Video: 0patching Equation Editor - Again (CVE-2018-0802) (Nobyembre 2024)
Ang Microsoft ay naglabas ng pitong bulletins na nag-aayos ng 12 kahinaan sa unang paglabas ng Patch Martes para sa 2013. Tulad ng inaasahan, ang isang pag-aayos para sa zero-day na kahinaan sa Internet Explorer ay hindi bahagi ng paglabas.
Sa pitong bulletins, dalawa lamang ang na-rate na "kritikal"; ang natitirang limang ay na-rate na "mahalaga, " sinabi ng Microsoft sa advisory nitong Enero ng Patch Tuesday. Habang wala sa mga isyung ito ang sinasamantala sa ligaw sa sandaling ito, "sa sandaling ang daan ay humahantong sa matalino, nakakahamak na hacker sa isyu, hindi ito magtatagal bago magsimula ang mga pagsasamantala, " Ross Barrett, senior manager ng security engineering sa Rapid7, sinabi sa SecurityWatch .
Dalawa lamang Kritikal na Bulletins
Ang isa sa mga kritikal na mga patch ay na-rate ang "pinakamahalagang patch sa lineup" ni Qualys CTO Wolfgang Kandek dahil nakakaapekto ito sa bawat bersyon ng Windows mula XP hanggang Windows 8, RT, at Server 2012, kasama ang lahat ng mga bersyon ng Microsoft Office, at iba pang Microsoft mga aplikasyon, tulad ng Sharepoint at Groove. Ang pagkakamali sa library ng MSXML (MS13-002) ay maaaring mapagsamantala sa pamamagitan ng pagdaraya ng mga gumagamit sa pagbisita sa isang malisyosong website, o sa pamamagitan ng pagbubukas ng isang dokumento ng Office na naka-trap na naka-attach sa isang email.
Ang iba pang kritikal na bulletin ay nakakaapekto sa Microsoft Windows Printer spooler software sa Windows 7 at 2008 (MS13-001). Ang mang-aatake ay maaaring maka-pila sa mga nakakahamak na header ng pag-print sa trabaho upang samantalahin ang mga kliyente na kumokonekta, ngunit hindi ito maaaring ma-trigger ng normal na paraan. Walang sinumang dapat magkaroon ng isang print spooler na maa-access sa labas ng firewall, ngunit ang kapintasan ay maaaring mapagsamantalahan ng mga nakakahamak na tagaloob o bilang bahagi ng isang pribadong pag-atake sa eskaso, sinabi ni Barrett.
Habang hindi seryoso tulad ng pag-print ng spooler flaws na pinagsamantalahan ng Stuxnet, ang katotohanan na ang bug na ito ay maaaring magamit sa isang pagtutubig na estilo ng pag-atake ay gagawing "medyo sikat sa mga forum ng pag-atake, " sabi ni Andrew Storms, direktor ng mga operasyon ng seguridad para sa nCircle. Dapat itong mai-patched, "pronto, " idinagdag niya.
Mahalagang Bulletins
Natukoy ng mga mahahalagang bulletins ang mga isyu sa .NET (MS13-004), ang Windows kernel (MS13-005), ang Secure Socket Layer na pagpapatupad sa Windows Vista (MS13-006), Open Data Protocol (MS13-007), at isang cross- pagkakamali sa script ng site. Habang ang .NET mga bug ay maaaring pinagsamantalahan upang malayang magpatupad ng code, ang bagong sandbox ay ipinakilala kamakailan sa lahat ng mga bersyon ng .NET nabawasan ang "kakayahang kumita, " sabi ni Paul Henry, seguridad at forensic analyst para sa Lumension.
Ang kapintasan sa module ng win32k.sys kernel ay nakakaapekto sa AppContainer sandbox sa Windows 8. Habang hindi ito isang kritikal na kapintasan sa sarili nitong, maaari itong magamit kasabay ng iba pang mga kahinaan na atake sa isang Windows 8 system, sinabi ni Kandek.
Ang dalawang taas ng mga isyu ng pribilehiyo sa Microsoft SCOM console ay naging mahina ang pahina ng pag-login sa isang pag-atake sa script ng cross-site, sinabi ni Microsoft sa advisory. Pareho silang hindi nagpupursige XSS, na nangangahulugan na ang mga tagapangasiwa ay dapat kumbinsido na bisitahin ang malisyosong pahina sa isang tiyak na oras, Tyler Reguly, teknikal na tagapamahala ng seguridad na pananaliksik at pag-unlad sa nCircle, sinabi sa SecurityWatch .
Hindi Nakatakdang Araw ng Zero-Day
Tulad ng inaasahan, ang Microsoft ay walang isang pag-aayos para sa madaling araw na kahinaan na kasalukuyang nakakaapekto sa Internet Explorer 6, 7, at 8. Kahit na ang isyu ay nasa mga mas lumang bersyon ng Web browser, aktwal na kumakatawan sila sa 90 porsyento ng naka-install na base ng IE, sabi ni Kandek. Ang aktibong pagsasamantala ay kasalukuyang nagta-target sa IE8, kaya ang mga gumagamit ay dapat mag-upgrade sa mas ligtas na IE9 o IE10 kung maaari.
Ang Fix-Inilabas nito noong nakaraang linggo ay hinarangan ang isang tukoy na pag-atake, ngunit ang mga mananaliksik sa Eksensya ng Eksensya ay natagpuan ang iba pang mga paraan upang ma-trigger ang kahinaan kahit na matapos ang pag-apply sa pansamantalang trabaho. Kahit na, ang mga administrador ay dapat pa ring mag-deploy ng Fix-It, ngunit dapat din nilang isaalang-alang ang pagpapatakbo ng Enhanced Mitigation Experience Toolkit ng Microsoft, na maaaring hadlangan ang mga pagtatangka upang ma-trigger ang zero-day flaw.
