Video: Introducing the Windows 10 October 2020 Update (Oktober 2024)
Microsoft frigav otte bulletins, der adresserer 13 sårbarheder i Internet Explorer, Windows og Office som en del af May's Patch Tuesday update. Tre af dem er allerede udnyttet i naturen, sagde Microsoft.
Mens Microsoft ikke frigav nogen patches til XP-brugere, mener eksperter, at problemerne også påvirker det gamle operativsystem. Microsoft afsluttede support til Windows XP i sidste måned, hvilket betyder, at brugerne ikke længere modtager sikkerhedsrettelser til det gamle operativsystem. Virksomheder, der har udskudt sig for forlængede supportkontrakter, vil stadig modtage opdateringer.
Fixing IE, Under Attack
Internet Explorer-opdateringen (MS14-029) er den højeste prioriterede patch denne måned. Det adskiller sig fra andre IE-patches, fordi dette ikke er en kumulativ patch, hvilket betyder, at brugere skal installere sidste måneds kumulative IE-opdatering (MS14-018), før de installerer denne patch. Denne måneds bulletin indeholder out-of-band-fix fra tidligere denne måned som rettede en nul-dages sårbarhed (CVE-2014-1776). Bulletin rettede også to sårbarheder i hukommelseskorruption (CVE-2014-1815), som kan resultere i fjernkodekørsel. Microsoft sagde, at der var "begrænsede angreb", der forsøgte at udnytte en af IE-bugs.
"Det er vigtigt at sikre dig, at du anvender MS14-018 og MS14-029, hvis du ikke allerede har anvendt sidste måneds IE-kumulative opdatering, " sagde Tyler Reguly, manager for sikkerhedsundersøgelser hos Tripwire.
Angreb i naturen
Microsoft rettede en eskaleringsprivilegionsfejl i Group Policy Preferences (MS14-025) og sagde, at der allerede var angreb i naturen, der målrettede denne bug. En fejl i, hvordan Active Directory distribuerer adgangskoder, der er konfigureret ved hjælp af gruppepolitiske præferencer, kan give angribere potentielt mulighed for at hente tilsløret domænekontooplysninger og bruge dem til at køre privilegerede processer.
Bulletin, der adresserer en ASLR-bypass (MS14-024), har faktisk en "vigtig" vurdering snarere end "kritisk", men bør betragtes som høj prioritet, bemærkede Ross Barrett, senior manager for sikkerhedsteknik hos Rapid7. Spørgsmålet er ikke rigtig en udnyttelse i sig selv, men er en svaghed, der kan bruges sammen med andre udbytter, sagde Barrett. Denne bypass er fundet i brug sammen med andre angreb. Angribere udnytter også en sårbarhed med forhøjelse af privilegier i Windows for at få adgang til den lokale systemkonto (MS14-027) i målrettede angreb.
"Begge rettelser anbefales stærkt og vil gøre en lang vej til at gøre dit setup mere robust, " sagde Wolfgang Kandek, CTO for Qualys.
Hjemmekontorbrugere på alarm
Office-patch (MS14-023) var "meget interessant" for Tripwires Tyler Reguly, der bemærkede, at han bruger Microsoft OneDrive og Office365 Home derhjemme, og fejlfindingen med fjernkoden ville påvirke, hvordan tokens sendes i OneDrive. "Jeg bliver nødt til at være meget årvågen med at overvåge min families brug af disse tjenester, indtil jeg kan få opdateringerne implementeret på alle vores computere, " sagde Reguly.
BeyondTrust-forskere anbefalede at prioritere denne programrettelse, fordi sårbarheden ved forindlæsning af DLL "er meget let at udnytte med offentligt tilgængelige, pålidelige, brugervenlige værktøjer."
XP-brugere i kulden
Microsoft afsluttede support til Office 2003 og SharePoint 2003 sammen med Windows XP i sidste måned. De fleste af de sårbarheder, der er adresseret i udgivelsen af May Patch Yuesday, "sandsynligvis" påvirker Windows XP og Office 2003, sagde Kandek, der antog, at enhver sårbarhed, der påvirker Windows Server 2003, sandsynligvis ville have indflydelse på XP. Dette betyder, at de mangler, der er adresseret i programrettelserne til Internet Explorer, ALSR, gruppeprofil og SharePoint, findes i XP eller Office 2003.
Mindst en af de ikke-kritiske sårbarheder rettet i Microsoft Office er sandsynligvis til stede i Office 2003. Denne måneds opdateringer fik rettet tre kritiske sårbarheder i SharePoint Server versioner 2007, 2010 og 2013, Office Web Apps, SharePoint Designer og SharePoint Server 2013 klientkomponenter SDK. Selvom Microsoft fik Internet Explorer til XP i opdateringen uden for båndet, frigav den ikke XP i denne måneds patch-udgivelse. Den IE-fejl, der i øjeblikket er under angreb, påvirker næsten helt sikkert Windows XP.
"Vi har haft falske starter før, men denne gang vil Microsoft virkelig fortælle verden om sikkerhedssårbarheder i Windows og ikke lappe dem i XP, " skrev sikkerhedsekspert Graham Cluely på Lumension-bloggen. Angribere regelmæssigt reverse-engineer-lapper for at finde sårbarhederne, og de vil sandsynligvis være på udkig efter at se, om de samme problemer findes på XP. Med frigivelsen af patches tikker uret.
"Hvis du stadig kører Windows XP, betyder det at gå videre med din plan om at skifte fra operativsystemet til noget bedre ved den tidligste, sikreste mulighed, " sagde Cluley. "Hvilken version af Windows du kører, gør det rigtige."
