Video: BUGS & SOLUTIONS PATCH UPDATE 1.8.3 FS 2020 Ne paniquez pas (Nobyembre 2024)
Ang Microsoft ay naglabas ng pitong bulletins na nag-aayos ng 34 natatanging mga bug sa .NET Framework, ang Windows kernel, at Internet Explorer bilang bahagi ng Patch nitong Martes. Mayroon ding bagong 180 na araw na patakaran para sa pamilihan ng Microsoft patungkol sa mga app na may mga bug sa seguridad.
Sa pitong bulletins, anim ang may kritikal na kritikal, at ang isa ay na-rate na mahalaga, sinabi ni Microsoft sa kanyang Patch Tuesday advisory na pinakawalan kahapon ng hapon. Inirerekumenda ng Microsoft na i-install ang bulletin ng IE (MS13-055), na sinundan ng isa sa mga bulletins para sa mga driver ng kernel mode ng Windows (MS13-053). Ang natitirang TrueType at Windows bulletins ay nasa susunod na grupo ng priyoridad, na sinusundan ng nag-iisang "mahalagang" patch.
"Lahat ng bagay sa pangunahing mundo ng Microsoft ay apektado ng isa o higit pa rito; bawat suportadong OS, bawat bersyon ng MS Office, Lync, Silverlight, Visual Studio at .NET, " sabi ni Ross Barrett, senior manager ng security engineering sa Rapid7.
Ang Windows 8.1 Preview at IE 11 ay hindi apektado ng alinman sa mga bulletins na ito.
Pangit, Ugly Fonts
Tatlong magkakahiwalay na mga bulletins (MS13-052, MS13-053, at MS13-054) na naayos ang kahinaan ng TrueType font sa .NET. Ang TrueType font bug na ito ay katulad ng isang pinagsamantalahan ng Stuxnet at Duqu, maliban sa katotohanan na naroroon ito .NET at hindi sa kernel ng Windows, sinabi ni Marc Maiffret, CTO ng BeyondTrust.
Inayos ng MS13-054 ang kahinaan ng TrueType sa GDI +, isang sangkap sa kernel ng Windows. Ang kapintasan ay nakakaapekto sa maraming mga produkto, kabilang ang bawat suportadong bersyon ng Windows, Office 2003/2007/2010, Visual Studio .NET 2003, at Lync 2010/2013. Inihula ni Maiffret na ang kapintasan na ito ay sasamantalahan ng mga umaatake sa malapit na hinaharap dahil napakaraming mga produkto ang gumagamit ng GDI +.
"Ang MS13-053 ay ang pinakamasama sa pangkat, " sabi ni Tommy Chin, isang teknikal na inhinyero na sumusuporta sa CORE Security, at idinagdag ang "Ito ay malayuang pagpapatupad ng code at pribadong pagtataas ng lahat sa isa." Ang mga umaatake ay maaaring mga potensyal na inhinyero ng lipunan na makita ang isang crafted file na may nakakahamak na nilalaman ng TrueType. Kung matagumpay, ang pag-atake ng nakuha ng administrator ay naka-access sa apektadong sistema, sinabi ni Chin.
Ang zero-day na kahinaan sa Windows kernel na natuklasan ng security researcher na si Tavis Ormandy ay naayos din sa bulletin na ito. Isinasaalang-alang ang mga pagsasamantala para sa kahinaan na ito ay kasama na sa mga pampublikong mga balangkas tulad ng Metasploit, dapat itong maging mataas na priyoridad
Internet Explorer
Napakahusay na pag-update ng Internet explorer ng 17 na mga bahid, kung saan 16 ang mga kahinaan sa memorya ng katiwalian at isa sa isang bug ng cross-site na script. Ang memorya ng mga katiwalian sa katiwalian ay maaaring magamit sa mga pag-atake ng drive-by kung saan ang mga umaatake ay nagtatakda ng mga nakakahamak na mga web page at gumamit ng mga taktika sa panlipunang engineering upang iguhit ang mga gumagamit sa mga nakakahamak na pahina. Maraming mga bug sa memorya ng korapsyon sa Internet Explorer sa nakalipas na ilang Patch Martes, sinabi ni Maiffret, at pagdaragdag, "Ito ay kinakailangan na ang patch na ito ay makakaligid sa lalong madaling panahon."
Pagbabago sa Patakaran sa Palengke ng Microsoft Market
Inihayag din ng Microsoft ang isang pagbabago sa patakaran na may kaugnayan sa pamilihan ng Microsoft. Sa ilalim ng bagong patakaran, ang anumang app sa alinman sa apat na mga tindahan ng app na pinamamahalaan ng Microsoft (Windows Store, Windows Phone Store, Office Store at Azure Marketplace) ay bibigyan ng 180 araw upang malutas ang mga isyu sa seguridad. Ang timeline ay nalalapat sa mga kahinaan na minarkahan ng kritikal o mahalaga, at hindi inaatake.
Kung hindi ito naka-patched sa loob ng timeframe na iyon, aalisin ang app mula sa tindahan, sinabi ni Microsoft. Nalalapat ang patakaran sa mga aplikasyon mula sa parehong mga developer ng third-party pati na rin ang Microsoft.
"Ang Microsoft ay gumawa ng isang malaking hakbang patungo sa pagliit ng mga mahina na aplikasyon sa kanilang iba't ibang mga tindahan ng app, " sabi ni Craig Young, isang security researcher kasama ang Tripwire.
Gayunpaman, nararapat na tandaan na ang 180 araw ay isang mahabang panahon, na ginagawa itong lubos na hindi malamang na ang Microsoft ay kailanman maiikot ang paghila ng isang app. Ang isang developer ay hindi malamang na gumastos ng higit sa anim na buwan na pag-aayos ng isang kritikal na kahinaan, at kung ang pag-update ay mas matagal kaysa sa inaasahan, ang Microsoft ay handang gumawa ng mga pagbubukod.
Isinasaalang-alang na, ang bagong patakaran ay parang isang paraan para sa Microsoft na tunog matigas nang walang masamang nakakaapekto sa mga nag-develop.
Higit Pa sa unahan
Ito ay magiging isang abalang buwan para sa mga administrador. Inilabas ng Adobe ang sariling mga pag-update, at ilalabas ng Oracle ang quarterly na pag-update ng lahat ng kanilang software maliban sa Java sa susunod na linggo.
