Domov Securitywatch Spoločnosť Microsoft rozdrví v utorok 47 chýb

Spoločnosť Microsoft rozdrví v utorok 47 chýb

Video: Компьютер из телефона? Microsoft творит Continuum... (November 2024)

Video: Компьютер из телефона? Microsoft творит Continuum... (November 2024)
Anonim

Včera spoločnosť Microsoft vydala 13 bezpečnostných bulletinov pokrývajúcich približne 47 chýb v utorok o niečo väčší ako obvykle. Spomedzi nich boli štyri uvedené ako kritické a ostatné označené ako dôležité. Pripravte sa na aktualizáciu!

Je zaujímavé, že štrnásta aktualizácia týkajúca sa problému odmietnutia služby v.NET bola oznámená minulý týždeň, ale bola pozastavená na ďalšie testovanie. Možno by sa Microsoft chcel vyhnúť určitému zmätku z minulého mesiaca, ktorý sa vyskytol v utorok, keď po vydaní musela byť stiahnutá jedna aktualizácia.

Internet Explorer a sociálne inžinierstvo

Spoločnosť Microsoft riešila desať slabých miest kumulatívnou aktualizáciou programu Internet Explorer, ktorá ovplyvnila verzie šesť až 10. To znamená, že tieto zmeny sa dotknú takmer každého, čo je najlepšie, pretože niektoré z týchto chýb umožnili vzdialené vykonanie kódu.

„Najzávažnejšie zraniteľné miesta by mohli umožniť spustenie kódu na diaľku, ak si používateľ prezerá špeciálne vytvorenú webovú stránku pomocou programu Internet Explorer, “ napísal Microsoft. „Útočník, ktorý úspešne zneužil najzávažnejšie z týchto zraniteľností, by mohol získať rovnaké používateľské práva ako súčasný používateľ.“ Toto je ďalší skvelý argument pre to, že nikdy nepoužívate účet s administrátorskými oprávneniami na každodennú prácu.

Programy Microsoft Word a Excel uvidia aktualizácie týkajúce sa zraniteľnosti formátu súboru, v ktorých by sa na vykonávanie kódu v počítači obete mohol použiť špeciálne vytvorený súbor balíka Office. „Microsoft považuje tieto zraniteľné miesta iba za„ dôležité “, pretože si vyžadujú cieľ spolupráce, “ píše Wolfgang Kandek z Qualy. „Útočníci však znova a znova dokázali, že majú techniky sociálneho inžinierstva potrebné na ľahké prekonanie tejto prekážky.“

V skutočnosti správy, ktoré sme videli, zaradili sociálne inžinierstvo medzi hlavné hrozby pre používateľov, ako aj poškodené súbory, ako sú súbory adresované v týchto aktualizáciách balíka Office. Tieto súbory sú neuveriteľne nebezpečné, pretože vyzerajú legitímne, a videli sme, ako boli zvyknuté pri pokročilých útokoch na pretrvávajúce hrozby.

Outlook a ďalšie

Tento mesiac boli opravené aj populárne verzie programu Microsoft Outlook 2007 a 2010, ktoré opravujú obzvlášť nepríjemnú zraniteľnosť. „Útočník môže využiť algoritmus analýzy certifikátov podpísaním e-mailu a vložením viac ako 256 certifikátov do podpisu, “ vysvetlil Kandek. „Útok spôsobí pretečenie vyrovnávacej pamäte, aj keď je zobrazené iba v podokne náhľadu programu Outlook.“

Aj keď spoločnosť Microsoft tvrdí, že výhľadový útok je ťažké vytiahnuť, je nebezpečný, pretože obeť nemusí urobiť nič, aby útok uspel.

Okrem toho spoločnosť Microsoft vydala kritické opravy pre Sharepoint 2003, 2007, 2010 a 2013, ako aj pre Microsoft Visio. Opravy označené ako dôležité OLE, tematické súbory Windows, Microsoft Access, čínština Office IME, ovládače jadra režimu, správca riadenia služieb Windows, FrontPage a Active Directory.

Obrázok prostredníctvom používateľa Flickr Dan Dickinson

Spoločnosť Microsoft rozdrví v utorok 47 chýb