Video: Få betalt 500 dollars dagligt via e-mail (GRATIS)-VERDENSVÆRD (Tjen penge online) (Oktober 2024)
I går udsendte Microsoft 13 sikkerhedsbulletiner, der dækkede omkring 47 bugs i en lidt større end almindelig patch tirsdag. Blandt disse blev fire opført som kritiske, og resten markeret som vigtige. Bliv klar til opdatering!
Interessant nok blev en fjortende opdatering vedrørende et afslag på serviceniveau i.NET annonceret i sidste uge, men er blevet tilbageholdt for yderligere test. Måske ønsker Microsoft at undgå noget af forvirringen fra sidste måneds patch tirsdag, hvor en opdatering måtte trækkes efter frigivelse.
Internet Explorer og social ingeniørarbejde
Microsoft adresserede ti sårbarheder med en kumulativ opdatering til Internet Explorer, der påvirker versionerne seks til 10. Dette betyder, at næsten alle vil blive berørt af disse ændringer, hvilket er bedst, da nogle af disse bugs muliggjorde fjernudførelse af kode.
"De mest alvorlige sårbarheder kan muliggøre fjernudførelse af kode, hvis en bruger ser en specielt udformet webside ved hjælp af Internet Explorer, " skrev Microsoft. "En angriber, der med succes udnyttede de mest alvorlige af disse sårbarheder, kunne få de samme brugerrettigheder som den aktuelle bruger." Dette er et andet stort argument for aldrig at bruge en konto med administratorrettigheder til det daglige arbejde.
Microsoft Word og Excel vil se opdateringer, der adresserer en sårbarhed i filformatet, hvor en specielt udformet Office-fil kunne bruges til at udføre kode på et offers computer. "Microsoft vurderer kun disse sårbarheder som 'vigtige', fordi de kræver, at målet samarbejder, " skriver Qualys CTO Wolfgang Kandek. "Angribere har imidlertid bevist gang på gang, at de har de nødvendige socialtekniske teknikker til let at overvinde denne hindring."
Faktisk satte rapporterne, vi har set, social engineering øverst i de store trusler mod brugerne, ligesom de er besmittede filer som dem, der er adresseret med disse Office-opdateringer. Disse filer er utroligt farlige, fordi de ser legitime ud, og vi har set, hvordan de er blevet brugt til stor virkning i avancerede vedvarende trusselangreb.
Outlook m.fl.
De populære 2007- og 2010-versioner af Microsoft Outlook blev også opdateret i denne måned, hvilket fik en særlig grim sårbarhed. "En angriber kan udnytte certifikatudnyttelsesalgoritmen ved at underskrive en e-mail og indlejre over 256 certifikater i underskriften, " forklarede Kandek. "Angrebet forårsager et bufferoverløb, selvom det bare visualiseres i Outlook's preview-rude."
Selvom Microsoft siger, at outlook-angrebet er vanskeligt at trække af, er det farligt, da offeret ikke behøver at gøre noget for, at angrebet skal lykkes.
Ud over disse frigav Microsoft kritiske programrettelser til Sharepoint 2003, 2007, 2010 og 2013 samt Microsoft Visio. Patches mærket vigtige dækker OLE, Windows-temafiler, Microsoft Access, Office IME-kinesisk, Kernal-Mode-drivere, Windows Service Control Manager, FrontPage og Active Directory.
Billede via Flickr-bruger Dan Dickinson
