Video: XP Nerf! Blizz’s Shadowlands Delay Update: They’ve Listened But It’s MIXED… Release Window + MORE (Oktober 2024)
Microsoft frigav syv sikkerhedsbulletiner, der løser mere end 20 sårbarheder til March Patch tirsdag. Berørte applikationer og komponenter inkluderer Internet Explorer, Silverlight, Visio Viewer, Sharepoint, OneNote, Office for Mac og en kernel-driver i alle versioner af Windows.
Af bulletinerne blev fire vurderet som kritiske og tre som vigtige, ifølge Microsofts sikkerhedsrådgivning, der blev frigivet tirsdag. Den kumulative Internet Explorer-patch, der har den højeste prioritet, gælder for alle understøttede versioner af Internet Explorer fra version 6 til 10.
"Næsten alle, der kører Windows, og masser af Microsoft-butikker, skulle være flittigt at lappe systemer i dag, " skrev Kurt Baumgartner, en senior sikkerhedsforsker hos Kaspersky Lab, på SecureList.
IE-rådgivningen gælder ikke for brugere, der downloadede og installerede IE 10 til Windows 7, der blev frigivet for kun få uger siden, da Microsoft allerede havde inkluderet disse rettelser. Selvom ingen af dem i øjeblikket er målrettet mod naturen, er IE et hyppigt mål og bør løses med det samme.
"Af de ni adresserede CVE'er berører syv af dem hver understøttet version af Internet Explorer, så angribere har mange valg, når de vælger en sårbarhed, der skal udnyttes i den nærmeste fremtid, " fortæller Marc Maiffret, CTO for BeyondTrust, til SecurityWatch .
Ingen af de sårbarheder, der blev afsløret som en del af Pwn2Own-konkurrencen på CanSecWest i sidste uge, er inkluderet i denne måneds patch, men det er en sikker satsning, at de snart kommer.
Spektret af Stuxnet
Sårbarheden i kernetilstanddriveren, der er opjusteret denne måned, kan synes at svare til de fejl, der blev lappet i februar og januar, men er en meget mere skræmmende fejl. Fejlen i USB-enhedsdriveren kunne udløses bare ved handling fra en person, der indsætter et USB-drev i computeren. Det betyder ikke noget, om computeren er låst, eller om brugeren er logget ud; computeren skal bare være tændt.
Microsoft vurderede denne bulletin som blot "vigtig" i modsætning til "kritisk", fordi angrebet kræver, at angriberen har fysisk adgang til computeren. Der er ingen fjernvektor, hvilket betyder, at den kun vil blive "udnyttet i meget begrænsede og målrettede angreb, " sagde Maiffret.
Andre eksperter blev dog foruroliget. "Forestil dig hvad et ordentligt motiveret vagtmester kunne gøre med denne sårbarhed på bare en aften, " sagde Andrew Storms, direktør for sikkerhedsoperationer i nCircle. Offentlige kiosker og samlokaliseringscentre, der ikke har låste skabe, er alle i fare. "Potentialet for skade på denne sårbarhed kan ikke overgås, " sagde Storms.
Bare for at give en idé om, hvor alvorlig denne sårbarhed er, udnyttede Stuxnet funktionen "auto-run", der lader Windows automatisk udføre kode på et USB-drev uden brugerinput. Selvom automatisk kørsel siden er blevet deaktiveret, blev den seneste USB-sårbarhed startet inden den automatiske kørsel endda var blevet adgang, ifølge Rapid7s Ross Barrett.
"Du har set denne angrebsmetode i film i årevis, og den vises nu i virksomheder over hele verden, " sagde Storms.
Silverlight, Office, SharePoint, Oh My!
Et af de kritiske bulletiner løste problemer i Microsoft Silverlight, som var "interessant, da jeg ikke var klar over, at nogen i verden faktisk havde indsat Silverlight, " fortalte Rapid7s Barrett til SecurityWatch . For dem, der har Silverlight, er dette et alvorligt problem, "på linje med en Flash-sårbarhed, " sagde Barrett. Fejlen påvirker alle versioner af Silverlight, men patch'en gælder kun Silverlight 5. Brugere skal opdatere Silverlight, før de anvender patch'en.
Patch'en til Visio 2010 Viewer er klassificeret som kritisk, fordi den muliggør udførelse af fjernkode. En mulig angrebsvektor narrer en bruger til at læse et misformet Visio-dokument sendt via e-mail. Visio-sårbarheden kræver imidlertid, at Visio Viewer ActiveX-controller er installeret, sagde Barrett. Administratorer kan deaktivere denne funktion, indtil patch'en er fuldt ud anvendt som et afhjælpningstrin, sagde han. SharePoint-fejl gør det muligt for angribere at injicere ondsindet kode i gemte forespørgsler ved hjælp af scripting på tværs af websteder. Denne forespørgsel, når den udføres, kunne køre angrebskoden med administratorrettigheder.
OneNote og Outlook til Mac havde begge patches denne måned og er vurderet som vigtige. En angriber kunne narre brugeren til at åbne en ondsindet OneNote-fil eller -mappe, hvilket ville udløse fejlen til at omgå adgangskode- og krypteringsbeskyttelsesmekanismer for at læse brugerens OneNote-filer og -mapper.
