Videó: Internet Explorer Zero-Day Vulnerability Under Active Attack (November 2024)
A Microsoft öt javítást adott ki - kettőt „kritikusnak” és három „fontosnak” - és az Internet Explorer, a Microsoft Windows és a Silverlight 23 biztonsági rését javítja a márciusi Patch keddi frissítés részeként. Az IE javítás lezárta a nulla napos biztonsági rést okozó támadókat is, akik február óta használják ki őket.
A támadók kihasználták a múlt hónapban a nullnapos kritikus sebezhetőséget (CVE-2014-0322) az Internet Explorer 10 programban a SnowMan művelet részeként, amely veszélyeztette az Egyesült Államok külföldi háborúinak veteránjaihoz tartozó weboldalt, valamint egy másik támadás során, amely megszemélyesített egy franciával. repülőgépgyártó. Az IE javítás (MS14-022) lezárja ezt a hibát, valamint 17 további hibát, köztük azt, amelyet korlátozott, célzott támadásokban használtak az Internet Explorer 8 ellen (CVE-2014-0324), Dustin Childs, a Microsoft Trustworthy Computing csoportvezetője, írta a Microsoft Security Response Center blogjában.
"Nyilvánvaló, hogy az IE frissítésnek a legfontosabb prioritásodnak kell lennie" - mondta Childs.
A Silverlight problémái
A másik kritikus javítás javítja a DirectShow kritikus távoli kódfuttatási hibáját, és a Windows több verzióját érinti. A sérülékenység abban rejlik, hogy a JPEG-képeket a DirectShow elemzi, így valószínű, hogy a hibát kihasználó támadások rosszindulatú képeket helyeznek el a sérült weboldalakba vagy a dokumentumokba ágyazva - mondta Marc Maiffret, a BeyondTrust műszaki vezetője. Érdemes megjegyezni, hogy a nem rendszergazdai jogosultságokkal futó felhasználókat ezek a támadások kevésbé érintik, mivel a támadó korlátozottan károsíthatja az általa okozott károkat.
A biztonsági funkció megkerülését a Silverlight-ban "fontosnak" ítélték meg, ugyanakkor meglehetősen magas prioritást kell kapnia. A támadók kihasználhatják a hibát, ha egy rosszindulatú webhelyre irányítják a felhasználókat, amelyek speciálisan kialakított Silverlight-tartalmat tartalmaznak - mondta a Microsoft. Veszélyes az, hogy a támadók megkerülhetik az ASLR-t és a DEP-t, kettő a Windowsba beépített enyhítő technológiákat használja fel a biztonsági rés kihasználásával - figyelmeztette Maiffret. A támadónak másodlagos kihasználásra van szüksége a távoli kódfuttatáshoz az ASLR és a DEP megkerülése után, hogy megszerezzék a rendszer irányítását, például egy decemberben javított ASLR bypass hiba (MS13-106). Noha jelenleg nincsenek támadások, amelyek ezt a hibát kihasználják vadonban, a felhasználóknak megakadályozniuk kell, hogy a Silverlight futtasson az Internet Explorerben, a Firefoxban és a Chrome-ban, amíg a javítás be nem kerül - mondta Maiffret. Fontos annak ellenőrzése is, hogy a régebbi javításokat is telepítették-e.
A Microsoftnak feladnia kell a Silverlight-ot, mivel "sok javítást lát, mivel korlátozottan alkalmazza" - javasolta Tyler Reguly. Mivel a Microsoft legalább 2021-ig továbbra is támogatja azt, a szervezeteknek el kell indulniuk a Silverlightről való migrációtól, hogy "mindannyian eltávolítsuk a Silverlight-ot, és hatékonyan növeljük a végfelhasználói rendszerek biztonságát" - tette hozzá.
Hátralévő Microsoft javítások
Egy másik javítás, amelyet inkább hamarosan, mint később kell alkalmazni, az a, amely a Windows Kernel Mode illesztőprogramjának (MS14-014) kiváltságos sérülékenységének párjára vonatkozik, mivel a Windows összes támogatott verzióját érinti (ebben a hónapban még mindig a Windows XP-t tartalmazza). A hiba kihasználásához a támadónak "érvényes bejelentkezési hitelesítő adatokkal kell rendelkeznie, és képesnek kell lenniük a helyi bejelentkezésre" - figyelmeztette a Microsoft.
Az utolsó javítás kijavítja a biztonsági fiókkezelő távoli (SAMR) protokollját, amely lehetővé teszi a támadók számára az Active Directory-fiókok erőszakos kikényszerítését, és nem kerülhetnek ki a fiókból. A javítás javítja az API hívást úgy, hogy a Windows helyesen zárolja a fiókokat támadás alatt. "A jelszó-ellenőrzési zárolási politikákat kifejezetten a brutális erőszakos kísérletek megakadályozása érdekében hozták létre, és lehetővé téve a rosszindulatú támadók számára, hogy megkerüljék a politikát.
Egyéb szoftverfrissítések
Ez a hét az operációs rendszer frissítéseinek. Az Apple a héten korábban kiadta az iOS 7.1-et, az Adobe frissítette az Adobe Flash Player-t (APSB14-08), hogy ma két biztonsági rést megszüntessen. Az Adobe szerint a kérdéseket jelenleg nem használják ki vadonban.
Az Apple javított néhány jelentős problémát az iOS 7-ben, köztük egy baleset-jelentési problémát, amely lehetővé teheti a helyi felhasználó számára az érintett eszközök tetszőleges fájljainak engedélyének megváltoztatását, egy kernelprobléma, amely lehetővé teheti a rendszer váratlan leállítását vagy a rendszermag önkényes végrehajtását., és egy olyan hiba, amely lehetővé tette egy jogosulatlan felhasználó számára, hogy megkerülje az aláírási követelményeket az érintett készülékeken. Az Apple javított egy hibát is, amely lehetővé tette a támadó számára, hogy rávegye a felhasználót egy rosszindulatú alkalmazás letöltésére az Enterprise App Download segítségével, és egy másik, amely lehetővé tette a rosszindulatúan készített biztonsági mentési fájl megváltoztatását az iOS fájlrendszeren.
