Domov Securitywatch Spoločnosť Oracle sa v utorok pripojí k spoločnosti Adobe, Microsoftu

Spoločnosť Oracle sa v utorok pripojí k spoločnosti Adobe, Microsoftu

Video: Centrally Managed Users in 18c (November 2024)

Video: Centrally Managed Users in 18c (November 2024)
Anonim

Ide o trojicu softvérových záplat, pričom spoločnosti Microsoft, Adobe a Oracle vydávajú všetky aktualizácie zabezpečenia v ten istý deň.

Ako sa očakávalo, spoločnosť Microsoft začala v roku 2014 vydaním pomerne ľahkého vydania Patch Tuesday, ktorým opravila šesť slabých miest, ktoré nie sú kritické, v štyroch bezpečnostných bulletinoch. V ten istý deň spoločnosť Adobe vydala dve kritické aktualizácie, ktorými sa opravili tri kritické chyby pri vykonávaní vzdialeného kódu v aplikáciách Adobe Reader, Acrobat a Flash. V ten istý utorok padol aj časový rozvrh plánovania, ktorý tiež znamenal pokles štvrťročnej aktualizácie kritických opráv Oracle od spoločnosti Oracle, čo malo za následok obrovské množstvo opráv pre správcov IT. Spoločnosť Oracle opravila 144 zraniteľností v 40 produktoch vrátane Java, MySQL, VirtualBox a jej hlavnej databázy Oracle.

„Aj keď spoločnosť Microsoft vydáva iba štyri aktualizácie, pre správcov IT existuje veľa práce v dôsledku vydaní spoločností Adobe a Oracle, “ uviedol Wolfgang Kandek, CTO spoločnosti Qualys.

Opravy Java od spoločnosti Oracle by mali byť najvyššou prioritou, nasledované radami Adobe Reader a Flash a potom aktualizáciami programov Microsoft Word a XP, uviedli odborníci.

Oracle berie na Java

Aj keď vezmeme do úvahy skutočnosť, že spoločnosť Oracle každý štvrťrok opravuje a opravuje viac produktov, tento procesor je stále rekordným hráčom v počte opravených problémov. Z celkového počtu 144 bezpečnostných nedostatkov bolo 82 považovaných za kritické, pretože ich možno zneužiť na diaľku bez autentifikácie.

Väčšina zraniteľností riešených v procesore Oracle Gargantuan bola v jazyku Java v7. Oracle napravil 34 chýb vo vzdialenom spustení, s niekoľkými bodmi 10 na stupnici systému Common Vulnerability Scoring System. CVSS označuje závažnosť chyby a pravdepodobnosť, že útočník získa úplnú kontrolu nad systémom.

Java bola jedným z najviac napadnutých softvérov v roku 2013 a odborníci varovali, že bude aj naďalej obľúbeným cieľom. Ak ho nepoužívate, odinštalujte ho. Ak potrebujete mať nainštalovanú Javu, aspoň ju deaktivujte vo webovom prehľadávači, pretože všetky doteraz napadnuté útoky na prehliadač zaútočili. Ak pristupujete k webovým aplikáciám, ktoré vyžadujú Javu, ponechajte ju v inom webovom prehliadači, ako je váš predvolený, a podľa potreby prepnite. Ak to nepotrebujete, nenechajte si ho. Ak ju ponecháte, okamžite ju opravte.

Oracle tiež odstránil päť bezpečnostných nedostatkov vo svojej vlastnej databáze Oracle, z ktorých jedna môže byť zneužitá na diaľku a 18 zraniteľností v MySQL. Tri z týchto chýb mohli byť napadnuté na diaľku a mali maximálne CVSS skóre 10. Serverový softvér Solaris mal 11 chýb, vrátane jedného, ​​ktorý mohol byť napadnutý na diaľku. Najzávažnejšia chyba systému Solaris mala skóre CVSS 7, 2. Procesor riešil deväť problémov v softvéri Oracle Virtualization Software, ktorý obsahuje virtualizačný softvér VirtualBox, z ktorých štyri mohli byť spustené na diaľku. Maximálne CVSS skóre bolo 6, 2.

Ak prevádzkujete niektorý z týchto produktov, je dôležité ich okamžite aktualizovať. MySQL je široko používaný ako back-end systém pre množstvo populárnych CMS a fóra softvér, vrátane WordPress a phpBB.

Opravy čítačky a Flash

Spoločnosť Adobe opravila problémy so zabezpečením v aplikáciách Adobe Flash, Acrobat a Reader, ktoré by v prípade zneužitia poskytovali útočníkom úplnú kontrolu nad cieľovým systémom. Vektor útoku v prípade chýb Acrobat a Reader bol škodlivým súborom PDF. Chyba Flash sa dá využiť návštevou škodlivých webových stránok alebo otvorením dokumentov so zabudovanými objektmi Flash.

Ak máte zapnuté aktualizácie na pozadí pre produkty Adobe, mali by byť aktualizácie bezproblémové. Používatelia s prehliadačom Google Chrome a Internet Explorer 10 a 11 sa nebudú musieť starať o novú verziu programu Flash, pretože prehliadače aktualizujú softvér automaticky.

Ľahké aktualizácie spoločnosti Microsoft

Spoločnosť Microsoft opravila zraniteľnosť formátu súboru v programe Microsoft Word (MS14-001), ktorú je možné zneužiť na diaľku, ak používateľ otvorí súbor programu Word v pasci. Ovplyvňuje všetky verzie programu Microsoft Word v systéme Windows vrátane programov Office 2003, 2007, 2010 a 2013, ako aj prehliadače dokumentov programu Word. Používatelia Mac OS X nie sú ovplyvnení.

Nula-denná zraniteľnosť (CVE-2013-5065) ovplyvňujúca systémy Windows XP a Server 2003, ktorá bola objavená vo voľnej prírode v novembri minulého roka, bola definitívne opravená (MS14-002). Napriek tomu, že chyba eskalácie privilégií v NDProxy sa nedá vykonať na diaľku, mala by mať vysokú prioritu, pretože ju možno kombinovať s ďalšími zraniteľnými miestami. Útoky v novembri použili škodlivý dokument PDF na spustenie chyby v aplikácii Adobe Reader (ktorá bola opravená v máji 2013 v APSB13-15) s cieľom získať prístup k chybe jadra systému Windows. Spoločnosť Microsoft opravila podobnú chybu v oblasti eskalácie v systéme Windows 7 a Server 2008 (MS14-003).

„Ak sa obávate o čísla 002 a nie 003, pravdepodobne budete mať v apríli nejaké problémy, keď skončí podpora pre systém Windows XP, “ uviedol Rapid7.

Tieto zraniteľné miesta samy osebe nemusia byť kritické, ale spolu môžu byť oveľa vážnejšie, varoval Trustwave. Ak by kampaň využívajúca škodlivý dokument balíka Office spustila kód zameraný na chybu zvýšenia oprávnenia, „potom by bolo všetko potrebné phishingový e-mail neočakávanému používateľovi, “ uviedol tím.

Spoločnosť Oracle sa v utorok pripojí k spoločnosti Adobe, Microsoftu