Видео: The Windows 10 Sandbox VM (Ноябрь 2024)
Microsoft объявила о выпуске восьми бюллетеней для ноябрьского выпуска Patch Tuesday, в которых рассматриваются 19 уникальных уязвимостей в программном обеспечении Microsoft, включая Internet Explorer, Hyper-V, интерфейс графических устройств (GDI), Office и другие. Уязвимость нулевого дня в Internet Explorer, обнаруженная FireEye на выходных, также была исправлена.
Из рекомендаций три наиболее важных исправления - это исправление Interent Explorer (MS13-088), GDI (MS13-089) и недостаток нулевого дня в элементе управления ActiveX, который затронул несколько версий Internet Explorer (MS13-090), безопасность эксперты сказали.
«Бюллетень MS13-090 посвящен общеизвестной проблеме ActiveX Control, которая в настоящее время подвергается целевым атакам. Клиенты с включенными автоматическими обновлениями защищены от этой уязвимости и не должны предпринимать никаких действий», - сказал Дастин Чайлдс, руководитель группы Microsoft Trustworthy Computing.,
Статус нулевых дней
Команда безопасности Microsoft была занята несколько дней. На прошлой неделе охранная компания FireEye уведомила Microsoft о серьезных уязвимостях в Internet Explorer, но, похоже, команда уже знала о них, поскольку исправление элемента управления ActiveX (MS13-090) устраняет недостаток InformationCardSignInHelper. Злоумышленники уже нацелены на ошибку в атаке типа «водопой», и код эксплойта появился сегодня на сайте для обмена текстами Pastebin, что делает эту проблему высокоприоритетной.
«Чрезвычайно важно развернуть этот патч как можно скорее», - сказал Марк Майффрет, технический директор BeyondTrust.
Microsoft также раскрыла уязвимость нулевого дня в том, как некоторые версии Microsoft Windows и более старые версии Microsoft Office обрабатывали графический формат TIFF. В этом выпуске Patch Tuesday нет доступных исправлений для устранения этой уязвимости, поэтому пользователям, которые еще не установили временное временное решение FixIt, следует рассмотреть возможность сделать это как можно скорее.
«Системы риска и дорогостоящие системы уже должны иметь меры по снижению риска», - сказал Росс Барретт, старший менеджер по проектированию безопасности в Rapid7.
Патчи с высоким приоритетом
Другое исправление IE (MS13-088) исправило две ошибки раскрытия информации и восемь проблем с повреждением памяти в различных версиях веб-браузера. Две из этих уязвимостей затрагивают каждую версию IE, начиная с версий 6–11 и до последней версии. Хотя об атаках, использующих эти уязвимости, пока не сообщалось, тот факт, что уязвимыми являются многие версии Windows и Internet Explorer, означает, что этот патч следует развернуть как можно скорее.
Злоумышленники могут использовать эти недостатки, создав вредоносную веб-страницу и убедив пользователей просмотреть страницу, чтобы инициировать атаку по принципу «загрузка с диска», сказал Майффрет.
Третий бюллетень с наивысшим приоритетом (MS13-089) исправляет ошибку GDI, которая затрагивает каждую поддерживаемую версию Windows от XP до Windows 8.1. Так как злоумышленникам необходимо создать вредоносный файл и убедить пользователей открыть его в WordPad, чтобы использовать эту уязвимость, это не простой сценарий поиска и владения, предупредил Майффрет. Тем не менее, он «по-прежнему мощный, потому что он влияет на каждую версию поддерживаемой Windows», сказал он.
Злоумышленник получит тот же уровень привилегий, что и работающее приложение, использующее интерфейс GDI.
Простые патчи
Несколько экспертов назвали «исправление вторника» этого месяца «простым», потому что исправления касались Windows, Internet Explorer и некоторых компонентов Office. По словам Барретта, «не было ничего сложного или сложного для исправления», таких как плагины SharePoint или платформа.NET. Остальные исправления устраняют уязвимости в различных версиях Microsoft Office (MS13-091), уязвимость раскрытия информации в более новых версиях Office (MS13-094), недостаток привилегий в Hyper-V (MS13-092) в Windows 8 и Server 2012 R2, ошибка раскрытия информации в Windows (MS13-093) и проблема отказа в обслуживании (MS13-095) в операционной системе.
«В целом, хотя это второстепенный патч вторника среднего размера, обратите особое внимание на два 0-дневных дня и обновление Internet Explorer. Браузеры продолжают оставаться любимой целью для злоумышленников, и Internet Explorer, с его лидирующей долей на рынке, является одним из из наиболее видимых и вероятных целей ", сказал Вольфганг Кандек, технический директор Qualys.