Video: Major Update for Windows 10 2004 to Fix Known Issues (Nobyembre 2024)
Ngayong hapon, pinakawalan ng Microsoft ang walong mga bulletins ng seguridad na tumutugon sa 23 kahinaan sa buong bilang ng mga serbisyo kabilang ang Windows, Internet Explorer, at Exchange. Sa mga ito, tatlo ang nagdala ng pinakamataas na rating ng Kritikal, habang ang natitira ay minarkahan bilang Mahalaga.
Para sa mga gumagamit na naghahanap upang unahin ang kanilang pag-patching, inirerekumenda ng Microsoft na mag-focus sa MS13-059 at MS13-060. Iyon ay sinabi, dapat mong i-patch ang lahat sa lalong madaling magawa mo ito.
Mga Font Attacks at Vulnerability ng IE
Sa dalawang iyon, ang Bulletin 059 ay isang pinagsama-samang pag-update ng seguridad para sa Internet Explorer, na sumasaklaw sa 11 pribadong isiniwalat na kahinaan. "Ang pinaka-malubhang kahinaan ay maaaring payagan ang pagpapatupad ng remote code kung titingnan ng isang gumagamit ang isang espesyal na ginawa ng webpage gamit ang Internet Explorer, " sulat ng Microsoft. "Ang isang pag-atake na matagumpay na pinagsamantalahan ang pinaka matindi ng mga kahinaan na ito ay maaaring makakuha ng parehong mga karapatan ng gumagamit bilang kasalukuyang gumagamit."
Ipinaliwanag ni Marc Maiffret, CTO sa BeyondTrust: "Nag-iisa, ang kahinaan ay hindi pinapayagan ang pagpapatupad ng code, ngunit sa halip ay sasamahan sa isa pang kahinaan upang makakuha ng pagpapatupad ng code sa mga karapatan ng gumagamit."
Ang pag-update ng IE ay kapansin-pansin din para sa kabilang ang isang pag-aayos sa isang kahinaan na ginagamit ng VUPEN Security sa 2013 pwn2own na kumpetisyon. Kita n'yo? Lahat ng kumpetisyon na iyon ay binabayaran.
Ang Bulletin 060 ay nauugnay sa isang kahinaan sa Unicode Script Processor, na pinahihintulutan ng mga attackers na gumamit ng pag-render ng font bilang isang vector ng pag-atake. Nakita namin ang mga katulad na isyu sa pag-update ng Patch Martes ng nakaraang buwan.
Ipinaliwanag ni Qualys CTO Wolfgang Kandek sa SecurityWatch na "ang mga font ay iginuhit sa antas ng kernel, kaya kung maaari mong maimpluwensyahan ang pagguhit ng mga font at umapaw dito." Ito ay, sinabi ni Kandek, magbigay ng kontrol sa pag-atake sa computer ng biktima.
Kahit na limitado sa Bangali font sa Windows XP, ang kahinaan na ito ay partikular na nakikipagkasundo dahil sa maraming iba't ibang mga paraan para sa pag-atake na kung nagbibigay. "Ito ay isang nakakaakit na pag-atake ng vector, " sabi ni Amol Sarwate, Direktor ng Qualys Vulnerability Labs. Ang dapat gawin ng isang umaatake ay direktang biktima sa isang dokumento, email, o nakakahamak na webpage upang mapagsamantalahan ang kahinaan.
Kritikal na Exchange Vulnerability
Ang ikatlong kritikal na bulletin ay may kinalaman sa pagpapatupad ng remote code sa mga server ng Microsoft Exchange. Sinabi ni Kandek sa SecurityWatch na ang isang magsasalakay ay maaaring samantalahin ang tatlong kahinaan na ito na may espesyal na nilikha na file na PDF na kapag tiningnan - hindi nai-download - sasalakayin ang mail server ng biktima.
Noong nakaraan, ang mga kahinaan na ito ay isiniwalat ng Oracle na gumagawa ng apektadong sangkap. Sa kabutihang palad, walang pagpapatupad ay hindi nakita sa ligaw, ngunit ang mga katulad na isyu ay paulit-ulit na naka-patched sa nakaraan. Sinusulat ni Maiffret na ang dalawa sa mga kahinaan ay "sa loob ng tampok na WebReady na Pagtanaw ng Doktor, na nakita namin na naka-patched nang maraming beses sa nakaraang taon (MS12-058, MS12-080, at MS13-012). Ang Oracle ay patuloy na nagbibigay sa Microsoft at Exchange a pare-pareho ang itim na mata. "
Ang tala ni Kandek, "napakadali upang makahanap ng mga kahinaan sa bahagi ng software na ito" at dapat isaalang-alang ng mga gumagamit na isara ang tampok na ito bilang karagdagan sa pag-patching ng software. Ang paggawa nito ay mapipilit ang mga gumagamit na mag-download ng mga kalakip ng mail upang tingnan ang mga ito, na maaaring isang maliit na presyo na babayaran para sa seguridad
Mayroong ilang iba pang mga kabutihan sa listahan ng patch ng buwang ito kasama ang isang kahinaan sa IPv6, at ilang elevation ng pribilehiyo, pagtanggi sa serbisyo, at mga kahinaan sa pagsisiwalat ng impormasyon. Habang ang lahat ay nakakakuha ng pag-tap, maghanda kami para sa pag-ikot ng bug-quaming sa susunod na buwan.
