Видео: Маша и Медведь (Masha and The Bear) - первые серии - Сборник мультиков (Октября 2024)
Сегодня днем Microsoft выпустила восемь бюллетеней безопасности, посвященных 23 уязвимостям в ряде сервисов, включая Windows, Internet Explorer и Exchange. Из них три имели самый высокий рейтинг критических, а остальные отмечены как важные.
Для пользователей, которые хотят расставить приоритеты для своих исправлений, Microsoft рекомендует сосредоточиться на MS13-059 и MS13-060. Тем не менее, вы должны исправить все, как только вы сможете это сделать.
Шрифтовые атаки и уязвимости IE
Bulletin 059 - это накопительное обновление для системы безопасности Internet Explorer, которое охватывает 11 обнаруженных пользователями уязвимостей. «Наиболее серьезные уязвимости делают возможным удаленное выполнение кода, если пользователь просматривает специально созданную веб-страницу с помощью Internet Explorer», - пишет Microsoft. «Злоумышленник, успешно воспользовавшийся наиболее серьезной из этих уязвимостей, может получить те же права, что и текущий пользователь».
Марк Майффре, технический директор BeyondTrust, объясняет: «В одиночку эта уязвимость не позволяет выполнять код, а вместо этого может быть объединена с другой уязвимостью, чтобы получить выполнение кода с правами пользователя».
Обновление IE также примечательно включением исправления уязвимости, используемой VUPEN Security на конкурсе pwn2own 2013 года. Видеть? Все это соревнование окупается.
Бюллетень 060 относится к уязвимости в Unicode Script Processor, в основном позволяющей злоумышленникам использовать рендеринг шрифтов в качестве вектора атаки. Мы видели аналогичные проблемы в обновлении Patch Tuesday за последний месяц.
Технический директор Qualys Вольфганг Кандек объяснил SecurityWatch, что «шрифты отрисовываются на уровне ядра, так что если вы можете каким-то образом повлиять на прорисовку шрифтов и переполнить их». Это, сказал Кандек, даст злоумышленнику контроль над компьютером жертвы.
Хотя эта уязвимость ограничена шрифтом Bangali в Windows XP, она особенно сбивает с толку из-за множества различных способов атаки, которые она предоставляет. «Это очень заманчивый вектор атаки», - говорит Амол Сарват, директор Qualys Vulnerability Labs. Все, что нужно сделать злоумышленнику, - это направить жертву на документ, электронную почту или вредоносную веб-страницу, чтобы воспользоваться этой уязвимостью.
Уязвимость критического обмена
Третий критический бюллетень касается удаленного выполнения кода на серверах Microsoft Exchange. Кандек сказал SecurityWatch, что злоумышленник может использовать эти три уязвимости с помощью специально созданного файла PDF, который при просмотре, а не загрузке, будет атаковать почтовый сервер жертвы.
Ранее эти уязвимости были раскрыты Oracle, который создает уязвимый компонент. К счастью, в дикой природе еще не было обнаружено никаких казней, но подобные проблемы неоднократно исправлялись в прошлом. Maiffret пишет, что две из этих уязвимостей "присутствуют в функции веб-просмотра документов, которую мы неоднократно исправляли за последний год (MS12-058, MS12-080 и MS13-012). Oracle продолжает предоставлять Microsoft и Exchange постоянный черный глаз."
Кандек отмечает, что «было очень легко найти уязвимости в этом программном компоненте», и что пользователям следует рассмотреть возможность отключения этой функции в дополнение к исправлению программного обеспечения. Это заставит пользователей загружать почтовые вложения для их просмотра, что может быть небольшой платой за безопасность.
В списке исправлений этого месяца есть еще несколько положительных моментов, в том числе уязвимость IPv6, а также некоторое повышение привилегий, отказ в обслуживании и раскрытие информации. Пока все доберутся до исправления, мы подготовимся к следующему месяцу исправления ошибок.
