วีดีโอ: दà¥?निया के अजीबोगरीब कानून जिनà¥?हें ज (ธันวาคม 2024)
ผู้ดูแลระบบ Windows ที่มีไข้ฤดูใบไม้ผลิสามารถชื่นชมยินดีได้ Microsoft เปิดตัวกระดานข่าววิกฤติเพียงสองรายการซึ่งเป็นส่วนหนึ่งของ Patch Tuesday
ในเก้าแถลงการณ์ที่ออกในเดือนนี้มีเพียงสองฉบับเท่านั้นที่มีความสำคัญซึ่งหมายความว่าผู้โจมตีสามารถควบคุมเครื่องเป้าหมายได้จากระยะไกล ส่วนที่เหลือทั้งหมดได้รับการจัดอันดับว่ามีความสำคัญซึ่งโดยทั่วไปแล้วผู้โจมตีจำเป็นต้องมีการเข้าถึงระบบก่อนที่จะเข้าควบคุม โดยรวมแล้ว Microsoft ได้กล่าวถึงช่องโหว่ด้านความปลอดภัย 13 รายการในเดือนนี้
ข่าวดีก็คือว่าผลกระทบส่วนใหญ่อยู่บนฐานรหัสดั้งเดิมและไม่ได้อยู่ในผลิตภัณฑ์ Microsoft รุ่นล่าสุดกล่าวโดย Paul Henry นักวิเคราะห์ด้านความปลอดภัยของ Lumension “ หากระบบของคุณใช้งานซอฟต์แวร์เวอร์ชันล่าสุดและยิ่งใหญ่ที่สุดเท่าที่คุณควรทำเพราะโดยทั่วไปแล้วซอฟต์แวร์ใหม่ล่าสุดจะปลอดภัยที่สุด - คุณควรได้รับผลกระทบน้อยที่สุดในเดือนนี้” เขากล่าว
IE เป็นลำดับความสำคัญสูงสุด
กระดานข่าวที่มีลำดับความสำคัญสูงสุดในเดือนนี้คือการอัปเดตสำหรับ Internet Explorer (MS13-028) ซึ่งแก้ไขปัญหาการใช้งานฟรีในเว็บเบราว์เซอร์ทุกรุ่นที่รองรับจาก IE 6 ถึง IE 10 ซึ่งหากถูกโจมตีจะส่งผลให้รีโมท การเรียกใช้โค้ด แถลงการณ์ยังได้กล่าวถึงการป้องกันปัญหาเชิงลึกซึ่งขึ้นอยู่กับผู้ใช้ที่ติดตั้ง Java 6.0 หรือเก่ากว่า
"เมื่อพิจารณาจากจำนวนปัญหาของ Java เมื่อเร็ว ๆ นี้หวังว่าจะไม่มีใครยังคงใช้จาวารุ่นเก่าอยู่" Henry เตือน
ดัชนีลำดับความสำคัญมีเพียง 2 ซึ่งบ่งชี้ว่าแพทช์การเอารัดเอาเปรียบไม่ตรงไปตรงมาดังนั้น Microsoft ไม่คาดว่าจะเห็นการใช้ประโยชน์จากการทำงานภายใน 30 วันข้างหน้าตามคำแนะนำจาก Microsoft Patch Tuesday Tuesday
"ผู้โจมตีจะมองหาวิธีการใช้ประโยชน์จากช่องโหว่ทั้งสองนี้เนื่องจากผู้โจมตีสามารถกำหนดเป้าหมายไปยัง Internet Explorer หลาย ๆ เวอร์ชันผ่านการใช้ช่องโหว่เพียงคู่เดียวดังนั้นจึงเป็นสิ่งสำคัญที่จะต้องติดตั้ง patch นี้โดยเร็วที่สุด" Marc Maiffret, CTO กล่าว ของ BeyondTrust
Microsoft ยังไม่ได้แก้ไขช่องโหว่แบบ zero-day ที่เปิดเผยในระหว่างการแข่งขัน Pwn2Own ที่การประชุม CanSecWest ในแวนคูเวอร์เมื่อเดือนที่แล้ว
