Video: IE Zero Day Emergency Patch, Windows Sandbox, New ThinScale Product & More | Dec 20th 2018 (November 2024)
Spoločnosť Microsoft vydala päť záplat - dve hodnotené ako „kritické“ a tri ako „dôležité“ - opravujúce 23 zraniteľností v prehliadačoch Internet Explorer, Microsoft Windows a Silverlight v rámci marcovej aktualizácie opráv v utorok. Oprava IE tiež uzavrela, že útočníci zraniteľností v nulovej dobe, ktorí zneužívajú od februára, zneužívajú.
Útočníci využili kritickú zraniteľnosť v nultý deň (CVE-2014-0322) v programe Internet Explorer 10 minulý mesiac ako súčasť operácie SnowMan, ktorá ohrozila webovú stránku amerických veteránov zahraničných vojen, ako aj pri inom útoku, ktorým sa vydáva za francúzštinu letecký výrobca. Oprava IE (MS14-022) túto chybu uzavrie, ako aj ďalších 17, vrátane tej, ktorá sa použila pri obmedzených cielených útokoch proti programu Internet Explorer 8 (CVE-2014-0324), Dustin Childs, manažér skupiny v spoločnosti Microsoft Trustworthy Computing, napísané na blogu Centra zabezpečenia spoločnosti Microsoft.
„Aktualizácia IE by samozrejme mala byť vašou najvyššou prioritou, “ povedal Childs.
Problémy so Silverlight
Druhá kritická oprava opravuje kritickú chybu pri vykonávaní vzdialeného kódu v DirectShow a ovplyvňuje viac verzií Windows. Táto chyba spočíva v tom, ako DirectShow analyzuje obrázky JPEG, takže je pravdepodobné, že útoky využívajúce túto chybu vložia škodlivé obrázky do kompromitovaných webových stránok alebo vložených do dokumentov, uviedol Marc Maiffret, CTO spoločnosti BeyondTrust. Je potrebné poznamenať, že títo používatelia, ktorí majú oprávnenie iného typu ako správca, budú týmito útokmi menej postihnutí, pretože útočník bude mať obmedzené škody, ktoré môže spôsobiť.
Bezpečnostný obtok v Silverlight je hodnotený ako „dôležitý“, ale mal by byť tiež pomerne vysokou prioritou. Útočníci môžu chybu využiť tým, že nasmerujú používateľov na škodlivé stránky obsahujúce špeciálne vytvorený obsah Silverlight, uviedol Microsoft. Nebezpečné je, že útočníci môžu obísť ASLR a DEP, dve technológie na zmiernenie zneužitia zabudované do Windows využívaním tejto zraniteľnosti, varoval Maiffret. Útočník by potreboval sekundárne využitie na dosiahnutie vzdialeného vykonania kódu po obídení ASLR a DEP, aby získal kontrolu nad systémom, ako je chyba obtoku ASLR, oprava v decembri (MS13-106). Aj keď v súčasnosti vo voľnej prírode nevynikajú žiadne útoky, používatelia by mali blokovať spustenie programu Silverlight v prehliadačoch Internet Explorer, Firefox a Chrome, kým sa záplata neaplikuje, uviedol Maiffret. Je tiež dôležité zabezpečiť, aby boli nasadené aj staršie záplaty.
Microsoft by sa mal vzdať Silverlightu, pretože „vidí veľa záplat vzhľadom na jeho obmedzené prijatie“, navrhol Tyler Reguly. Keďže spoločnosť Microsoft bude túto podporu aj naďalej podporovať najmenej do roku 2021, organizácie by mali začať migrovať mimo spoločnosti Silverlight, aby „všetci mohli Silverlight odinštalovať a efektívne zvyšovať bezpečnosť systémov koncových používateľov, “ dodal.
Zostávajúce opravy spoločnosti Microsoft
Ďalšia oprava, ktorá by sa mala použiť skôr ako neskôr, je tá, ktorá sa zameriava na dvojicu zvýšených zraniteľností oprávnení Ovládač režimu jadra systému Windows (MS14-014), pretože ovplyvňuje všetky podporované verzie systému Windows (tento mesiac, ktorý stále obsahuje systém Windows XP). Aby útočník mohol túto chybu využiť, musí mať platné prihlasovacie údaje a musí sa vedieť prihlásiť lokálne, upozornil Microsoft.
Finálna oprava opravuje problémy v protokole SAMR (Security Account Manager Remote), ktorý útočníkom umožňuje brutálne vynucovať účty Active Directory a nie je uzamknutý z účtu. Oprava opravuje volanie rozhrania API, aby systém Windows pri útoku správne uzamkol účty. „Politiky blokovania pokusov o heslo sa zavádzajú konkrétne preto, aby zabránili pokusom o brutálnu silu a umožnili škodlivému útočníkovi obísť túto politiku, čím úplne prekoná ochranu, ktorú poskytuje, “ uviedol Reguly.
Ďalšie aktualizácie softvéru
Toto je týždeň na aktualizáciu operačného systému. Spoločnosť Apple vydala systém iOS 7.1 začiatkom tohto týždňa a spoločnosť Adobe aktualizovala program Adobe Flash Player (APSB14-08), aby dnes uzavrela dve zraniteľné miesta. Tieto problémy sa v súčasnosti vo voľnej prírode nevyužívajú, uviedla spoločnosť Adobe.
Apple vyriešil niektoré významné problémy v systéme iOS 7, vrátane problému hlásenia zlyhaní, ktorý by mohol umožniť miestnemu užívateľovi zmeniť povolenia pre ľubovoľné súbory na postihnutých zariadeniach, problém s jadrom, ktorý by mohol umožniť neočakávané ukončenie systému alebo vykonanie ľubovoľného kódu v jadre. a chybu, ktorá neoprávnenému používateľovi umožnila obísť požiadavky na podpisovanie kódu na postihnutých zariadeniach. Spoločnosť Apple tiež opravila chybu, ktorá by mohla útočníkovi dovoliť nalákať používateľa, aby stiahol škodlivú aplikáciu prostredníctvom aplikácie Enterprise App Download, a ďalšiu, ktorá umožnila škodlivo vytvorenému záložnému súboru zmeniť súborový systém iOS.