Video: Ремонт пластиковых очков Chrome Hearts. (November 2024)
Microsoft dáva administrátorom prestávku s relatívne ľahkým vydaním Patch utorok v septembri. Spoločnosť opravila 42 chýb v štyroch bulletinoch týkajúcich sa programov Internet Explorer,.NET Framework, Windows Task Scheduler a Microsoft Lync.
Použite aktualizáciu programu Internet Explorer. Môže vás ochrániť pred útokmi v nulový deň.
Chatty IE Bug uzavretý
Spoločnosť Microsoft hodnotila iba jednu aktualizáciu - kumulatívnu opravu programu Internet Explorer (MS14-052) - ako „kritickú“. To znamená, že Microsoft vie, že chyby sú už napadnuté, alebo očakáva, že útočníci ich využijú do 30 dní. Nedostatky môžu tiež viesť k vzdialenému spusteniu kódu.
Microsoft opravil 37 zraniteľností v IE, vrátane 26 súkromne odhalených zraniteľností spôsobených poškodením pamäte z prehliadača Internet Explorer 6 až po najnovší prehliadač Internet Explorer 11. Microsoft tiež opravil chybu zverejnenia informácií, ktorá sa použila pri útokoch s nulovým dňom spojených s operáciou SnowMan. cyberespionage kampaň začiatkom tohto roka.
V tejto kampani útočníci vylúčili chybu zverejnenia informácií, aby zistili, či v napadnutom počítači bola spustená súprava nástrojov vylepšeného Mitigation Experience Toolkit (EMET) spoločnosti Microsoft a ďalšie bezpečnostné ochrany. EMET je bezplatná sada nástrojov od spoločnosti Microsoft s rôznymi technikami zmierňovania zneužitia, ktoré chránia pred bežnými zraniteľnými poškodeniami pamäte. Podniky môžu využívať EMET na dočasnú obranu proti útokom v nultý deň. Zraniteľnosť (CVE-2013-7331) v IE „umožňuje vzdialeným útočníkom určiť existenciu miestnych názvov ciest, zdieľaných názvov zdieľaných položiek UNC, intranetových názvov hostiteľov a intranetových IP adries skúmaním chybových kódov, “ uviedol Amol Sarwate, riaditeľ laboratórií zraniteľnosti v Qualys., Ak boli nástroje k dispozícii, útočníci útok ukončili.
„Táto oprava je pokusom spoločnosti Microsoft obmedziť schopnosť využívať súpravy, o ktorých sa zistilo, že používajú techniku zverejňovania informácií na zistenie, či bol nainštalovaný konkrétny bezpečnostný softvér, “ uviedol Craig Young, výskumný pracovník v oblasti bezpečnosti spoločnosti Tripwire.
Chyby týkajúce sa odmietnutia služby, Oh My
Zostávajúce bulletiny pre.NET, Windows Task Scheduler a Microsoft Lync sa zaoberali rôznymi chybami odmietnutia služby a boli hodnotené ako „dôležité“ alebo pravdepodobne nebudú mať za následok vzdialené vykonanie kódu. Aby útočník využil zraniteľnosť v oblasti eskalácie privilégií v Plánovači úloh (MS14-054), musí na vykonanie svojho kódu najprv potrebovať platné poverenia a miestny prístup k postihnutému systému. Tento problém sa vyskytuje v systéme Windows 8, Windows 8.1, Windows RT a Windows RT 8.1, ako aj Windows Server 2012 a Windows Server 2012 R2. Aktualizácia.NET Framework (MS14-053) ovplyvňuje väčšinu verzií.NET, ako aj ASP.NET inštalácií povolených v IIS. Chyba odmietnutia služby v serveroch Microsoft Lync Server 2010 a Lync Server 2013 by mohla útočníkom umožniť odosielať škodlivé požiadavky SIP na server Lync.
„Ak prevádzkujete ASP.NET alebo posielate žiadosti o stretnutie Lync tretím stranám, potom sú tieto aktualizácie obzvlášť dôležité pre vašu organizáciu, “ povedal Tyler Reguly, manažér bezpečnostného výskumu pre Tripwire. „V niektorých prípadoch ich možno dokonca považovať za kritické; odmietnutie služby nie je niečo, čo by sa malo brať na ľahkú váhu.“
Viac záplat na ceste
To, že tento mesiac je aktualizačný cyklus trochu svetla, ešte neznamená, že je čas byť spokojný. Spoločnosť Adobe aktualizovala aplikáciu Flash Player dnes ako súčasť svojho cyklu pravidelných aktualizácií, ale oneskorené opravy adresujúce kritické zraniteľné miesta v programoch Adobe Reader a Acrobat pre Windows aj OSX. Tieto náplasti budú dostupné niekedy budúci týždeň, uviedla spoločnosť. Náplasti boli oneskorené kvôli problémom zisteným počas testovania. Spoločnosť Adobe bližšie nešpecifikovala skutočné nedostatky, len aby ich označila za najvyššiu prioritu. Takže buďte v strehu!