Video: THE MOST PROLIFIC BUTTERNUT SQUASH VARIETY WE'VE EVER SEEN! (November 2024)
Spoločnosť Microsoft vydala sedem bulletinov, ktoré opravujú 34 jedinečných chýb v rozhraní.NET Framework, jadre Windows a Internet Explorer v rámci júlového opravného utorka. Na trhu Microsoft existuje aj nová 180-dňová politika týkajúca sa aplikácií s bezpečnostnými chybami.
Spomedzi siedmich bulletinov je šesť hodnotených ako kritické a jedna bola hodnotená ako dôležitá. Spoločnosť Microsoft uviedla vo svojom informačnom bulletine Patch Tuesday, ktorý bol zverejnený včera poobede. Spoločnosť Microsoft odporúča najskôr nainštalovať bulletin IE (MS13-055) a potom jeden z bulletinov pre ovládače režimu jadra systému Windows (MS13-053). Zostávajúce bulletiny TrueType a Windows boli v ďalšej skupine priorít, za ktorou nasledovala jediná „dôležitá“ oprava.
„Všetko v jadre spoločnosti Microsoft je ovplyvnené jedným alebo viacerými z nich: každý podporovaný operačný systém, každá verzia MS Office, Lync, Silverlight, Visual Studio a.NET, “ povedal Ross Barrett, vedúci bezpečnostného inžinierstva v Rapid7.
Ukážka systému Windows 8.1 a IE 11 nie sú ovplyvnené žiadnym z týchto bulletinov.
Ugly, Ugly Fonts
Tri samostatné bulletiny (MS13-052, MS13-053 a MS13-054) opravili zraniteľnosť písma TrueType v.NET. Táto chyba písma TrueType je podobná chybe využívanej programami Stuxnet a Duqu, až na to, že je prítomná v.NET a nie v jadre Windows, uviedol Marc Maiffret, CTO spoločnosti BeyondTrust.
MS13-054 opravil zraniteľnosť TrueType v GDI +, komponente v jadre Windows. Táto chyba sa týka viacerých produktov vrátane každej podporovanej verzie systému Windows, Office 2003/2007/2010, Visual Studio.NET 2003 a Lync 2010/2013. Maiffret predpovedal, že túto chybu využijú útočníci v blízkej budúcnosti, pretože toľko produktov používa GDI +.
„MS13-053 je najhorší zo skupiny, “ povedal Tommy Chin, technický podporný technik v spoločnosti CORE Security a dodal: „Je to vzdialené vykonávanie kódu a zvyšovanie privilégií v jednom.“ Útočníci môžu potenciálnymi obeťami v oblasti sociálneho inžinierstva zobraziť vytvorený súbor so škodlivým obsahom TrueType. Ak je útočník úspešný, získa prístup správcu k postihnutému systému, uviedol Chin.
V tomto bulletine je tiež stanovená nula-denná zraniteľnosť v jadre Windows, ktorú objavil výskumný pracovník v oblasti bezpečnosti Tavis Ormandy. Vzhľadom na to, že zneužívanie tejto zraniteľnosti je už súčasťou verejných rámcov, ako je Metasploit, malo by to byť vysoká priorita
internet Explorer
Masívna aktualizácia programu Internet Explorer sa zaoberala 17 nedostatkami, z ktorých 16 sú chyby zabezpečenia pamäte a jedna chyba skriptovania viacerých stránok. Nedostatky poškodenia pamäte môžu byť použité pri útokoch typu drive-by, pri ktorých útočníci nastavujú škodlivé webové stránky a pomocou taktiky sociálneho inžinierstva priťahujú používateľov na škodlivé stránky. Za posledných niekoľko utorok Patch v Internet Explorer došlo k mnohým chybám v poškodení pamäte, poznamenal Maiffret a dodal: „Je nevyhnutné, aby sa táto oprava rozbehla čo najskôr.“
Zmena pravidiel spoločnosti Microsoft Marketplace
Spoločnosť Microsoft tiež oznámila zmenu pravidiel týkajúcich sa trhu spoločnosti Microsoft. Podľa novej politiky bude mať každá aplikácia v ktoromkoľvek zo štyroch obchodov s aplikáciami prevádzkovaná spoločnosťou Microsoft (Windows Store, Windows Phone Store, Office Store a Azure Marketplace) 180 dní na vyriešenie problémov so zabezpečením. Časová os sa vzťahuje na zraniteľné miesta, ktoré sú hodnotené ako kritické alebo dôležité a nie sú napadnuté.
Ak nie je oprava v tomto časovom rámci opravená, aplikácia bude z obchodu odstránená, uviedla spoločnosť Microsoft. Táto zásada sa vzťahuje na aplikácie od vývojárov tretích strán, ako aj od spoločnosti Microsoft.
„Microsoft robí veľký krok smerom k minimalizácii zraniteľných aplikácií v rôznych obchodoch s aplikáciami, “ uviedol Craig Young, výskumný pracovník v oblasti bezpečnosti spoločnosti Tripwire.
Je však potrebné poznamenať, že 180 dní je dlhá doba, takže je veľmi nepravdepodobné, že spoločnosť Microsoft niekedy stiahne aplikáciu. Je nepravdepodobné, že vývojár strávi viac ako šesť mesiacov odstránením kritickej zraniteľnosti. Ak aktualizácia trvá dlhšie, ako sa očakávalo, spoločnosť Microsoft je ochotná urobiť výnimky.
Vzhľadom na to nové pravidlá znejú ako spôsob, ktorým Microsoft znie tvrdo, bez nepriaznivého vplyvu na vývojárov.
Viac dopredu
Toto bude pre správcov rušný mesiac. Spoločnosť Adobe vydala svoje vlastné aktualizácie a spoločnosť Oracle vydá budúci týždeň svoju štvrťročnú aktualizáciu všetkého svojho softvéru s výnimkou jazyka Java.
