Video: Azure Full Course - Learn Microsoft Azure in 8 Hours | Azure Tutorial For Beginners | Edureka (Oktober 2024)
Microsoft frigav syv bulletins, der fikserede 34 unikke bugs i.NET Framework, Windows-kernen og Internet Explorer som en del af juli's Patch Tuesday. Der er også en ny 180-dages politik for Microsoft markedspladsen vedrørende apps med sikkerhedsfejl.
Af de syv bulletins er seks bedømt som kritiske, og en blev bedømt som vigtig, sagde Microsoft i sin rådgivning om patch tirsdag, der blev frigivet i går eftermiddag. Microsoft anbefalede at installere IE-bulletin (MS13-055) først, efterfulgt af en af bulletinerne til Windows-kerneindstillingsdrivere (MS13-053). De resterende TrueType og Windows bulletins var i den næste prioriterede gruppe efterfulgt af den eneste "vigtige" patch.
"Alt i kernens Microsoft-verden påvirkes af et eller flere af disse; hvert understøttet operativsystem, hver version af MS Office, Lync, Silverlight, Visual Studio og.NET, " sagde Ross Barrett, senior manager for sikkerhedsteknik hos Rapid7.
Windows 8.1-forhåndsvisning og IE 11 påvirkes ikke af nogen af disse bulletins.
Grimme, grimme skrifttyper
Tre separate bulletins (MS13-052, MS13-053 og MS13-054) rettede TrueType-font sårbarheden i.NET. Denne TrueType-fontfejl svarer til den, der udnyttes af Stuxnet og Duqu, bortset fra det faktum, at den findes i.NET og ikke i Windows-kernen, sagde Marc Maiffret, CTO for BeyondTrust.
MS13-054 rettede TrueType-sårbarheden i GDI +, en komponent i Windows-kernen. Fejlen påvirker flere produkter, herunder alle understøttede versioner af Windows, Office 2003/2007/2010, Visual Studio.NET 2003 og Lync 2010/2013. Maiffret forudsagde, at denne fejl vil blive udnyttet af angribere i den nærmeste fremtid, fordi så mange produkter bruger GDI +.
"MS13-053 er gruppens værste, " sagde Tommy Chin, en teknisk supportingeniør hos CORE Security, og tilføjede "Det er ekstern kodeudførelse og privilegering eskalering alt sammen." Angribere kan socialingeniører potentielle ofre for at se en udformet fil med skadeligt TrueType-indhold. Hvis succesfuld, får angriberen administratoradgang til det berørte system, sagde Chin.
Nul-dages sårbarhed i Windows-kernen, der blev opdaget af sikkerhedsforsker Tavis Ormandy, er også rettet i denne bulletin. I betragtning af udnyttelse af denne sårbarhed allerede er inkluderet i offentlige rammer som Metasploit, bør dette være højt prioriteret
Internet Explorer
Internet Explorer's massive opdatering adresserede 17 fejl, hvoraf 16 er hukommelseskorruptionssårbarheder og en en script-bug på tværs af websteder. Mangler i hukommelseskorruption kan bruges i drive-by-angreb, hvor angribere opsætter ondsindede websider og bruger social engineering-taktik til at trække brugere til de ondsindede sider. Der har været en masse hukommelseskorrupsfejl i Internet Explorer i de sidste par patch tirsdage, bemærkede Maiffret og tilføjede, "Det er bydende nødvendigt, at denne patch bliver rullet ud så hurtigt som muligt."
Microsoft Marketplace-politikændring
Microsoft annoncerede også en ændring af politikken i forbindelse med Microsoft-markedet. I henhold til den nye politik får enhver app i en af de fire app-butikker, der drives af Microsoft (Windows Store, Windows Phone Store, Office Store og Azure Marketplace) 180 dage til at løse sikkerhedsproblemer. Tidslinjen gælder for sårbarheder, der vurderes som kritiske eller vigtige og ikke er under angreb.
Hvis det ikke er rettet inden for denne tidsramme, fjernes appen fra butikken, sagde Microsoft. Politikken gælder for applikationer fra såvel tredjepartsudviklere som Microsoft.
"Microsoft tager et stort skridt mod at minimere sårbare applikationer i deres forskellige app-butikker, " sagde Craig Young, en sikkerhedsforsker hos Tripwire.
Det er dog værd at bemærke, at 180 dage er lang tid, hvilket gør det meget usandsynligt, at Microsoft nogensinde vil ende med at trække en app. En udvikler vil sandsynligvis ikke bruge mere end seks måneder på at rette en kritisk sårbarhed, og hvis opdateringen tager længere tid end forventet, er Microsoft villig til at gøre undtagelser.
I betragtning af det lyder den nye politik som en måde for Microsoft at lyde hårdt uden negativt at påvirke udviklerne.
Mere foran
Dette bliver en travl måned for administratorer. Adobe frigav sine egne opdateringer, og Oracle vil frigive sin kvartalsopdatering af al deres software undtagen Java i næste uge.
