Videó: Internet Explorer где скачать и как установить в 2018 году? (November 2024)
Megint ez az idő: a Microsoft ma kiadta termékeinek legújabb javításait. A lista néhány érdekes kihasználtságot tartalmaz, de a nagy hír az, hogy a Microsoft 10 biztonsági rést zár le az Internet Explorer számára, köztük két 0 napos kihasználtságot.
Javítsa az Internet Explorer alkalmazást most!
A havi javítócsalád messze a legnagyobb és legfontosabb darabja az MS13-080. Az Internet Explorernek ez a kumulatív frissítése megszünteti a korábban bejelentett sebezhetőségeket - ezek közül az egyiknek egy ideiglenes munkája volt a múlt hónapban. Ez a javítás az Internet Explorer összes verzióját érinti.
"A legsúlyosabb sebezhetőség lehetővé teheti a távoli kódfuttatást, ha a felhasználó egy speciálisan kialakított weboldalt néz az Internet Explorer segítségével" - írja a Microsoft. "Az a támadó, aki sikeresen kihasználta a sérülékenységek közül a legsúlyosabbat, ugyanolyan felhasználói jogokat szerezhet, mint a jelenlegi felhasználó." Gyors emlékeztető: ezért érdemes egy szokásos vagy korlátozott fiókot használni a mindennapi tevékenységeihez.
De ezen a hosszú várakozással kapcsolatos javításon kívül egy második 0 napos biztonsági rés is van. Ezt a második felhasználást, a CVE-2013-3897-t, nyilvánvalóan a Microsofton belül fedezték fel. Állítólag a természetben is látta. Mindent összevetve, ez jó nap az IE számára.
Minden más
Noha a reflektorfény 080-ra világít, a frissítésben számos más ijesztő javítás is található. A listán következő következő javítás, az MS13-081, nagyon fontos. A Microsoft azt írja, hogy "egy támadó, aki sikeresen kihasználta ezeket a biztonsági réseket, teljes mértékben átveheti az érintett rendszer irányítását". Határozottan érdemes frissíteni.
Az MS13-083-at, amelyet a Rapid7 biztonsági mérnöki vezetője, Ross Barrett "igazán szórakoztatónak" neveztek, a biztonsági szakértők különböztetik meg. "Ez egy eredeti cikk; egy igazi, becsületes jósággal, potenciálisan" wormble "állapot" - írta Barrett. "Ha a" rossz fiúk "kitalál egy módszert annak kiaknázására, akkor gyorsan elterjedhet, és tesztelni fogják a szervezet mélyreható védelmét." Szerencsére ezt a hibát magántulajdonban jelentették be, és a természetben még nem figyelték meg.
"Fontos, hogy a rendszergazdák fontolgassák az MS13-083 telepítését még olyan szerverekre is, amelyek általában nem nyitják meg az RTF dokumentumokat" - mondta Craig Young, a Tripwire biztonsági kutatója, hivatkozva arra a fájlra, amelyet a biztonsági rés kihasználására használtak. "A mögöttes hiba a közös ellenőrzésen belül van, amelyet potenciálisan támadhatnak meg a rosszindulatúan kidolgozott RTF-dokumentumoktól eltérő eszközök útján is."
A kritikus frissítések között szerepeltek a Windows Kernel-Mode illesztőprogramok és a.NET-keretrendszer biztonsági rései, amelyek távoli kódfuttatást tehetnek lehetővé. További három javítást fontosnak ítéltünk meg, és távoli kódfuttatást is lehetővé tehetnek. Október utolsó javítása, az MS13-087, egy "információ-nyilvánosságra hozatal" kérdést javított a Silverlight-ban.
Tíz év és erős lesz
Mellékesen megjegyzem, hogy ez a frissítés a Microsoft Patch kedd tizedik évfordulóját jelöli. Egy blogbejegyzésben Wolfgang Kandek megjegyezte, hogy noha a program sikeres volt, a biztonsági és informatikai közösségek továbbra is alkalmazkodnak. "Akkoriban a sebezhetőségek egyértelműek voltak és érthetőek voltak, manapság valóban lenyűgöző az összetettség mértéke a felderítési és helyreállítási folyamatban." - írta. "Ugyanakkor a támadók az ügyféloldali sebezhetőségek felé fordultak, ez a változás csak részben asszimilálódott."
Itt van egy további tíz éves javítás!
Kép a Flickr felhasználói Christopher Sebela segítségével.
