Видео: Ethical Hacking: IE Zero Day Exploit (Ноябрь 2024)
Корпорация Майкрософт выпустила пять исправлений, два из которых были оценены как «Критические», а три - «Важные», - исправив 23 уязвимости в Internet Explorer, Microsoft Windows и Silverlight в рамках мартовского обновления «Патч во вторник». Обновление IE также закрыло уязвимость нулевого дня, которую злоумышленники эксплуатируют с февраля.
В прошлом месяце злоумышленники использовали критическую уязвимость нулевого дня (CVE-2014-0322) в Internet Explorer 10 в рамках операции «SnowMan», которая скомпрометировала веб-сайт, принадлежащий американским ветеранам иностранных войн, а также в другой атаке, выдававшей себя за француза авиакосмический производитель. Исправление IE (MS14-022) закрывает этот недостаток, а также 17 других, в том числе тот, который использовался в ограниченных целевых атаках на Internet Explorer 8 (CVE-2014-0324), Дастин Чайлдс, руководитель группы в Microsoft Trustworthy Computing написал в блоге Microsoft Security Response Center.
«Очевидно, что обновление IE должно быть вашим наивысшим приоритетом», - сказал Чайлдс.
Проблемы с Silverlight
Другой критический патч исправляет критический недостаток удаленного выполнения кода в DirectShow и затрагивает несколько версий Windows. Уязвимость заключается в том, что DirectShow анализирует изображения JPEG, что делает вероятным, что атаки, использующие этот недостаток, будут вставлять вредоносные изображения в скомпрометированные веб-страницы или встраиваться в документы, сказал Марк Майффре, технический директор BeyondTrust. Стоит отметить, что пользователи, работающие с правами без прав администратора, будут меньше подвержены этим атакам, поскольку злоумышленник будет ограничен в ущербе, который он может причинить.
Обход функции безопасности в Silverlight оценивается как «важный», но также должен иметь достаточно высокий приоритет. По словам Microsoft, злоумышленники могут воспользоваться этой уязвимостью, направляя пользователей на вредоносный сайт, содержащий специально созданный контент Silverlight. Что опасно, так это то, что злоумышленники могут обойти ASLR и DEP, две технологии снижения уязвимости, встроенные в Windows благодаря использованию этой уязвимости, предупредил Майффрет. Злоумышленнику потребуется вторичный эксплойт для достижения удаленного выполнения кода после обхода ASLR и DEP для получения контроля над системой, такой как ошибка обхода ASLR, исправленная в декабре (MS13-106). Хотя в настоящее время нет никаких атак, использующих этот недостаток, пользователи должны блокировать запуск Silverlight в Internet Explorer, Firefox и Chrome до тех пор, пока не будет применено исправление, сказал Майффрет. Также важно убедиться, что более старые исправления также были развернуты.
Microsoft должна отказаться от Silverlight, поскольку «она видит много исправлений, учитывая его ограниченное применение», предположил Тайлер Регули. Поскольку Microsoft продолжит поддерживать его как минимум до 2021 года, организации должны начать переходить от Silverlight, чтобы «мы все могли удалить Silverlight и эффективно повысить безопасность систем конечных пользователей», добавил он.
Оставшиеся исправления Microsoft
Еще один патч, который следует применять раньше, чем позже, - это исправление пары уязвимостей повышения привилегий для драйвера режима ядра Windows (MS14-014), поскольку оно затрагивает все поддерживаемые версии Windows (в этом месяце эта версия все еще включает Windows XP). Чтобы использовать этот недостаток, злоумышленник «должен иметь действительные учетные данные для входа и иметь возможность локального входа в систему», предупреждает Microsoft.
Последний патч устраняет проблемы в протоколе удаленного управления учетными записями безопасности (SAMR), который позволяет злоумышленникам перебирать учетные записи Active Directory и не блокировать их. Патч исправляет этот вызов API, так что Windows правильно блокирует учетные записи в случае атаки. «Политики блокировки попыток ввода пароля созданы специально для того, чтобы предотвратить попытки перебора и позволить злонамеренному злоумышленнику обойти политику, полностью разрушив защиту, которую она обеспечивает», - сказал Регули.
Другие обновления программного обеспечения
Это неделя обновления операционной системы. Ранее на этой неделе Apple выпустила iOS 7.1, а Adobe обновила свой Adobe Flash Player (APSB14-08), чтобы сегодня закрыть две уязвимости. По словам Adobe, эти проблемы в настоящее время не используются.
Apple исправила некоторые существенные проблемы в iOS 7, включая проблему с отчетами о сбоях, которая могла позволить локальному пользователю изменять разрешения для произвольных файлов на уязвимых устройствах, проблема с ядром, которая могла привести к неожиданному завершению работы системы или выполнению произвольного кода в ядре. и ошибка, которая позволяла неавторизованному пользователю обходить требования подписи кода на уязвимых устройствах. Apple также исправила ошибку, которая позволяла злоумышленнику побудить пользователя загрузить вредоносное приложение через загрузку корпоративного приложения, а другая - злонамеренно созданный файл резервной копии, чтобы изменить файловую систему iOS.