วีดีโอ: IE 10 wants you to touch the future of browsing (กันยายน 2024)
Microsoft แก้ไขช่องโหว่ 33 ช่องโหว่ในกระดานข่าวสิบรายการใน Internet Explorer, แอปพลิเคชัน Office, Windows, . NET Framework และ Lync ซึ่งเป็นส่วนหนึ่งของการวางจำหน่าย May Patch Tuesday
ในสิบรายการนั้นมีเพียงสองกระดานเท่านั้นที่ได้รับการจัดอันดับว่า "วิกฤติ" ซึ่งเป็นระดับความรุนแรงสูงสุด Microsoft กล่าวในคำแนะนำการแจ้งเตือน Patch Tuesday แพตช์ที่เหลือนั้นได้รับการจัดอันดับว่า "สำคัญ" ซึ่งโดยปกติจะหมายถึงผู้โจมตีจะไม่สามารถใช้ประโยชน์จากข้อบกพร่องได้หากผู้ใช้ไม่ได้เข้าร่วม
“ ในขณะที่แพทช์ 10 ตัวที่มีช่องโหว่ 33 ช่องอาจดูเหมือนเป็นจำนวนที่สูง แต่นั่นไม่ใช่ข่าวร้ายสำหรับไอที” พอลเฮนรี่นักวิเคราะห์ด้านความปลอดภัยและนิติวิทยาศาสตร์ของ Lumension กล่าว
แก้ไขสำหรับ Internet Explorer
ทั้งสองโปรแกรมแก้ไขที่สำคัญมีไว้สำหรับ Internet Explorer คำถามใหญ่สำหรับ Patch เดือนนี้คือ Microsoft จะแก้ไขปัญหา zero-day ที่รายงานเมื่อเร็ว ๆ นี้ใน Internet Explorer 8 Microsoft เปิดตัววิธีแก้ปัญหาชั่วคราวเมื่อสัปดาห์ที่แล้วและตามด้วย patch เต็มรูปแบบ (MS13-038) ในวันนี้
“ เป็นการผ่อนคลายที่เห็นว่า Microsoft ได้แก้ไขปัญหานี้อย่างรวดเร็วเนื่องจากมีการใช้ประโยชน์อย่างแข็งขัน” เฮนรี่กล่าว
IE patch อื่น (MS13-037) เป็นการอัพเดทสะสมสำหรับ IE เวอร์ชั่น 6, 7, 8, 9 และ 10 และปิดช่องโหว่ต่าง ๆ 11 ช่องซึ่งรวมถึงช่องโหว่ที่รายงานในระหว่างการแข่งขัน Pwn2Own เมื่อเดือนมีนาคมที่ผ่านมา
“ ในระดับหนึ่งนี่เป็น Microsoft ที่รักษาความปลอดภัยได้ดีที่สุด” Ross Barrett ผู้จัดการอาวุโสฝ่ายวิศวกรรมความปลอดภัยของ Rapid7 กล่าวกับ SecurityWatch บริษัท ตอบกลับโดยทันทีเพื่อออกคำเตือนสาธารณะเกี่ยวกับปัญหาผลักออกวิธีแก้ปัญหาชั่วคราวและจากนั้นปิดข้อบกพร่องเป็นส่วนหนึ่งของการปรับปรุงที่กำหนดไว้ทั้งหมดภายใน 11 วัน
ในทางกลับกันความจริงที่ว่า Microsoft ออกแพตช์ Internet Explorer ที่สำคัญทุกเดือนจะเน้นว่ามีอะไรผิดปกติกับวิธีที่ Microsoft จัดการกับแพทช์และซอฟต์แวร์รุ่นเก่า Barrett กล่าว ในทางตรงกันข้ามเบราว์เซอร์ Chrome ของ Google ได้รับการอัปเดตโดยอัตโนมัติเมื่อมีการแก้ไขและไม่มีเบราว์เซอร์ "รุ่นเก่า" ที่ต้องกังวล Microsoft กำลังคาดการณ์ถึงทรัพยากรในการรักษาเวอร์ชันเก่าและเปิดเผยให้ผู้ใช้มีความเสี่ยงบาร์เร็ตต์กล่าว
ประกาศอื่น ๆ ที่ควรทราบ
บูเลทีนเด่นอื่น ๆ ระบุถึงเงื่อนไขการปฏิเสธการบริการที่มีผลต่อไคลเอ็นต์ HTTP และเซิร์ฟเวอร์ใน Windows (MS13-039) ปัญหานี้ใช้กับ Windows รุ่นใหม่โดยเฉพาะ Windows Server 2012 การโจมตีช่องโหว่นี้อาจ "ก่อกวนได้มาก" เนื่องจากบริการระยะไกลจำนวนมากและการรวม Active Directory ขึ้นอยู่กับ http.sys บาร์เร็ตต์กล่าว
Lamar Bailey ผู้อำนวยการฝ่ายวิจัยและพัฒนาด้านความปลอดภัยของ Tripwire กล่าวว่า“ ทีมรักษาความปลอดภัยด้านไอทีทุกคนควรจะก้าวไปข้างหน้าอย่างรวดเร็วเนื่องจากการหาประโยชน์นั้นมีแนวโน้มที่จะพัฒนาอย่างรวดเร็วการหาประโยชน์ที่ประสบความสำเร็จอาจทำให้ DoS
Microsoft แก้ไขช่องโหว่ในผลิตภัณฑ์ Office ต่างๆเช่นบั๊กการเรียกใช้โค้ดจากระยะไกลใน Microsoft Lync ซึ่งเดิมชื่อ Communicator- (MS13-041) และปัญหาการล่มของหน่วยความจำ 11 รายการใน Publisher (MS13-042) และข้อบกพร่องใน Microsoft Word และ Excel (MS13- 042) ช่องโหว่ Lync สามารถใช้ประโยชน์ได้หากผู้ใช้สองคนในเซสชัน Lync กำลังแบ่งปันเนื้อหาที่เป็นอันตราย "หวังว่าผู้ใช้ของคุณจะไม่ได้สนทนากับ Lync กับใครบางคนที่พยายามโจมตีระบบของคุณซึ่งในกรณีนี้คุณควรจะเป็นไร" เฮนรี่กล่าว
ช่องโหว่การปลอมแปลงและการตรวจสอบความถูกต้องแบบเลี่ยงผ่านใน. NET (MS13-040) ไม่มีผลกับการกำหนดค่าเริ่มต้น กระดานข่าวอื่นแก้ไขช่องโหว่การเปิดเผยข้อมูลใน Windows Essentials 2012 (MS13-045) Microsoft ยังแก้ไขข้อบกพร่องของสิทธิ์พิเศษสามระดับในไดรเวอร์โหมดของ Windows Kernel (MS13-046) ข้อบกพร่องที่ร้ายแรงที่สุดส่งผลกระทบต่อ Windows XP และอนุญาตให้ผู้โจมตีเรียกใช้กระบวนการในบริบทที่ยกระดับ
Marc Maiffret, CTO ของ BeyondTrust กล่าวว่า "อย่าลืมติดตั้ง Internet Explorer (MS13-037 และ MS13-038) โดยเร็วที่สุดเท่าที่จะทำได้พร้อมกับ MS13-039 บนเว็บเซิร์ฟเวอร์ที่เชื่อมต่อกับอินเทอร์เน็ต
