Video: Automatický obsah, víceúrovňové a speciální číslování (Listopad 2024)
Dnes odpoledne vydala společnost Microsoft osm bulletinů zabezpečení, které se týkaly 23 zranitelností v celé řadě služeb, včetně Windows, Internet Explorer a Exchange. Z nich tři nesli nejvyšší hodnocení kritiků, zatímco ostatní byli označeni jako důležití.
Pro uživatele, kteří chtějí své záplaty upřednostnit, společnost Microsoft doporučuje zaměřit se na MS13-059 a MS13-060. To znamená, že byste měli vše opravit, jakmile to dokážete.
Útoky na písmo a chyby zabezpečení IE
Z těchto dvou bulletinů je Bulletin 059 kumulativní aktualizací zabezpečení pro Internet Explorer a pokrývá 11 zranitelností zveřejněných v soukromí. „Nejzávažnější zranitelnosti by mohly umožnit vzdálené spuštění kódu, pokud uživatel prohlíží speciálně vytvořenou webovou stránku pomocí aplikace Internet Explorer, “ píše Microsoft. „Útočník, který by úspěšně zneužil ty nejzávažnější z těchto chyb zabezpečení, by mohl získat stejná uživatelská práva jako současný uživatel.“
Marc Maiffret, CTO ve společnosti BeyondTrust, vysvětluje: „Samotná chyba zabezpečení neumožňuje spuštění kódu, ale místo toho by byla kombinována s jinou zranitelností, aby bylo možné získat kód s uživatelskými právy.“
Aktualizace IE je také pozoruhodná pro zahrnutí opravy zranitelnosti používané VUPEN Security v soutěži pwn2own v roce 2013. Vidět? Celá ta konkurence se vyplácí.
Bulletin 060 se týká zranitelnosti v skriptu Unicode Script, což v zásadě umožňuje útočníkům používat vykreslování písem jako vektor útoku. Podobné problémy jsme viděli v minulém měsíci v aktualizaci Patch Tuesday.
Qualys CTO Wolfgang Kandek vysvětlil SecurityWatch, že „písma jsou kreslena na úrovni jádra, takže pokud nějakým způsobem ovlivníte kresbu písem a přetečete ji“. To by, jak řekl Kandek, poskytlo útočníkovi kontrolu nad počítačem oběti.
Ačkoli je tato chyba zabezpečení v systému Windows XP omezena na písmo Bangali, je obzvláště znepokojující z důvodu mnoha různých způsobů útoku, které poskytují. „Je to velmi lákavý útočný vektor, “ řekla Amol Sarwate, ředitelka laboratoří zranitelnosti Qualys. Útočník by měl pouze nasměrovat oběť k dokumentu, e-mailu nebo škodlivé webové stránce, aby zneužil tuto chybu zabezpečení.
Kritická chyba zabezpečení Exchange
Třetí kritický bulletin se týká vzdáleného spuštění kódu na serverech Microsoft Exchange. Kandek řekl SecurityWatch, že útočník by mohl tyto tři chyby zabezpečení zneužít pomocí speciálně vytvořeného souboru PDF, který by při prohlížení - nestahovaný - napadl poštovní server oběti.
Dříve byly tyto chyby zabezpečení odhaleny společností Oracle, která způsobuje ohroženou komponentu. Naštěstí ve volné přírodě zatím nebyla žádná poprava spatřena, ale podobné problémy byly v minulosti opakovaně opravovány. Maiffret píše, že dvě zranitelnosti jsou „v rámci funkce Prohlížení dokumentů WebReady, kterou jsme v posledním roce viděli několikrát opravené (MS12-058, MS12-080 a MS13-012). Oracle nadále poskytuje společnosti Microsoft a Exchange konzistentní černé oko. “
Kandek poznamenává, že „bylo velmi snadné najít zranitelnosti v této softwarové komponentě“ a že uživatelé by měli kromě opravy softwaru zvážit vypnutí této funkce. Pokud tak učiníte, uživatelé budou muset stahovat přílohy pošty, aby si je mohli prohlédnout, což může být malá cena za bezpečnost
V tomto měsíčním seznamu patchů je několik dalších dobrot, včetně zranitelnosti IPv6 a některých zvýšení oprávnění, odmítnutí služby a zranitelnosti informací. Zatímco se každý dostane do záplaty, připravíme se na příští měsíc kolo odstraňování chyb.
