Video: Microsoft Office 2003 Beta 2 Kit - Overview and Demo (Oktober 2024)
Microsoft frigav fire sikkerhedsopdateringer, der løser 11 sårbarheder i Windows, Microsoft Office, Internet Explorer og Microsoft Publisher som en del af dets april Patch tirsdag-udgivelse. Sikkerhedsbulletinerne til Windows XP og Office 2003 er de sidste offentligt frigivne programrettelser til disse to produkter, da Microsoft sluttede support i dag.
Syv af sårbarhederne påvirker Windows XP og fire påvirker Office 2003. "Dette er en vigtig patch tirsdag for brugere, der er afhængige af de forældede platforme og applikationer, der flytter til self-support denne måned, " sagde Russ Ernst, direktør for produktadministration hos Lumension.
Den øverste bulletin adresserer tre sårbarheder i Microsoft Word (MS14-017), herunder den for nylig opdagede nul-dages sårbarhed i RTF (Rich Text Format) -parseren. Hvis en angriber med succes tricker brugeren til at åbne et ondsindet RTF-dokument i en ikke-sendt version af Microsoft Word, kan angriberen eksternt køre kode på systemet. De andre to sårbarheder er mangler med Word 2007 og 2010 File Format Conversion Utility og en stack overflow bug i Word 2003.
Microsoft sagde, at "begrænsede, målrettede" angreb, der bruger nul-dages sårbarhed, er blevet observeret i naturen. En Fix-It den 24. marts tilbød en midlertidig løsning for at deaktivere Word fra automatisk at åbne RTF-dokumenter. Brugere, der oprindeligt installerede Fix-it og åbner RTF-filer regelmæssigt, skal deaktivere Fix-it, når opdateringen er installeret, så RTF-filer åbnes normalt, anbefalede Dustin Childs, gruppeadministrator af Microsoft Trustworthy Computing.
Den malware, der udløser fejlen, kan findes på VirusTotal, "hvilket betyder, at vi er temmelig tæt på en meget bredere anvendelse af angribere, " advarede Wolfgang Kandek, CTO for Qualys.
IE Fix
Den anden bulletin adresserer seks sårbarheder i Internet Explorer (MS14-018) og påvirker alle versioner fra IE6 til IE11. Angribere kan udløse manglerne ved at narre brugerne til at se websteder med booby-fangning ved hjælp af Internet Explorer. Mens sårbarheden endnu ikke er blevet udnyttet i naturen, tildelte Microsoft en "udnyttelighedsindeksvurdering" på 1, hvilket betyder, at angreb kan forventes inden for de næste 30 dage, advarede Kandek.
Angribere, der er målrettet mod disse fejl i Word og IE, vil være i stand til eksternt at udføre kode, men kun på brugerens tilladelsesniveau. Dette betyder, at brugere, der ikke kører som administratorer på deres Windows-maskiner, "vil blive langt mindre påvirket", end de ville have været ellers, bemærkede Marc Maiffret, CTO for BeyondTrust. Hvis programrettelsen ikke kan installeres med det samme, skal ActiveX-kontroller blokeres, og Active Scripting skal enten blokeres for deaktiveret, anbefalede han.
Microsoft frigav også rettelser til Internet Explorer 10 og 11 for at inkorporere rettelserne i Flash Player, der blev frigivet af Adobe tidligere i dag.
Opdater dine systemer
De resterende opdateringer dækker fejl ved eksekvering af fjernkode i Microsoft Publisher (MS14-020) og Windows filhåndtering (MS14-019). En angriber kan udnytte Windows-sårbarheden ved at narre brugerne til at køre.bat- eller.cmd-filer fra upålidelige placeringer uden en advarsel. Publisher har en lille installeret base, og der er ingen kendte udnyttelser, hvilket gør sårbarheden mindre kritisk.
Brugere, der stadig insisterer på at køre XP, skal sikre sig, at de straks anvender de to første programrettelser, og sørger for, at alle deres tredjepartssoftwareprogrammer er aktuelle. Adobe har sagt, at det ikke planlægger at fortsætte med at understøtte Flash på XP, så sørg for at installere dagens opdatering.
Microsoft har introduceret tre nye operativsystemer siden XP, og selvom du ikke kan lide Vista, vil Windows 7 og 8 gøre et langt bedre job med at holde brugerne sikre, end XP kunne. Det er virkelig tid til at skifte OS. "I år, efter et 13-årigt løb, er det 'game over' til Windows XP, " sagde Kandek.
