Video: Brands With Best-Selling Video Game Consoles 1972 - 2019 (Listopad 2024)
Včera společnost Microsoft vydala 13 bezpečnostních bulletinů pokrývajících přibližně 47 chyb v úterý o něco větší než obvykle. Z nich byly čtyři uvedeny jako kritické a zbytek označen jako důležitý. Připravte se na aktualizaci!
Je zajímavé, že čtrnáctá aktualizace týkající se problému odmítnutí služby v.NET byla vyhlášena minulý týden, ale byla pozastavena pro další testování. Možná se Microsoft chce vyhnout určitému zmatku z minulého měsíce náplastí úterý, kde po aktualizaci musela být stažena jedna aktualizace.
Internet Explorer a sociální inženýrství
Společnost Microsoft vyřešila deset chyb zabezpečení kumulativní aktualizací aplikace Internet Explorer, která měla dopad na verze šest až 10. To znamená, že tyto změny se dotknou téměř každého, což je nejlepší, protože některé z těchto chyb povolily vzdálené spuštění kódu.
„Nejzávažnější zranitelnosti by mohly umožnit vzdálené spuštění kódu, pokud uživatel prohlíží speciálně vytvořenou webovou stránku pomocí aplikace Internet Explorer, “ napsal Microsoft. „Útočník, který by úspěšně zneužil ty nejzávažnější z těchto chyb zabezpečení, by mohl získat stejná uživatelská práva jako současný uživatel.“ To je další skvělý argument, proč nikdy nepoužívat účet s administrátorskými oprávněními pro každodenní práci.
Microsoft Word a Excel uvidí aktualizace týkající se zranitelnosti formátu souboru, kde lze speciálně vytvořený soubor sady Office použít ke spuštění kódu v počítači oběti. „Společnost Microsoft hodnotí tato zranitelnost pouze jako„ důležitou “, protože vyžadují, aby cíl spolupracoval, ” píše Qualy CTO Wolfgang Kandek. "Útočníci však znovu a znovu dokázali, že mají potřebné techniky sociálního inženýrství, aby tuto překážku snadno překonali."
Zprávy, které jsme viděli, ve skutečnosti uváděly sociální inženýrství mezi hlavní hrozby pro uživatele, stejně jako poškozené soubory, jako jsou soubory adresované v těchto aktualizacích sady Office. Tyto soubory jsou neuvěřitelně nebezpečné, protože vypadají legitimně, a my jsme viděli, jak byli zvyklí na velký efekt v pokročilých přetrvávajících útokech na hrozby.
Outlook a další
Tento měsíc byly opraveny i oblíbené verze aplikace Microsoft Outlook 2007 a 2010, které opravovaly obzvláště ošklivou zranitelnost. "Útočník může využít algoritmus analýzy certifikátů podepsáním e-mailu a vložením více než 256 certifikátů do podpisu, " vysvětlil Kandek. "Útok způsobí přetečení vyrovnávací paměti, i když je vizualizováno pouze v podokně náhledu aplikace Outlook."
Přestože společnost Microsoft tvrdí, že je výhledový útok obtížný, je nebezpečný, protože oběť nemusí nic dělat, aby útok uspěl.
Kromě toho společnost Microsoft vydala kritické záplaty pro Sharepoint 2003, 2007, 2010 a 2013 a Microsoft Visio. Opravy označily důležité obálky OLE, soubory motivů systému Windows, Microsoft Access, čínské sady Office IME, ovladače kernalového režimu, správce služeb Windows Service FrontPage a Active Directory.
Obrázek prostřednictvím uživatele Flickr Dan Dickinson
