Videó: Oracle PL SQL interview question Explain FOR UPDATE clause and WHERE CURRENT OF Clause (November 2024)
Ez sokféle szoftverjavítás, amelyekben a Microsoft, az Adobe és az Oracle ugyanazon a napon jelentenek biztonsági frissítéseket.
Ahogy az várható volt, a Microsoft 2014-ben egy meglehetősen könnyű Patch kedd kiadással kezdte a 2014. évet, amely hat nem túl kritikus biztonsági rést javított négy biztonsági közleményben. Ugyanezen a napon az Adobe két kritikus frissítést adott ki, amely három, az Adobe Reader, az Acrobat és a Flash távoli kódfuttatására vonatkozó kritikus hibát javított ki. Az ütemterv miatt az Oracle negyedéves kritikus javításának frissítése szintén ugyanezen kedden esett vissza, ami hatalmas mennyiségű javítást eredményezett az informatikai adminisztrátorok számára. Az Oracle javította a 144 sebezhetőséget 40 termék között, köztük a Java, MySQL, VirtualBox és zászlóshajója, az Oracle adatbázisát.
"Miközben a Microsoft csak négy frissítést bocsát ki, az Adobe és az Oracle kiadásainak köszönhetően rengeteg munka van az informatikai rendszergazdáknak" - mondta Wolfgang Kandek, a Qualys műszaki vezetője.
A szakértők szerint az Oracle Java javításainak kell lennie a legfontosabb prioritásoknak, amelyeket az Adobe Reader és a Flash javaslatok követnek, majd a Microsoft Word és XP frissítéseket.
Az Oracle beveszi a Java alkalmazást
Még ha figyelembe vesszük is, hogy az Oracle negyedévente javításokat végez, és több terméket javít, ez a CPU továbbra is rekordcsökkentő a javított kiadások számában. A 144 biztonsági hibából 82 kritikusnak tekinthető, mivel azokat távolról ki lehet használni hitelesítés nélkül.
Az Oracle nagyszerű CPU-jában foglalkozott sebezhetőségek többsége a Java v7-ben volt. Az Oracle javította a 34 távoli végrehajtási hibát, több pontozással 10-en a Common Rulneibility Scoring System skálán. A CVSS jelzi a hiba súlyosságát és annak valószínűségét, hogy a támadó teljes mértékben irányítja a rendszert.
A Java volt az egyik leginkább megtámadott szoftver 2013-ban, és a szakértők figyelmeztették, hogy továbbra is népszerű célpont lesz. Ha nem használja, távolítsa el. Ha telepítenie kell a Java-t, legalább tiltsa le a webböngészőben, mivel az eddig megtámadott összes támadás támadta meg a böngészőt. Ha olyan Java alkalmazásokat igénylő webes alkalmazásokat ér el, tartsa az alapértelmezettől eltérő webböngészőn, és szükség esetén váltson át. Ha nincs rá szüksége, ne tartsa meg. Ha megtartja, azonnal javítsa meg.
Az Oracle öt biztonsági hibát is javított saját Oracle adatbázisában, amelyek közül az egyik távolról kihasználható, és 18 biztonsági rést jelent a MySQL-ben. Ezen hibák közül három távolról támadható meg, és a maximális CVSS-pontszámuk 10 volt. A Solaris szerverszoftverének 11 hibája volt, köztük egy, amelyet távolról támadni lehetett. A legsúlyosabb Solaris hiba CVSS-értéke 7, 2 volt. A CPU kilenc kérdéssel foglalkozott az Oracle Virtualizációs Szoftverrel, amely magában foglalja a VirtualBox virtualizációs szoftvert, amelyek közül négy távolról indítható. A maximális CVSS-pont 6, 2 volt.
Ha ezen termékek bármelyikét futtatja, akkor fontos frissíteni azokat azonnal. A MySQL-t széles körben használják számos népszerű CMS és fórumszoftver, például a WordPress és a phpBB hátterének.
Olvasó és Flash javítások
Az Adobe rögzített biztonsági problémái az Adobe Flash, az Acrobat és a Reader programban, amelyek kihasználása esetén a támadók teljes irányítást biztosítanak a célrendszer felett. Az Acrobat és a Reader hiba támadása egy rosszindulatú PDF fájl volt. A Flash hibát ki lehet használni rosszindulatú weblapok meglátogatásával vagy beágyazott Flash objektumokkal rendelkező dokumentumok megnyitásával.
Ha az Adobe-termékek háttérfrissítéseit bekapcsolta, a frissítéseknek zavartalannak kell lenniük. A Google Chrome, valamint az Internet Explorer 10 és 11 verziókkal rendelkező felhasználóknak nem kell aggódniuk a Flash új verziója miatt, mivel a böngészők automatikusan frissítik a szoftvert.
Könnyű Microsoft frissítés
A Microsoft javította a Microsoft Word fájlformátumának sérülékenységét (MS14-001), amelyet távolról ki lehet használni, ha a felhasználó megnyit egy csapdába esett Word fájlt. Ez érinti a Windows összes Microsoft Word verzióját, beleértve az Office 2003, 2007, 2010 és 2013, valamint a Word dokumentummegjelenítőket. A Mac OS X felhasználóit ez nem érinti.
A Windows XP és a Server 2003 rendszereket érintő nulla napos biztonsági rést (CVE-2013-5065), amelyet vadonban fedeztek fel tavaly novemberben, végre javításra került (MS14-002). Noha az NDProxy kiváltságos eszkalációs hibája nem távolról végrehajtható, ennek prioritásnak kell lennie, mivel más biztonsági résekkel kombinálható. A novemberi támadások egy rosszindulatú PDF-dokumentum felhasználásával először hibát okoztak az Adobe Readerben (amelyet 2013. májusában javítottak az APSB13-15-ben) a Windows kernelhibájának elérése érdekében. A Microsoft javított egy hasonló kiváltságos eszkalációs hibát a Windows 7 és a Server 2008 (MS14-003) rendszerekben.
"Ha a 002 és a 003 miatt nem aggódik, akkor valószínűleg bizonyos problémák merülnek fel áprilisban, amikor véget ér a Windows XP támogatása" - mondta Rapid7.
Ezek a sebezhetőségek önmagukban nem lehetnek kritikusak, de együttesen sokkal súlyosabbak is lehetnek - figyelmeztette a Trustwave. Ha egy rosszindulatú Office-dokumentumot használó kampány végrehajtja a kiváltsági szintre vonatkozó hibát célzó kódot, "az adathalász e-mailnek egy gyanútlan felhasználó számára lenne minden, ami szükséges" - mondta a csapat.
