Видео: Загрузка и установка СУБД ORACLE / Илья Хохлов (Ноябрь 2024)
Это трижды исправлений программного обеспечения, когда Microsoft, Adobe и Oracle выпускают обновления безопасности в один и тот же день.
Как и ожидалось, Microsoft начала 2014 год с довольно легкого релиза Patch Tuesday, в котором исправлено шесть не столь критичных уязвимостей в четырех бюллетенях по безопасности. В тот же день Adobe выпустила два критических обновления, исправляющих три критических ошибки удаленного выполнения кода в Adobe Reader, Acrobat и Flash. Причудливое планирование привело к тому, что ежеквартальное обновление критических исправлений Oracle также выпало в тот же вторник, что привело к огромному количеству исправлений для ИТ-администраторов. Oracle исправила 144 уязвимости в 40 продуктах, включая Java, MySQL, VirtualBox и его флагманскую базу данных Oracle.
«В то время как Microsoft выпускает только четыре обновления, ИТ-администраторам предстоит проделать много работы благодаря выпускам Adobe и Oracle», - сказал Вольфганг Кандек, технический директор Qualys.
Эксперты считают, что Java-патчи от Oracle должны иметь наивысший приоритет, за ними следуют рекомендации Adobe Reader и Flash, а затем обновления Microsoft Word и XP.
Oracle берет на Java
Даже принимая во внимание, что Oracle исправляет ежеквартально и исправляет больше продуктов, этот ЦП все еще является рекордсменом по количеству исправленных проблем. Из 144 недостатков безопасности 82 можно считать критическими, поскольку они могут использоваться удаленно без аутентификации.
Большинство уязвимостей, устраненных в гигантском процессоре Oracle, были в Java v7. Oracle исправил 34 ошибки удаленного выполнения, при этом несколько из них получили 10 баллов по шкале Common Vulnerability Scoring System. CVSS указывает на серьезность ошибки и вероятность того, что злоумышленник получит полный контроль над системой.
Java была одной из самых уязвимых программ в 2013 году, и эксперты предупредили, что она по-прежнему будет популярной целью. Если вы не используете его, удалите его. Если вам нужно установить Java, по крайней мере, отключите ее в веб-браузере, поскольку все атаки до сих пор атаковали браузер. Если вы обращаетесь к веб-приложениям, для которых требуется Java, оставьте его в другом веб-браузере, отличном от используемого по умолчанию, и при необходимости переключайтесь. Если вам это не нужно, не оставляйте это. Если вы сохраните его, исправьте немедленно.
Oracle также исправила пять недостатков безопасности в своей собственной базе данных Oracle, одну из которых можно использовать удаленно, и 18 уязвимостей в MySQL. Три из этих ошибок могли быть атакованы удаленно и имели максимальный балл CVSS 10. У серверного программного обеспечения Solaris было 11 недостатков, в том числе один, который можно было атаковать удаленно. Самая серьезная ошибка Solaris имела оценку CVSS 7, 2. Процессор решил девять проблем в Oracle Virtualization Software, которая включает в себя программное обеспечение виртуализации VirtualBox, четыре из которых могут быть запущены удаленно. Максимальный балл CVSS был 6, 2.
Если вы используете какой-либо из этих продуктов, важно немедленно обновить их. MySQL широко используется в качестве серверной системы для ряда популярных CMS и форумов, включая WordPress и phpBB.
Reader и Flash исправления
Adobe исправила проблемы с безопасностью в Adobe Flash, Acrobat и Reader, которые в случае их использования предоставили бы злоумышленникам полный контроль над целевой системой. Вектор атаки для ошибки Acrobat и Reader - вредоносный файл PDF. Ошибка Flash может быть использована при посещении вредоносных веб-страниц или открытии документов со встроенными объектами Flash.
Если для продуктов Adobe включены фоновые обновления, обновления должны быть без проблем. Пользователям Google Chrome и Internet Explorer 10 и 11 не придется беспокоиться о новой версии Flash, поскольку браузеры будут обновлять программное обеспечение автоматически.
Light Microsoft Update
Microsoft исправила уязвимость формата файла в Microsoft Word (MS14-001), которую можно использовать удаленно, если пользователь откроет файл Word с захваченной миной. Он затрагивает все версии Microsoft Word в Windows, включая Office 2003, 2007, 2010 и 2013, а также средства просмотра документов Word. На пользователей Mac OS X это не влияет.
Уязвимость нулевого дня (CVE-2013-5065), затрагивающая системы Windows XP и Server 2003, обнаруженная в дикой природе в ноябре прошлого года, наконец-то исправлена (MS14-002). Хотя ошибка повышения привилегий в NDProxy не может быть выполнена удаленно, она должна быть высокоприоритетной, поскольку она может сочетаться с другими уязвимостями. В ходе атак в ноябре использовался вредоносный PDF-документ, чтобы сначала вызвать ошибку в Adobe Reader (которая была исправлена в мае 2013 года в APSB13-15), чтобы получить доступ к ошибке ядра Windows. Microsoft исправила аналогичный недостаток повышения привилегий в Windows 7 и Server 2008 (MS14-003).
«Если вы беспокоитесь о 002, а не 003, у вас, скорее всего, будут проблемы в апреле, когда закончится поддержка Windows XP», - сказал Rapid7.
Сами по себе эти уязвимости не могут быть критическими, но в совокупности они могут быть гораздо более серьезными, предупреждает Trustwave. Если в кампании с использованием вредоносного документа Office выполняется код, нацеленный на ошибку повышения привилегий, «тогда фишинговым письмом ничего не подозревающему пользователю будет все, что необходимо», - сказали в команде.