Видео: What's new with Microsoft 365 | October 2020 (Ноябрь 2024)
Microsoft выпустила семь бюллетеней, исправляющих 34 уникальных ошибки в.NET Framework, ядре Windows и Internet Explorer в рамках июльского патча во вторник. Существует также новая 180-дневная политика для рынка Microsoft в отношении приложений с ошибками безопасности.
Из семи бюллетеней шесть оценены как критические, а один - как важный, говорится в сообщении Microsoft, опубликованном вчера во второй половине дня. Microsoft рекомендовала сначала установить бюллетень IE (MS13-055), а затем один из бюллетеней для драйверов режима ядра Windows (MS13-053). Остальные бюллетени TrueType и Windows были в следующей приоритетной группе, за которой последовал единственный «важный» патч.
«Все в основном мире Microsoft зависит от одного или нескольких из них: от каждой поддерживаемой ОС, каждой версии MS Office, Lync, Silverlight, Visual Studio и.NET», - сказал Росс Барретт, старший менеджер по разработке безопасности в Rapid7.
Windows 8.1 Preview и IE 11 не подвержены влиянию этих бюллетеней.
Гадкий, Гадкий Шрифты
Три отдельных бюллетеня (MS13-052, MS13-053 и MS13-054) исправили уязвимость шрифтов TrueType в.NET. Эта ошибка шрифта TrueType аналогична той, что эксплуатировались Stuxnet и Duqu, за исключением того факта, что она присутствует в.NET, а не в ядре Windows, сказал Марк Майффрет, технический директор BeyondTrust.
MS13-054 исправил уязвимость TrueType в GDI +, компоненте ядра Windows. Недостаток затрагивает несколько продуктов, включая все поддерживаемые версии Windows, Office 2003/2007/2010, Visual Studio.NET 2003 и Lync 2010/2013. Maiffret предсказал, что этот недостаток будет использован злоумышленниками в ближайшем будущем, потому что многие продукты используют GDI +.
«MS13-053 - худший из группы», - сказал Томми Чин, инженер технической поддержки CORE Security, добавив, что «это удаленное выполнение кода и повышение привилегий в одном». Злоумышленники могут спроектировать потенциальных жертв для просмотра специально созданного файла со вредоносным содержимым TrueType. В случае успеха злоумышленник получает доступ администратора к уязвимой системе, сказал Чин.
В этом бюллетене также исправлена уязвимость нулевого дня в ядре Windows, обнаруженная исследователем безопасности Тависом Орманди. Учитывая, что эксплойты для этой уязвимости уже включены в общедоступные структуры, такие как Metasploit, это должно быть высоким приоритетом
Internet Explorer
Масштабное обновление Internet Explorer устраняет 17 недостатков, из которых 16 - это уязвимости, приводящие к повреждению памяти, и одна ошибка, связанная с межсайтовым скриптингом. Недостатки повреждения памяти могут быть использованы при атаках типа «машина за рулем», когда злоумышленники создают вредоносные веб-страницы и используют тактику социальной инженерии для привлечения пользователей к вредоносным страницам. В последние несколько патчей-вторников в Internet Explorer было много ошибок, связанных с повреждением памяти, отметил Майффрет, добавив: «Крайне важно, чтобы этот патч был выпущен как можно скорее».
Изменение политики Microsoft Marketplace
Microsoft также объявила об изменении политики, связанной с рынком Microsoft. В соответствии с новой политикой любому приложению в любом из четырех магазинов приложений, работающих под управлением Microsoft (Windows Store, Windows Phone Store, Office Store и Azure Marketplace), будет предоставлено 180 дней для решения проблем безопасности. Временная шкала применяется к уязвимостям, которые оценены как критические или важные и не подвергаются атакам.
По словам Microsoft, если оно не будет исправлено в течение этого периода, приложение будет удалено из магазина. Политика распространяется на приложения как сторонних разработчиков, так и Microsoft.
«Microsoft делает большой шаг к минимизации уязвимых приложений в их различных магазинах приложений», - сказал Крейг Янг, исследователь безопасности из Tripwire.
Тем не менее, стоит отметить, что 180 дней - это длительное время, поэтому маловероятно, что Microsoft когда-либо завершит работу над приложением. Разработчик, скорее всего, не потратит более шести месяцев на исправление критической уязвимости, и если обновление займет больше времени, чем ожидалось, Microsoft готова сделать исключения.
Учитывая это, новая политика звучит как способ Microsoft звучать жестко, не оказывая негативного влияния на разработчиков.
Больше впереди
Это будет напряженный месяц для администраторов. Adobe выпустила свои собственные обновления, а Oracle выпустит ежеквартальное обновление всего своего программного обеспечения, кроме Java, на следующей неделе.