Video: Microsoft Patches 19-Year-Old Windows Bug - IGN News (Nobyembre 2024)
Kahapon, naglabas ang Microsoft ng 13 mga bulletins ng seguridad na sumasakop sa ilang 47 mga bug sa isang bahagyang mas malaki-kaysa-karaniwang Patch Martes. Kabilang sa mga ito, apat ang nakalista bilang kritikal at ang natitirang minarkahan bilang mahalaga. Maghanda upang i-update!
Kapansin-pansin, isang labing-apat na pag-update na may kaugnayan sa isang pagtanggi sa serbisyo ng isyu sa .NET ay inihayag noong nakaraang linggo ngunit pinigil ito para sa karagdagang pagsubok. Marahil ay nais ng Microsoft na iwasan ang ilang pagkalito mula sa patch noong nakaraang buwan ng Martes, kung saan ang isang pag-update ay kailangang makuha matapos ang paglabas.
Internet Explorer at Social Engineering
Natugunan ng Microsoft ang sampung kahinaan sa isang pinagsama-samang pag-update sa Internet Explorer, na nakakaapekto sa mga bersyon ng anim hanggang sa 10. Nangangahulugan ito na halos lahat ay maaantig sa mga pagbabagong ito, na para sa pinakamahusay na bilang pinapayagan ng ilan sa mga bug na pinapayagan ang pagpapatupad ng remote code.
"Ang pinaka-malubhang kahinaan ay maaaring payagan ang pagpapatupad ng remote code kung titingnan ng isang gumagamit ang isang espesyal na ginawa ng webpage gamit ang Internet Explorer, " isinulat ng Microsoft. "Ang isang pag-atake na matagumpay na pinagsamantalahan ang pinaka matindi ng mga kahinaan na ito ay maaaring makakuha ng parehong mga karapatan ng gumagamit bilang kasalukuyang gumagamit." Ito ay isa pang mahusay na argumento para hindi kailanman gumagamit ng account sa mga privelege ng administrator para sa pang-araw-araw na gawain.
Makikita sa Microsoft Word at Excel ang mga update na tumutugon sa kahinaan ng format ng file, kung saan ang isang espesyal na ginawa na file ng Opisina ay maaaring magamit upang magsagawa ng code sa computer ng isang biktima. "Pinahahalagahan lamang ng Microsoft ang mga kahinaan na ito bilang 'mahalaga' dahil hinihiling nila ang target na makipagtulungan, " isinulat ni Qualy's CTO Wolfgang Kandek. "Gayunpaman, napatunayan ng mga umaatake na paulit-ulit na mayroon silang kinakailangang mga diskarte sa panlipunang pang-industriya upang malampasan ang balakid na iyon nang madali."
Sa katunayan, ang mga ulat na nakita namin ay naglalagay ng panlipunang engineering sa tuktok ng mga pangunahing banta laban sa mga gumagamit, tulad ng mga nasirang mga file tulad ng mga tinutugunan sa mga update ng Opisina. Ang mga file na ito ay hindi kapani-paniwalang mapanganib dahil mukhang lehitimo, at nakita namin kung paano nila ginamit ang mahusay na epekto sa mga advanced na patuloy na pag-atake ng banta.
Pag-browse at Iba pa
Ang tanyag na 2007 at 2010 na mga bersyon ng Microsoft Outlook ay naka-patch din sa buwang ito, na nag-aayos ng isang partikular na hindi magandang kahinaan. "Ang isang magsasalakay ay maaaring mapagsamantalahan ang algorithm sa pag-parse ng sertipiko sa pamamagitan ng pag-sign ng isang e-mail at pag-pugad ng higit sa 256 na sertipiko sa pirma, " paliwanag ni Kandek. "Ang pag-atake ay nagdudulot ng isang pag-apaw sa buffer, kahit na iginuhit lamang sa preview ng preview ng Outlook."
Kahit na sinabi ng Microsoft na ang pag-atake sa pananaw ay mahirap na hilahin, mapanganib dahil ang biktima ay hindi kailangang gumawa ng anumang bagay upang ang pag-atake ay magtagumpay.
Bilang karagdagan sa mga ito, inilabas ng Microsoft ang mga kritikal na patch para sa Sharepoint 2003, 2007, 2010 at 2013, pati na rin ang Microsoft Visio. Ang mga patch na may label na mahalagang takip OLE, mga file ng Windows windows, Microsoft Access, Opisina ng IME Intsik, driver ng Kernal-Mode, Windows Service Control Manager, FrontPage, at Aktibong Direktoryo.
Larawan sa pamamagitan ng Flickr user na si Dan Dickinson
