Video: PH House Exec stresses need for department of water, bigger calamity fund | ANC (Nobyembre 2024)
Inayos ng Microsoft ang 33 na kahinaan sa buong sampung mga bulletins sa Internet Explorer, mga aplikasyon ng Opisina, Windows, .NET framework, at Lync bilang bahagi ng paglabas nitong Mayo Patch Tuesday.
Sa sampu, dalawang bulletins lamang ang na-rate bilang "kritikal, " ang pinakamataas na rating ng kalubhaan, sinabi ng Microsoft sa advisory ng Patch nitong Martes. Ang natitirang mga patch ay minarkahan bilang "mahalaga, " na karaniwang nangangahulugang ang mga umaatake ay hindi magagawang upang samantalahin ang kapintasan nang walang pakikilahok ng gumagamit.
"Habang ang 10 mga patch na sumasaklaw sa 33 kahinaan ay maaaring mukhang tulad ng isang mataas na numero, hindi lahat ng masamang balita para sa IT, " sabi ni Paul Henry, seguridad at forensic analyst sa Lumension.
Pag-aayos para sa Internet Explorer
Ang parehong kritikal na mga patch ay para sa Internet Explorer. Ang malaking katanungan para sa Patch ngayong Martes ay kung aayusin ba ng Microsoft ang kamakailan lamang na naiulat na zero-day sa Internet Explorer 8. Inilabas ng Microsoft ang isang pansamantalang pagtratrabaho noong nakaraang linggo at sinundan ng isang buong patch (MS13-038) ngayon.
"Ito ay isang kaluwagan na makita na binigyan ito ng Microsoft ng mabilis, dahil ito ay aktibong pinagsasamantalahan, " sabi ni Henry.
Ang iba pang mga patch ng IE (MS13-037) ay isang pinagsama-samang pag-update para sa mga bersyon ng IE 6, 7, 8, 9, at 10, at nagsasara ng 11 iba't ibang mga kahinaan, kasama ang mga kahinaan na naiulat habang ang kumpetisyon ng Pwn2Own noong Marso.
"Sa isang antas, ito ang Microsoft sa kanilang pinakamagaling na seguridad, " sinabi ni Ross Barrett, senior manager ng security engineering sa Rapid7, sa SecurityWatch . Agad na tumugon ang kumpanya upang mag-isyu ng isang babala sa pampublikong advisory tungkol sa isyu, itulak ang isang pansamantalang pag-aareglo, at pagkatapos ay isinara ang bahid bilang bahagi ng isang naka-iskedyul na pag-update, lahat sa loob ng 11 araw.
Sa kabilang banda, ang katotohanan na inilabas ng Microsoft ang mga kritikal na Internet patch na halos bawat buwan ay nag-highlight kung ano ang mali sa kung paano pinangangasiwaan ng Microsoft ang mga patch at mas lumang software, sinabi ni Barrett. Sa kaibahan, awtomatikong na-update ang browser ng Google ng browser habang magagamit ang mga pag-aayos, at walang "lumang bersyon" ng browser na mag-alala. Tinatakot ng Microsoft ang mga mapagkukunan sa pagpapanatili ng mga mas lumang bersyon at paglantad sa mga gumagamit na panganib, sinabi ni Barrett.
Iba pang mga Bulletins na Tandaan
Ang iba pang mga kilalang bulletin ay tumatalakay sa kondisyon ng pagtanggi sa serbisyo na nakakaapekto sa kliyente ng HTTP at server sa Windows (MS13-039). Ang isyu ay nalalapat lamang sa mga mas bagong bersyon ng Windows, lalo na ang Windows Server 2012. Ang mga pagsalakay sa pagsasamantala sa kahinaan na ito ay maaaring "potensyal na nakakagambala" dahil maraming mga liblib na serbisyo at pagsasama ng Aktibong Directory ay umaasa sa mga http.sys, sinabi ni Barrett.
"Ang lahat ng mga koponan sa seguridad ng IT ay dapat na tumalon nang mabilis dahil ang isang pagsasamantala ay malamang na mabuo nang napakabilis. Ang isang matagumpay na pagsasamantala ay maaaring magdulot ng isang DoS sa mga apektadong server na lumilikha ng pansamantalang mga pagkagambala, " sabi ni Lamar Bailey, direktor ng pagsasaliksik ng seguridad at pag-unlad sa Tripwire.
Tinalakay ng Microsoft ang mga kahinaan sa iba't ibang mga produkto ng Office, tulad ng mga bug sa code ng pagpapatupad ng mga code sa Microsoft Lync-dating Komunikator- (MS13-041), at 11 na mga isyu sa katiwalian sa katiwalian sa Publisher (MS13-042), at mga bug sa Microsoft Word at Excel (MS13- 042). Ang kahinaan ng Lync ay maaaring mapagsamantala lamang kung ang dalawang gumagamit sa isang session ng Lync ay nagbabahagi ng nakakahamak na nilalaman. "Sana wala sa iyong mga gumagamit ang may mga pag-uusap na Lync sa isang taong sumusubok na atakehin ang iyong mga system, kung saan dapat kang maging okay, " sabi ni Henry.
Ang kahinaan ng spoofing at by authentication bypass sa .NET (MS13-040) ay hindi nakakaapekto sa default na pagsasaayos. Ang isa pang bulletin ay nag-address ng mga pagkukulang sa impormasyon ng pagsisiwalat sa Windows Essentials 2012 (MS13-045). Nag-ayos din ang Microsoft ng tatlong lokal na taas ng mga pribilehiyo na flaws sa mga driver ng Windows Kernel mode (MS13-046). Ang pinakamalala sa mga bug ay nakakaapekto sa Windows XP at pinapayagan ang mga umaatake na magpatakbo ng mga proseso sa isang nakataas na konteksto.
"Siguraduhing i-patch ang Internet Explorer (MS13-037 at MS13-038) sa lalong madaling panahon, kasama ang MS13-039 sa mga web server na nakaharap sa internet, na sinusundan ng natitirang mga patch, " sabi ni Marc Maiffret, CTO ng BeyondTrust.
