วีดีโอ: दà¥?निया के अजीबोगरीब कानून जिनà¥?हें ज (กันยายน 2024)
Microsoft แก้ไขช่องโหว่ 37 รายการใน Internet Explorer และ Windows รุ่นที่รองรับซึ่งเป็นส่วนหนึ่งของการเปิดตัวสิงหาคม Patch Tuesday
มีกระดานข่าวความปลอดภัยเก้าฉบับในเดือนสิงหาคมซึ่งทั้งสองฉบับได้รับการจัดอันดับว่ามีความสำคัญตามคำแนะนำของ Microsoft การอัปเดตสะสมสำหรับ Internet Explorer รุ่นที่รองรับทั้งหมดแก้ไขข้อบกพร่อง 26 ข้อรวมถึงรายการที่เปิดเผยต่อสาธารณะที่ Black Hat และควรได้รับการพิจารณาว่ามีความสำคัญสูงสุด จากข้อ 26 ข้อผิดพลาดของการเพิ่มระดับสิทธิ์นั้นถูกใช้งานในป่าแล้ว Microsoft กล่าว ข้อบกพร่องที่เปิดเผยที่ Black Hat นั้นเป็นข้อบกพร่องของการเพิ่มระดับสิทธิ์และอาจทำให้ผู้โจมตีสามารถหลบหลีกแอปพลิเคชัน Sandbox ได้
Marc Maliffret กล่าวว่า“ การฆ่าช่องโหว่ที่สำคัญของ Internet Explorer เป็นสิ่งเตือนความจำถึงความสำคัญของการใช้สิทธิ์น้อยที่สุดเพื่อให้แน่ใจว่าหากผู้ใช้ถูกโจมตีด้วยช่องโหว่ช่องโหว่เหล่านี้ CTO ของ BeyondTrust
สิ่งสำคัญที่ต้องจำไว้คือปัญหาเหล่านี้มีอยู่ใน Internet Explorer บน Windows XP และน่าจะได้รับการติดตั้งแล้ว Microsoft ยังคงสนับสนุนระบบปฏิบัติการเก่าอยู่เช่นกัน Ross Barrett ผู้จัดการอาวุโสฝ่ายวิศวกรรมความปลอดภัยของ Rapid7 กล่าว
ผู้คนยังใช้ Windows Media Center อยู่หรือไม่
การอัปเดตที่สำคัญครั้งที่สองของเดือนแก้ไขข้อบกพร่องหนึ่งข้อใน Windows Media Center แต่มีผลเฉพาะรุ่น Professional / Ultimate / Enterprise สำหรับ Windows 7 และ 8 / 8.1 และ "Media Center TV Pack" สำหรับ Windows Vista การหาช่องโหว่ที่ประสบความสำเร็จนั้นต้องการให้ผู้ใช้เปิดไฟล์ Microsoft Office ที่ออกแบบมาเป็นพิเศษซึ่งเรียกใช้ทรัพยากร Windows Media Center และส่งผลให้มีการเรียกใช้รหัสระยะไกล ผู้โจมตีจะได้รับสิทธิพิเศษเช่นเดียวกับผู้ใช้
“ นี่ไม่ใช่รีโมตตัวจริง แต่เป็นการโจมตีอีกครั้งที่ผู้ใช้ต้องถูกบังคับให้เปิดไฟล์ที่เป็นอันตราย” บาร์เร็ตกล่าว
ปัญหาใน SQL Server
โปรแกรมแก้ไขของ SQL Server แก้ไขปัญหาซึ่งหากถูกโจมตีอาจส่งผลให้เกิดการปฏิเสธบริการในทุกรุ่นที่รองรับ การยกระดับข้อผิดพลาดของสิทธิ์ไม่ได้รับการจัดอันดับว่ามีความสำคัญเนื่องจากต้องใช้การรับรองความถูกต้องในระดับหนึ่งเพื่อใช้ประโยชน์ "แต่เนื่องจากความเป็นไปได้ที่จะเกิดขึ้นในหลาย ๆ สถานการณ์ .
ข้อบกพร่องด้านการเขียนสคริปต์ข้ามไซต์ในแพทช์ SQL Server สามารถถูกนำไปใช้ประโยชน์ได้ "เพื่อดำเนินการใด ๆ ที่ผู้ใช้สามารถดำเนินการในไซต์ในนามของผู้ใช้เป้าหมาย" Maiffret กล่าว ตัวกรอง XSS บน Internet Explorer เวอร์ชัน 8 ถึง 11 สามารถป้องกันการโจมตีนี้ดังนั้นผู้ใช้ควรเปิดใช้งานตัวกรองทั้งในอินเทอร์เน็ตและอินทราเน็ตโซน
ได้เวลาลบสิทธิ์ของผู้ดูแลระบบ
กระดานข่าวที่เหลืออีกเจ็ดฉบับได้แก้ไขปัญหาในเทคโนโลยี Microsoft อื่น ๆ รวมถึงไดรเวอร์โหมดเคอร์เนล, . NET Framework, OneNote, Windows Installer และ SharePoint ส่วนใหญ่เป็นข้อบกพร่องระดับสูง
Chris Goettl ผู้จัดการผลิตภัณฑ์ของ Shavlik กล่าวว่าการยกระดับช่องโหว่ของสิทธิ์สามารถลดระดับได้ด้วยการลดระดับสิทธิ์ของผู้ใช้ที่ล็อกออนเข้าสู่ระดับสิทธิ์ต่ำสุดเท่าที่จะเป็นไปได้ “ องค์กรไอทีหลายแห่งต้องดิ้นรนเพื่อลดสิทธิพิเศษสำหรับผู้ใช้ในขณะที่ยังคงอนุญาตให้ทำงานได้อย่างมีประสิทธิภาพ” แต่การอัปเดตของเดือนนี้แสดงให้เห็นว่าทำไมผู้ดูแลระบบควรล็อคสิทธิ์หากเป็นไปได้
