Video: Nākotnes tehnoloģija-kvantu dators (Decembris 2024)
Microsoft otrdien izlaida septiņus drošības biļetenus, kas laboja vairāk nekā 20 ievainojamības. Ietekmētās lietojumprogrammas un komponenti ir Internet Explorer, Silverlight, Visio Viewer, Sharepoint, OneNote, Office for Mac un kodola draiveris visās Windows versijās.
Saskaņā ar Microsoft drošības ieteikumu, kas tika publicēts otrdien, četri no biļeteniem tika atzīti par kritiskiem un trīs - par nozīmīgiem. Kumulatīvais Internet Explorer ielāps, kuram ir visaugstākā prioritāte, attiecas uz visām atbalstītajām Internet Explorer versijām no 6. līdz 10. versijai.
"Gandrīz visiem, kas darbojas ar Windows, un daudziem Microsoft veikaliem, šodien vajadzētu rūpīgi uzlauzt sistēmas, " Kurt Baumgartner, Kaspersky Lab vecākais drošības pētnieks, rakstīja vietnē SecureList.
IE ieteikums neattiecas uz lietotājiem, kuri lejupielādēja un instalēja IE 10 operētājsistēmai Windows 7, kas izlaista tikai pirms dažām nedēļām, jo Microsoft jau bija iekļāvis šos labojumus. Lai arī neviens no viņiem pašlaik nav mērķēts savvaļā, IE ir biežs mērķis, un tas nekavējoties jālabo.
"No deviņiem adresētajiem CVE septiņi no tiem ietekmē katru atbalstīto Internet Explorer versiju, tāpēc uzbrucējiem ir daudz izvēles iespēju, izvēloties ievainojamību, ko izmantot tuvākajā nākotnē, " Marc Maiffret, BeyondTrust CTO, pastāstīja SecurityWatch .
Neviena no ievainojamībām, kas pagājušajā nedēļā tika atklāta kā CanSecWest Pwn2Own konkursa daļa, nav iekļauta šī mēneša plāksterī, taču ir pārliecināts, ka tie drīz notiks.
Stuxnet rēgs
Šomēnes izlabotā kodola režīma draivera ievainojamība var šķist līdzīga februārī un janvārī izlabotajām kļūdām, taču tā ir daudz biedējošāka kļūda. USB ierīces draivera trūkumu var izraisīt tikai kāda cilvēka iejaukšanās datorā USB diskdzinis. Nav nozīmes tam, vai dators ir bloķēts vai ja lietotājs ir pieteicies; datoram vienkārši jābūt ieslēgtam.
Microsoft šo biļetenu novērtēja tikai kā “svarīgu” pretstatā “kritiskam”, jo uzbrukumam uzbrucējam ir jābūt fiziskai piekļuvei datoram. Nav attālināta vektora, kas nozīmē, ka tas tiks "izmantots tikai ļoti ierobežotos un mērķtiecīgos uzbrukumos", sacīja Maiffret.
Tomēr citi eksperti bija satraukti. "Iedomājieties tikai to, ko pienācīgi motivēti sētnieku darbinieki varētu izdarīt ar šo ievainojamību tikai vienā vakarā, " sacīja nCircle drošības operāciju direktors Endrjū Storms. Visi riski ir pakļauti publiskajiem kioskiem un līdzāsatrašanās centriem, kuriem nav aizslēgtu skapīšu. "Šīs ievainojamības kaitējuma potenciālu nevar pārvērtēt, " sacīja Storms.
Tikai, lai sniegtu priekšstatu par šīs ievainojamības nopietnību, Stuxnet izmantoja “automātiskās palaišanas” iespēju, kas ļāva Windows automātiski izpildīt kodu USB diskdzinī bez lietotāja ievades. Kaut arī automātiskā palaišana kopš tā laika ir atspējota, jaunākās USB ievainojamības tiek ieviestas, pirms automātiskajai palaišanai pat būtu bijusi pieeja, uzskata Rapid7 pārstāvis Ross Barrets.
"Jūs esat redzējis šo uzbrukuma metodi filmās gadiem ilgi, un tagad tā tiek parādīta uzņēmumos visā pasaulē, " sacīja Storms.
Silverlight, Office, SharePoint, Oh My!
Viens no kritiskajiem biļeteniem laboja Microsoft Silverlight problēmas, kas bija "interesantas, jo es nezināju, ka kāds cits pasaulē ir faktiski izvietojis Silverlight", Rapid7 Barrett pastāstīja SecurityWatch . Tiem, kam ir Silverlight, šī ir nopietna problēma, "līdzīgi kā Flash ievainojamība", sacīja Barets. Kļūda ietekmē visas Silverlight versijas, taču plāksteris attiecas tikai uz Silverlight 5. Lietotājiem pirms plākstera uzlikšanas ir jāatjaunina Silverlight.
Visio 2010 Viewer plāksteris ir novērtēts kā kritisks, jo tas ļauj attālināti izpildīt kodu. Iespējamais uzbrukuma vektors ir maldinājums lietotājam lasīt nepareizi veidotu Visio dokumentu, kas nosūtīts pa e-pastu. Tomēr Visio ievainojamības dēļ ir jāinstalē Visio Viewer ActiveX kontrolieris, sacīja Barets. Administrators var atspējot šo funkciju, līdz plāksteris ir pilnībā piemērots kā seku mazināšanas solis, viņš sacīja. SharePoint kļūda ļauj uzbrucējiem ievadīt ļaunprātīgu kodu saglabātos vaicājumos, izmantojot vietņu skriptus. Šis vaicājums, izpildot uzdevumu, varētu palaist uzbrukuma kodu ar administratora privilēģijām.
Gan OneNote, gan Outlook for Mac šomēnes bija ielāpi, un tie tiek vērtēti kā svarīgi. Uzbrucējs var maldināt lietotāju, lai viņš atvērtu ļaunprātīgu OneNote failu vai mapi, kas izraisītu kļūdu, lai apietu paroli un šifrēšanas aizsardzības mehānismus, lai lasītu lietotāja OneNote failus un mapes.
