Video: Deploy Microsoft Patches in SCCM Step by Step (May 2019) (Oktober 2024)
Microsoft frigav fem patches - to klassificeret som "Kritiske" og tre som "Vigtigt" - tilføjelse af 23 sårbarheder i Internet Explorer, Microsoft Windows og Silverlight som en del af marts Patch tirsdag-opdatering. IE-lappen lukkede også nul-dages sårbarhed, som angribere har udnyttet siden februar.
Angribere udnyttede den kritiske nul-dages sårbarhed (CVE-2014-0322) i Internet Explorer 10 i sidste måned som en del af Operation SnowMan, som kompromitterede webstedet, der hører til de amerikanske veteraner i fremmede krige, samt i et andet angreb, der efterligger en fransk luftfartsproducent. IE-lappen (MS14-022) lukker denne fejl såvel som 17 andre, inklusive en, der er blevet brugt i begrænsede målrettede angreb mod Internet Explorer 8 (CVE-2014-0324), Dustin Childs, en gruppeleder hos Microsoft Trustworthy Computing, skrev på Microsoft Security Response Center-bloggen.
"Det er klart, at IE-opdateringen skal være din højeste prioritet, " sagde Childs.
Problemer med Silverlight
Det andet kritiske programrettelse løser en kritisk fejlfinding i ekstern kode i DirectShow og påvirker flere versioner af Windows. Sårbarheden er i, hvordan JPEG-billeder er parset af DirectShow, hvilket gør det sandsynligt, at angreb, der udnytter denne fejl, vil indsætte ondsindede billeder på kompromitterede websider eller indlejret i dokumenter, sagde Marc Maiffret, CTO for BeyondTrust. Det er værd at bemærke, at brugere, der kører med ikke-administratorrettigheder, vil blive mindre påvirket af disse angreb, fordi angriberen vil være begrænset i den skade, han eller hun kan forårsage.
Sikkerhedsfunktionen bypass i Silverlight er klassificeret som "vigtig", men bør også være ret høj prioritet. Angribere kan udnytte fejlen ved at dirigere brugere til et ondsindet websted, der indeholder specielt udformet Silverlight-indhold, sagde Microsoft. Hvad der er farligt er, at angribere kan omgå ASLR og DEP, to udnytte afbødningsteknologier indbygget i Windows ved at udnytte denne sårbarhed, advarede Maiffret. En angriberen har brug for en sekundær udnyttelse for at opnå ekstern udførelse af kode efter at have forbigået ASLR og DEP for at få kontrol over systemet, såsom ASLR-omgåelsesfejl, der blev lappet i december (MS13-106). Mens der i øjeblikket ikke er nogen angreb, der udnytter denne fejl i naturen, skal brugerne blokere Silverlight i at køre i Internet Explorer, Firefox og Chrome, indtil programrettelsen er anvendt, sagde Maiffret. Det er også vigtigt at sikre, at ældre patches også er blevet indsat.
Microsoft skulle opgive Silverlight, da "den ser en masse patches i betragtning af dens begrænsede vedtagelse, " foreslog Tyler Reguly. Da Microsoft vil fortsætte med at støtte det indtil mindst 2021, bør organisationer begynde at migrere væk fra Silverlight, så "vi alle kunne afinstallere Silverlight og effektivt øge sikkerheden for slutbrugersystemer, " tilføjede han.
Resterende Microsoft-patches
En anden opdatering, der bør anvendes før og ikke senere, er den, der adresserer et par forhøjning af privilegier sårbarheder Windows Kernel Mode Driver (MS14-014), da det påvirker alle understøttede versioner af Windows (for denne måned, der stadig inkluderer Windows XP). For at udnytte denne fejl skal angriberen "have gyldige loginoplysninger og være i stand til at logge på lokalt, " advarede Microsoft.
Den sidste patch løser problemer i Security Account Manager Remote (SAMR) -protokollen, der lader angribere brute-force Active Directory-konti og ikke blive låst ud af kontoen. Patch'en løser API-opkaldet, så Windows korrekt låser konti, når de er under angreb. "Adgangskodeforsikringslåse-politikker indføres specifikt for at forhindre forsøg på brute-force og tillader en ondsindet angriber at omgå politikken fuldstændigt besejrer den beskyttelse, den giver, " sagde Reguly.
Andre softwareopdateringer
Dette er ugen for opdateringer af operativsystemet. Apple frigav iOS 7.1 tidligere i denne uge, og Adobe opdaterede sin Adobe Flash Player (APSB14-08) for at lukke to sårbarheder i dag. Problemerne udnyttes ikke i øjeblikket i naturen, sagde Adobe.
Apple løste nogle væsentlige problemer i iOS 7, herunder et crashrapporteringsproblem, der kunne give en lokal bruger mulighed for at ændre tilladelser på vilkårlige filer på de berørte enheder, et kerneproblem, der kan give mulighed for en uventet systemafslutning eller udførelse af vilkårlig kode i kernen, og en fejl, der gjorde det muligt for en uautoriseret bruger at omgå kravene til kodesignering på berørte enheder. Apple rettede også en fejl, der kunne gøre det muligt for en hacker at lokke en bruger til at downloade en ondsindet app via Enterprise App Download og en anden, der gjorde det muligt for en ondsindet lavet backup-fil at ændre iOS-filsystemet.
