Dnes popoludní spoločnosť Microsoft vydala osem bezpečnostných bulletinov, ktoré sa venujú 23 zraniteľnostiam vo viacerých službách vrátane Windows, Internet Explorer a Exchange. Z nich tri mali najvyššie hodnotenie kritických, zatiaľ čo ostatné boli označené ako dôležité.
Pre používateľov, ktorí chcú uprednostniť svoje opravy, spoločnosť Microsoft odporúča zamerať sa na MS13-059 a MS13-060. To znamená, že všetko by ste mali opraviť, len čo to dokážete.
Útoky na písma a chyby zabezpečenia IE
Z týchto dvoch bulletinov je Bulletin 059 kumulatívnou aktualizáciou zabezpečenia pre Internet Explorer, ktorá pokrýva 11 zraniteľností zverejnených v súkromí. „Najzávažnejšie zraniteľné miesta by mohli umožniť spustenie kódu na diaľku, ak si používateľ prezerá špeciálne vytvorenú webovú stránku pomocou programu Internet Explorer, “ píše spoločnosť Microsoft. „Útočník, ktorý úspešne zneužil najzávažnejšie z týchto zraniteľností, by mohol získať rovnaké používateľské práva ako súčasný používateľ.“
Marc Maiffret, CTO v spoločnosti BeyondTrust vysvetľuje: „Samotná zraniteľnosť neumožňuje vykonanie kódu, ale namiesto toho by sa mohla skombinovať s inou zraniteľnosťou, aby sa získalo vykonanie kódu s užívateľskými právami.“
Aktualizácia IE je pozoruhodná aj kvôli zahrnutiu opravy zraniteľnosti, ktorú používa spoločnosť VUPEN Security v súťaži pwn2own v roku 2013. Vidíš? Celá táto konkurencia sa vypláca.
Bulletin 060 sa týka zraniteľnosti v skriptovom procesore Unicode, čo v zásade umožňuje útočníkom používať vykreslenie písma ako vektor útoku. Podobné problémy sme zaznamenali aj v aktualizácii Utorok minulého mesiaca.
Qualys CTO Wolfgang Kandek vysvetlil SecurityWatch, že „fonty sú nakreslené na úrovni jadra, takže ak nejako ovplyvníte kreslenie fontov a pretečiete ich“. To by podľa Kandeka poskytlo útočníkovi kontrolu nad počítačom obete.
Aj keď je táto zraniteľnosť obmedzená na písmo Bangali v systéme Windows XP, je znepokojujúca najmä z dôvodu mnohých rôznych spôsobov útoku, ktoré poskytujú. „Je to veľmi lákavý vektor útoku, “ uviedla Amol Sarwate, riaditeľka laboratórií zraniteľnosti spoločnosti Qualys. Útočník by mal iba nasmerovať obeť na dokument, e-mail alebo škodlivú webovú stránku, aby zneužil túto zraniteľnosť.
Kritická zraniteľnosť servera Exchange
Tretí kritický bulletin sa týka vzdialeného vykonávania kódu na serveroch Microsoft Exchange. Kandek povedal spoločnosti SecurityWatch, že útočník by mohol zneužiť tieto tri zraniteľné miesta pomocou špeciálne vytvoreného súboru PDF, ktorý by pri zobrazení - bez stiahnutia - napadol poštový server obete.
Doteraz boli tieto chyby zabezpečenia zverejnené spoločnosťou Oracle, ktorá robí postihnutú súčasť. Našťastie vo voľnej prírode sa zatiaľ nezistili žiadne popravy, ale podobné problémy boli v minulosti opakovane opravované. Maiffret píše, že dve zraniteľné miesta sú „v rámci funkcie WebReady Document Browsing, ktorú sme za posledný rok videli viackrát opravenú (MS12-058, MS12-080 a MS13-012). Oracle naďalej poskytuje spoločnosti Microsoft a Exchange konzistentné čierne oko. “
Kandek poznamenáva, že „bolo veľmi ľahké nájsť zraniteľné miesta v tejto softvérovej súčasti“ a že používatelia by mali okrem opravy softvéru zvážiť aj vypnutie tejto funkcie. Ak tak urobíte, núti používateľov sťahovať poštové prílohy, aby si ich mohli prezerať, čo môže byť malá cena za bezpečnosť
V tomto mesačnom zozname opráv je niekoľko ďalších dobrôt vrátane zraniteľnosti protokolu IPv6 a niektorých zvýšení oprávnení, odmietnutia služby a zraniteľnosti pri zverejňovaní informácií. Kým sa každý dostane do záplaty, pripravíme sa na budúci mesiac kolo odstraňovania chýb.