Дом Securitywatch Гигантский интернет-патч во вторник патч вторник

Гигантский интернет-патч во вторник патч вторник

Видео: The End of Internet Explorer (Ноябрь 2024)

Видео: The End of Internet Explorer (Ноябрь 2024)
Anonim

Microsoft исправила 37 уязвимостей в Internet Explorer и в поддерживаемых версиях Windows в рамках своего выпуска August Patch вторник.

В августе было выпущено девять бюллетеней по безопасности, два из которых были оценены как критические, согласно рекомендациям Microsoft. Накопительное обновление для всех поддерживаемых версий Internet Explorer исправило 26 ошибок, включая одну, которая была публично раскрыта в Black Hat, и должна рассматриваться как наивысший приоритет. Microsoft сообщила, что из 26 ошибка повышения привилегий уже использовалась в дикой природе. Ошибка, обнаруженная в Black Hat, также является ошибкой повышения привилегий и может позволить злоумышленнику обойти изолированную программную среду приложения.

«Это постоянное множество критических уязвимостей Internet Explorer является еще одним напоминанием о важности реализации наименьших привилегий, чтобы гарантировать, что если пользователь использует одну из этих уязвимостей, злоумышленнику не будут просто предоставлены права администратора», - сказал Марк Майффре, Технический директор BeyondTrust.

Также важно помнить, что многие из этих проблем, вероятно, присутствуют в Internet Explorer на Windows XP и были бы исправлены, если бы Microsoft все еще поддерживала старую операционную систему, сказал Росс Барретт, старший менеджер по разработке безопасности в Rapid7.

Люди все еще используют Windows Media Center?

Второе критическое обновление месяца исправило один недостаток в Windows Media Center, но оно касается только выпусков Professional / Ultimate / Enterprise для Windows 7 и 8 / 8.1 и «Media Center TV Pack» для Windows Vista. Для успешного использования потребуется, чтобы пользователь открыл специально созданный файл Microsoft Office, который вызывает ресурсы Windows Media Center и приводит к удаленному выполнению кода. Злоумышленник получит те же привилегии, что и пользователь.

«Это не настоящий удаленный доступ, а скорее еще одна атака, при которой пользователь должен принудительно открыть вредоносный файл», - сказал Барретт.

Проблемы в SQL Server

Исправление SQL Server исправило проблему, которая, в случае использования, могла привести к отказу в обслуживании во всех версиях поддержки. Ошибка повышения привилегий не оценивается как критическая, потому что для ее использования требуется определенная степень аутентификации, «но, учитывая вероятность того, что это произойдет при любых обстоятельствах, это, без сомнения, будет важной проблемой для администраторов», - сказал Барретт.,

Ошибка в межсайтовом скриптинге в патче SQL Server может быть использована «для выполнения любых действий, которые пользователь может выполнить на сайте от имени целевого пользователя», - сказал Майффрет. Фильтр XSS в версиях Internet Explorer с 8 по 11 может предотвратить эту атаку, поэтому пользователям следует включить фильтр как в Интернете, так и в зонах интрасети.

Время удалять права администратора

В остальных семи бюллетенях исправлены проблемы с другими технологиями Microsoft, включая драйверы режима ядра,.NET Framework, OneNote, Windows Installer и SharePoint. Большинство из них - недостатки привилегий.

По словам Криса Геттла (Chris Goettl), менеджера по продукту в Shavlik, уязвимости, приводящие к несанкционированному получению прав, можно уменьшить, снизив уровень привилегий вошедшего в систему пользователя до минимально возможного. «Многие ИТ-организации пытаются снизить привилегии для пользователей, в то же время позволяя им эффективно работать», но обновления этого месяца показывают, почему администраторы должны блокировать привилегии, где это возможно, сказал Геттл.

Гигантский интернет-патч во вторник патч вторник