Video: Microsoft Edge with Internet Explorer Mode - PRE09 (November 2024)
Spoločnosť Microsoft opravila 33 zraniteľností v desiatich bulletinoch v prehliadačoch Internet Explorer, Office, Windows,.NET Framework a Lync ako súčasť svojho vydania v májovom vydaní opráv.
Z desiatich sú iba dve bulletiny hodnotené ako „kritické“, čo je najvyššie hodnotenie závažnosti, uviedol Microsoft vo svojom informačnom oznámení o utorok v utorok. Zostávajúce záplaty sú hodnotené ako „dôležité“, čo zvyčajne znamená, že útočníci by nemohli chybu využiť bez účasti používateľa.
„Zatiaľ čo 10 záplat týkajúcich sa 33 zraniteľností sa môže javiť ako veľké množstvo, pre IT to nie sú všetko zlé správy, “ povedal Paul Henry, analytik bezpečnosti a forenznej analýzy spoločnosti Lumension.
Opravy pre program Internet Explorer
Obe kritické opravy sú určené pre program Internet Explorer. Veľkou otázkou pre tento mesiac v utorok Patch bolo, či spoločnosť Microsoft opraví nedávno nahlásený nulový deň v programe Internet Explorer 8. Spoločnosť Microsoft minulý týždeň vydala dočasné riešenie a dnes nasledovala úplná oprava (MS13-038).
„Je úľavou vidieť, že Microsoft to riešil tak rýchlo, pretože sa aktívne využíva, “ uviedol Henry.
Druhá oprava IE (MS13-037) je kumulatívna aktualizácia pre verzie IE 6, 7, 8, 9 a 10 a uzatvára 11 rôznych zraniteľností vrátane zraniteľností hlásených počas súťaže Pwn2Own v marci.
„Na jednej strane je to spoločnosť Microsoft v ich najlepšej bezpečnostnej oblasti, “ povedal Ross Barrett, vedúci bezpečnostného inžinierstva v Rapid7, spoločnosti SecurityWatch . Spoločnosť okamžite zareagovala na vydanie verejného poradného upozornenia na tento problém, vytlačila dočasné riešenie a potom chybu uzavrela v rámci plánovanej aktualizácie, a to všetko do 11 dní.
Na druhej strane skutočnosť, že spoločnosť Microsoft vydáva kritické opravy programu Internet Explorer prakticky každý mesiac, zdôrazňuje, čo je zlé na tom, ako spoločnosť Microsoft zaobchádza s opravami a starším softvérom, uviedol Barrett. Na rozdiel od toho sa prehliadač Chrome spoločnosti Google aktualizuje automaticky, keď budú k dispozícii opravy. Neexistuje žiadna staršia verzia prehliadača, ktorá by sa obávala. Microsoft spája prostriedky na udržiavanie starších verzií a vystavovanie používateľov riziku, uviedol Barrett.
Ostatné bulletiny, ktoré treba poznamenať
Druhý pozoruhodný bulletin sa týka stavu odmietnutia služby ovplyvňujúceho klienta HTTP a server HTTP v systéme Windows (MS13-039). Tento problém sa týka iba novších verzií systému Windows, najmä systému Windows Server 2012. Útoky využívajúce túto zraniteľnosť môžu byť „potenciálne veľmi rušivé“, pretože mnoho vzdialených služieb a integrácií služby Active Directory sa spolieha na http.sys, uviedol Barrett.
„Všetky bezpečnostné tímy IT by na to mali rýchlo skočiť, pretože je pravdepodobné, že sa využije veľmi rýchlo. Úspešné využitie by mohlo spôsobiť DoS na postihnutých serveroch a spôsobiť dočasné výpadky, “ povedal Lamar Bailey, riaditeľ bezpečnostného výskumu a vývoja v Tripwire.
Spoločnosť Microsoft riešila slabé miesta v rôznych produktoch balíka Office, ako sú chyby pri vykonávaní vzdialeného kódu v aplikácii Microsoft Lync - predtým Communicator - (MS13-041) a 11 problémov s poškodením pamäte v aplikácii Publisher (MS13-042) a chyby v programoch Microsoft Word a Excel (MS13- 042). Zraniteľnosť Lync sa dá zneužiť, iba ak dvaja používatelia v relácii Lync zdieľajú škodlivý obsah. „Dúfajme, že nikto z vašich používateľov nemá rozhovory s Lync s niekým, kto sa pokúša zaútočiť na vaše systémy. V takom prípade by ste mali byť v poriadku, “ povedal Henry.
Chyba zabezpečenia spoofingu a obchádzka autentifikácie v rozhraní.NET (MS13-040) neovplyvňujú predvolenú konfiguráciu. Ďalšie bulletiny sa týkali zraniteľností pri zverejňovaní informácií v systéme Windows Essentials 2012 (MS13-045). Spoločnosť Microsoft tiež opravila tri lokálne zvýšenie nedostatkov oprávnení v ovládačoch režimu jadra systému Windows (MS13-046). Najzávažnejšie chyby ovplyvňujú systém Windows XP a umožňujú útočníkom spúšťať procesy vo zvýšenom kontexte.
„Nezabudnite čo najskôr prepojiť program Internet Explorer (MS13-037 a MS13-038) spolu s MS13-039 na webových serveroch orientovaných na internet, po ktorých nasledujú zvyšky opráv, “ uviedol Marc Maiffret, CTO spoločnosti BeyondTrust.