel a Microsoft már beépítette ezeket a javításokat. Noha egyiket sem vadásznak jelenleg, az IE gyakori célpont, és azonnal meg kell javítani.
"A kilenc megcélzott CVE közül hét közülük kihat az Internet Explorer minden támogatott verziójára, tehát a támadók számos választási lehetőséget választhatnak a közeljövőben kiaknázandó sebezhetőség szempontjából" - mondta Marc Maiffret, a BeyondTrust vezetője, a SecurityWatch .
A múlt héten a CanSecWest Pwn2Own versenyének részeként feltárt sebezhetőségek egyike sem szerepel ebben a hónapban, ám ez biztos, hogy hamarosan jönnek.
Stuxnet kísértete
A kernelmód illesztőprogramjának ebben a hónapban javított sebezhetősége hasonlónak tűnhet a februárban és januárban javított hibáknál, de sokkal félelmesebb hiba. Az USB-eszközmeghajtó hibáját csak az okozhatja, hogy valaki USB-meghajtót helyez be a számítógépbe. Nem számít, ha a számítógép zárolva van, vagy ha a felhasználót kijelentkezik; a számítógépnek csak bekapcsoltnak kell lennie.
A Microsoft ezt a közleményt pusztán "fontos" -nak, nem pedig "kritikusnak" minősítette, mivel a támadás megköveteli, hogy a támadó fizikai hozzáféréssel rendelkezzen a számítógéphez. Nincs távoli vektor, ami azt jelenti, hogy csak "nagyon korlátozott és célzott támadások során fogják kihasználni" - mondta Maiffret.
Más szakértõket azonban riasztott. "Képzelje csak el, mit tehet egy megfelelően motivált portás személyzet ennek a sebezhetőségnek mindössze egy este" - mondta Andrew Storms, az nCircle biztonsági műveleteinek igazgatója. Azok a nyilvános kioszkok és helymeghatározó központok, amelyekben nincs zárt szekrény, mind veszélybe kerülnek. "A sérülékenység által okozott kár potenciálját nem lehet túlbecsülni" - mondta Storms.
Annak érdekében, hogy képet kapjon arról, hogy ez a biztonsági rés mennyire súlyos, a Stuxnet kihasználta az "automatikus futtatás" funkciót, amely lehetővé tette a Windows számára, hogy automatikusan végrehajtja a kódot az USB meghajtón felhasználói bevitel nélkül. Noha az automatikus futtatás azóta le van tiltva, a legfrissebb USB-sérülékenység akkor jelentkezik be, mielőtt az automatikus futtatást elérni lehetett volna - mondta a Rapid7 Ross Barrett.
"Évek óta láttad ezt a támadási módszert a filmekben, és most a világ minden táján működő vállalkozásokban mutatják be" - mondta Storms.
Silverlight, Office, SharePoint, Oh My!
Az egyik kritikus hírlevél javította a problémákat a Microsoft Silverlight-ban, amely "érdekes volt, mivel nem tudtam, hogy a világon bárki más valóban telepítette a Silverlightet" - mondta a Rapid7 Barrett a SecurityWatch-nek . Azok számára, akik Silverlight-nal rendelkeznek, ez egy komoly kérdés, "a Flash sebezhetőségével párhuzamosan" - mondta Barrett. A hiba a Silverlight összes verzióját érinti, de a javítás csak a Silverlight 5-re vonatkozik. A felhasználóknak a javítás telepítése előtt frissíteniük kell a Silverlight-ot.
A Visio 2010 Viewer javítása kritikusnak minősül, mivel lehetővé teszi a távoli kódfuttatást. Egy lehetséges támadási vektor becsapja a felhasználót egy e-mailben elküldött hibás Visio-dokumentum elolvasásához. A Visio biztonsági rése azonban megköveteli a Visio Viewer ActiveX vezérlő telepítését - mondta Barrett. Az adminisztrátorok addig is letilthatják ezt a funkciót, amíg a javítást teljes mértékben alkalmazzák enyhítő lépésként - mondta. A SharePoint hiba lehetővé teszi a támadók számára, hogy rosszindulatú kódot injektáljanak a mentett lekérdezésekbe a webhelyek közötti szkriptek használatával. Ez a lekérdezés végrehajtása után a támadási kódot rendszergazdai jogosultságokkal futtathatja.
A OneNote és az Outlook for Mac javításokat hajtottak végre ebben a hónapban, és ezeket fontosnak ítélik meg. A támadó becsaphatja a felhasználót egy rosszindulatú OneNote fájl vagy mappa megnyitásához, amely arra készteti a hibát, hogy megkerülje a jelszót és a titkosítási védelmi mechanizmusokat, hogy elolvassa a felhasználó OneNote fájljait és mappáit.