Remote Desktop เสี่ยงต่ออีกครั้ง
สิ่งสำคัญอันดับที่สองควรเป็นโปรแกรมแก้ไขสำหรับตัวควบคุม ActiveX ของซอฟต์แวร์ Remote Desktop Client (MS13-029) ซึ่งมีผลกับ Windows ทุกรุ่นและ "ไม่ใช่ปัญหาประเภทที่เรามักพบใน Windows RDP" Henry กล่าว
ผู้โจมตีสามารถใช้ประโยชน์จากช่องโหว่นี้ได้โดยหลอกล่อเหยื่อให้เข้าไปเยี่ยมชมเว็บไซต์ที่โฮสต์ตัวควบคุม ActiveX ที่เป็นอันตราย ทันทีที่ผู้เยี่ยมชมเข้าสู่ไซต์รหัสดังกล่าวจะใช้ช่องโหว่เพื่อเพิ่มความสามารถในการเรียกใช้รหัสโดยอำเภอเสมือนว่าเป็นผู้ใช้ Maiffret ตั้งข้อสังเกต
"ในขณะที่ส่วนควบคุม ActiveX สามารถรวมอยู่ในโปรแกรม Windows ส่วนใหญ่เวกเตอร์การโจมตีที่มีโอกาสมากที่สุดคือผ่านเว็บเบราว์เซอร์" Wolfgang Kandek, CTO ของ Qualys กล่าว
"สำคัญ" แต่ไม่ใช่ "สำคัญ"
ผู้เชี่ยวชาญด้านความปลอดภัยยังตั้งค่าสถานะกระดานข่าว "สำคัญ" อีกสองสามรายการเพื่อรับความสนใจเป็นพิเศษในเดือนนี้ Kandek กล่าวว่าข้อผิดพลาดการปฏิเสธบริการใน Active Directory (MS13-032) น่าจะ "สูงในรายการสำหรับการติดตั้งระดับองค์กร" ผู้โจมตีสามารถส่งแบบสอบถาม LDAP ที่เป็นอันตรายซึ่งก่อให้เกิดช่องโหว่ซึ่งจะทำให้หน่วยความจำของระบบหมดและทำให้เกิดการปฏิเสธบริการ
การยกระดับสิทธิ์ของปัญหาที่มีผลต่อ Microsoft InfoPath, Groove Server, SharePoint Foundation และ Server และ "Office Web Apps 2010" (MS13-035) ควรสูงในรายการเนื่องจากแก้ไขปัญหาภายในคอมโพเนนต์ HTML Sanitization ที่พบในสิ่งเหล่านี้ แพ็คเกจ Ross Barrett ผู้จัดการอาวุโสฝ่ายวิศวกรรมความปลอดภัยของ Rapid7 กล่าว หากใช้ประโยชน์ได้สำเร็จผู้โจมตีจะสามารถเรียกใช้งานสคริปต์ได้ตามปกติไม่อนุญาตให้อ่านข้อมูลที่ จำกัด และดำเนินการที่ไม่ได้รับอนุญาตด้วยสิทธิ์ของเหยื่อ
แม้ว่าช่องโหว่จะไม่เปิดเผยต่อสาธารณะ แต่ปรากฏว่าการโจมตีเป้าหมายได้รับประโยชน์จากการโจมตีดังกล่าวแล้ว
Microsoft ไม่ใช่ความกังวลที่ใหญ่ที่สุด
เป็นเวลานานแล้วที่ Microsoft ไม่ได้เป็นแหล่งที่มาของอาการปวดหัวด้านไอที Adobe แก้ไขประเด็นที่แปดใน Flash Player ในวันนี้และผู้ดูแลระบบไอทีควรรั้งตัวเองสำหรับการอัปเดต Java ใหม่ซึ่งมีกำหนดในวันที่ 16 เมษายน Oracle คาดว่าจะจัดการกับช่องโหว่ที่สำคัญจำนวนหนึ่งในรีลีสนี้