Video: Internet Explorer где скачать и как установить в 2018 году? (November 2024)
Spoločnosť Microsoft opravila 37 zraniteľností v prehliadači Internet Explorer a podporovaných verziách systému Windows v rámci vydania augustovej opravy v utorok.
Podľa informácií Microsoftu bolo v auguste vydaných deväť bezpečnostných bulletinov, z ktorých dva boli vyhodnotené ako kritické. Kumulatívna aktualizácia pre všetky podporované verzie prehliadača Internet Explorer opravila 26 chýb vrátane tej, ktorá bola zverejnená na portáli Black Hat, a mala by sa považovať za najvyššiu prioritu. Z 26 z nich sa už vo voľnej prírode zneužívala chyba zvyšovania privilégií, uviedol Microsoft. Chyba odhalená v Black Hat je tiež chybou s eskaláciou privilégií a mohla by útočníkovi umožniť obísť karanténu aplikácie.
„Táto neustála zmena kritických zraniteľností v programe Internet Explorer je ďalšou pripomienkou dôležitosti implementácie najmenších privilégií, aby sme sa ubezpečili, že ak bude užívateľ zneužitý jednou z týchto zraniteľností, útočníkovi nebudú jednoducho pridelené práva správcu, “ uviedol Marc Maiffret, CTO spoločnosti BeyondTrust.
Je tiež dôležité si uvedomiť, že mnohé z týchto problémov sú pravdepodobne prítomné v prehliadači Internet Explorer v systéme Windows XP a boli by napravené, keby spoločnosť Microsoft naďalej podporovala starý operačný systém, uviedla Ross Barrett, senior manažér bezpečnostného inžinierstva v Rapid7.
Ľudia stále používajú aplikáciu Windows Media Center?
Druhá kritická aktualizácia mesiaca opravila jednu chybu v aplikácii Windows Media Center, ale týka sa iba vydania Professional / Ultimate / Enterprise pre systémy Windows 7 a 8 / 8.1 a balíka Media Center TV Pack pre systém Windows Vista. Úspešné využitie by vyžadovalo, aby užívateľ otvoril špeciálne vytvorený súbor balíka Microsoft Office, ktorý vyvoláva prostriedky aplikácie Windows Media Center, a vyústil do vzdialeného vykonávania kódu. Útočník by získal rovnaké privilégiá ako užívateľ.
„Nejde o skutočne vzdialený útok, ale o ďalší útok, pri ktorom musí byť užívateľ prinútený otvoriť otvorený škodlivý súbor, “ uviedol Barrett.
Problémy na serveri SQL Server
Oprava servera SQL Server opravila problém, ktorý, ak sa využije, by mohol mať za následok odmietnutie služby vo všetkých verziách podpory. Zvýšenie chyby privilégií nie je hodnotené ako kritické, pretože vyžaduje určitú mieru autentifikácie, aby sa využilo, „ale vzhľadom na to, že k tomu môže dôjsť za akýchkoľvek okolností, bude to bezpochyby dôležitý problém pre správcov, ktorý treba riešiť, “ uviedol Barrett.,
Chyba pri skriptovaní medzi servermi v oprave SQL Server sa dá využiť „na vykonanie akejkoľvek akcie, ktorú by mohol užívateľ vykonať na webe v mene cieľového používateľa, “ uviedol Maiffret. Tomuto útoku môže zabrániť filter XSS v prehliadači Internet Explorer verzie 8 až 11, takže používatelia by mali povoliť filter v zónach Internet aj Intranet.
Čas na odstránenie správcovských práv
Zvyšných sedem bulletinov opravilo problémy v rôznych ďalších technológiách spoločnosti Microsoft vrátane ovládačov v režime jadra,.NET Framework, OneNote, Windows Installer a SharePoint. Väčšina z nich je vyvýšením privilegovaných nedostatkov.
Zvýšenie zraniteľnosti privilégií je možné zmierniť znížením úrovne privilégií prihláseného používateľa na najnižšiu možnú úroveň privilégií, uviedol Chris Goettl, produktový manažér spoločnosti Shavlik. „Mnoho IT organizácií sa snaží zmenšiť oprávnenia pre používateľov a zároveň im umožniť efektívnu prácu, “ aktualizácie z tohto mesiaca však ukazujú, prečo by správcovia mali oprávnenie podľa možnosti zablokovať, povedal Goettl.