Video: The Ultimate Squash Bug Solution (Octombrie 2024)
Microsoft a lansat șapte buletine care remediază 34 de buguri unice în.NET Framework, nucleul Windows și Internet Explorer ca parte a marții Patch din iulie. Există, de asemenea, o nouă politică de 180 de zile pentru piața Microsoft în ceea ce privește aplicațiile cu buguri de securitate.
Dintre cele șapte buletine, șase sunt considerate critice, iar unul a fost considerat important, a spus Microsoft în avizul său de marți Patch lansat ieri după-amiază. Microsoft a recomandat mai întâi instalarea buletinului IE (MS13-055), urmată de unul dintre buletinele pentru driverele de mod kernel Windows (MS13-053). Buletinele TrueType și Windows rămase au fost în următorul grup prioritar, urmate de singurul corecție „importantă”.
"Totul din lumea de bază Microsoft este afectat de una sau mai multe dintre acestea; fiecare sistem de operare acceptat, fiecare versiune de MS Office, Lync, Silverlight, Visual Studio și.NET", a spus Ross Barrett, senior manager al securității în Rapid7.
Windows 8.1 Previzualizare și IE 11 nu sunt afectate de niciunul dintre aceste buletine.
Fonturi urâte, urâte
Trei buletine separate (MS13-052, MS13-053 și MS13-054) au rezolvat vulnerabilitatea fontului TrueType în.NET. Acest bug de font TrueType este similar cu cel exploatat de Stuxnet și Duqu, cu excepția faptului că este prezent în.NET și nu în kernel-ul Windows, a declarat Marc Maiffret, CTO al BeyondTrust.
MS13-054 a rezolvat vulnerabilitatea TrueType în GDI +, o componentă din nucleul Windows. Defectul afectează mai multe produse, inclusiv fiecare versiune acceptată de Windows, Office 2003/2007/2010, Visual Studio.NET 2003 și Lync 2010/2013. Maiffret a prezis că acest defect va fi exploatat de atacatori în viitorul apropiat, deoarece atât de multe produse folosesc GDI +.
"MS13-053 este cel mai rău din grup", a declarat Tommy Chin, un inginer de asistență tehnică la CORE Security, adăugând "Este executarea de la distanță a codului și escaladarea privilegiilor toate într-un singur". Atacatorii pot potențialele victime ale inginerului social pentru a vizualiza un fișier elaborat cu conținut TrueType rău intenționat. Dacă are succes, atacatorul obține accesul administratorului la sistemul afectat, a spus Chin.
Vulnerabilitatea de zero zile în nucleul Windows descoperit de cercetătorul de securitate Tavis Ormandy este, de asemenea, stabilită în acest buletin. Având în vedere exploitările pentru această vulnerabilitate sunt deja incluse în cadre publice precum Metasploit, aceasta ar trebui să fie prioritară
Internet Explorer
Actualizarea masivă a Internet Explorer a abordat 17 defecte, dintre care 16 sunt vulnerabilități de corupție a memoriei și unul de eroare de scripturi inter-site. Defecțiunile de corupție ale memoriei pot fi utilizate în atacurile conduse în cazul în care atacatorii configurează pagini web rău intenționate și folosesc tactici de inginerie socială pentru a atrage utilizatorii către paginile dăunătoare. Au fost o mulțime de erori de corupție a memoriei în Internet Explorer în ultimele câteva marți de patch-uri, a notat Maiffret, adăugând: „Este imperativ ca acest patch să fie lansat cât mai curând posibil”.
Politica Microsoft Marketplace Schimbare
De asemenea, Microsoft a anunțat o modificare a politicii referitoare la piața Microsoft. În conformitate cu noua politică, orice aplicație din oricare dintre cele patru magazine de aplicații administrate de Microsoft (Windows Store, Windows Phone Store, Office Store și Azure Marketplace) va primi 180 de zile pentru a rezolva problemele de securitate. Cronologia se aplică vulnerabilităților care sunt considerate critice sau importante și care nu sunt atacate.
Dacă nu este plasată în acest interval de timp, aplicația va fi eliminată din magazin, a spus Microsoft. Politica se aplică atât aplicațiilor de la dezvoltatori terți, cât și Microsoft.
"Microsoft face un mare pas către minimizarea aplicațiilor vulnerabile în diferitele lor magazine de aplicații", a spus Craig Young, un cercetător în domeniul securității cu Tripwire.
Cu toate acestea, merită remarcat faptul că 180 de zile este o perioadă lungă de timp, ceea ce face foarte puțin probabil ca Microsoft să termine vreodată să tragă o aplicație. Un dezvoltator nu este probabil să petreacă mai mult de șase luni pentru a rezolva o vulnerabilitate critică și, dacă actualizarea durează mai mult decât era de așteptat, Microsoft este dispus să facă excepții.
Având în vedere faptul, noua politică pare a fi o modalitate prin care Microsoft poate suna dur fără a afecta negativ dezvoltatorii.
Mai mult înainte
Aceasta va fi o lună aglomerată pentru administratori. Adobe a lansat propriile sale actualizări, iar Oracle va lansa actualizarea trimestrială a întregului software, cu excepția Java săptămâna viitoare.
