Video: All Windows Animations (1992-2020) (Oktober 2024)
Det er en trifekta af softwarepatcher, hvor Microsoft, Adobe og Oracle alle frigiver sikkerhedsopdateringer på samme dag.
Som forventet startede Microsoft 2014 med en forholdsvis let Patch tirsdag-frigivelse, der fikserede seks ikke-så-kritiske sårbarheder på tværs af fire sikkerhedsbulletiner. Samme dag udstedte Adobe to kritiske opdateringer, der fikseret tre kritiske eksekveringsfejl i fjernkoden i Adobe Reader, Acrobat og Flash. En planlægningsundersøgelse betød, at Orakles kvartalsvise kritiske opdatering af opdateringer også faldt den samme tirsdag, hvilket resulterede i et stort antal patches, som it-administratorer kan håndtere. Oracle fik løst 144 sårbarheder på tværs af 40 produkter, herunder Java, MySQL, VirtualBox og dets flagskib Oracle-database.
"Mens Microsoft kun frigiver fire opdateringer, er der masser af arbejde for IT-administratorer på grund af frigivelser fra Adobe og Oracle, " sagde Wolfgang Kandek, CTO for Qualys.
Java-lapperne fra Oracle skal have højeste prioritet, efterfulgt af Adobe Reader- og Flash-vejledningerne, og derefter Microsoft Word- og XP-opdateringer, sagde eksperter.
Oracle tager på Java
Selvom vi tager højde for, at Oracle lapper kvartalsvis og fikser flere produkter, er denne CPU stadig en rekordbryder i antallet af problemer, der er løst. Af de 144 sikkerhedsfejl kan 82 betragtes som kritiske, da de kan udnyttes eksternt uden godkendelse.
Størstedelen af de sårbarheder, der blev adresseret i Oracle's gigantiske CPU, var i Java v7. Oracle fikseret 34 eksterne eksekveringsfejl med flere scoringer 10 på skalaen Common Vulnerability Scoring System. CVSS angiver alvorligheden af fejlen og sandsynligheden for, at angriberen får total kontrol over systemet.
Java var en af de mest angrebne software i 2013, og eksperter advarede om, at det fortsat vil være et populært mål. Hvis du ikke bruger det, skal du afinstallere det. Hvis du har brug for at have Java installeret, skal du i det mindste deaktivere det i webbrowseren, da alle angreb indtil videre har angrebet browseren. Hvis du får adgang til webapplikationer, der kræver Java, skal du opbevare den i en anden webbrowser end din standardprofil og skifte om nødvendigt. Hvis du ikke har brug for det, skal du ikke beholde det. Hvis du opbevarer det, skal du straks lappe.
Oracle rettede også fem sikkerhedsfejl i sin egen Oracle-database, hvoraf den ene kan udnyttes eksternt og 18 sårbarheder i MySQL. Tre af disse fejl kunne angribes eksternt og havde den maksimale CVSS-score på 10. Server-software Solaris havde 11 fejl, herunder en, der kunne angribes eksternt. Den mest alvorlige Solaris-bug havde en CVSS-score på 7, 2. CPU behandlede ni problemer i Oracle Virtualization Software, der inkluderer virtualiseringssoftware VirtualBox, hvoraf fire kunne udløses eksternt. Den maksimale CVSS-score var 6, 2.
Hvis du kører nogle af disse produkter, er det vigtigt at opdatere dem med det samme. MySQL bruges i vid udstrækning som back-end-system til en række populære CMS- og forum-software, herunder WordPress og phpBB.
Reader og Flash-rettelser
Adobe fikserede sikkerhedsproblemer i Adobe Flash, Acrobat og Reader, som, hvis de udnyttes, ville give angribere total kontrol over målsystemet. Angrebsvektoren til fejlen Acrobat og Reader var en ondsindet PDF-fil. Flash-fejlen kan udnyttes ved at besøge ondsindede websider eller åbne dokumenter med indlejrede Flash-objekter.
Hvis du har tændt baggrundsopdateringer til Adobe-produkter, skal opdateringerne være problemfri. Brugere med Google Chrome og Internet Explorer 10 og 11 behøver ikke at bekymre sig om den nye version af Flash, da browsere opdaterer softwaren automatisk.
Let Microsoft-opdatering
Microsoft rettede en sårbarhed i filformatet i Microsoft Word (MS14-001), der kan udnyttes eksternt, hvis brugeren åbner en booby-fanget Word-fil. Det påvirker alle Microsoft Word-versioner på Windows, inklusive Office 2003, 2007, 2010 og 2013, samt Word-dokumentvisere. Brugere af Mac OS X påvirkes ikke.
Nul-dages sårbarhed (CVE-2013-5065), der påvirker Windows XP og Server 2003-systemer, der blev opdaget i naturen i november sidste år, er endelig blevet rettet (MS14-002). Selvom privilegiernes eskaleringsfejl i NDProxy ikke kan udføres eksternt, skal det have høj prioritet, fordi det kan kombineres med andre sårbarheder. Angrebet i november brugte et ondsindet PDF-dokument til først at udløse en fejl i Adobe Reader (som blev opdateret maj 2013 i APSB13-15) for at få adgang til Windows-kernefejlen. Microsoft fikseret en lignende eskalationsfejl i Windows 7 og Server 2008 (MS14-003).
"Hvis du er bekymret for 002 og ikke 003, vil du sandsynligvis have nogle problemer i april, når supporten slutter for Windows XP, " sagde Rapid7.
På egen hånd er disse sårbarheder muligvis ikke kritiske, men kombineret kan de være meget mere alvorlige, advarede Trustwave. Hvis en kampagne, der bruger et ondsindet Office-dokument, udført kode, der er rettet mod fejlen til forhøjelse af privilegiet, "så er en phishing-e-mail til en intetanende bruger alt det, der er nødvendigt, " siger teamet.
