วีดีโอ: दà¥?निया के अजीबोगरीब कानून जिनà¥?हें ज (กันยายน 2024)
ไมโครซอฟท์ประกาศแถลงการณ์ 8 ฉบับสำหรับการเปิดตัว Patch Tuesday ในเดือนพฤศจิกายนโดยระบุถึงช่องโหว่ที่ไม่ซ้ำกัน 19 รายการในซอฟต์แวร์ของ Microsoft ได้แก่ Internet Explorer, Hyper-V, อินเทอร์เฟซอุปกรณ์กราฟิก (GDI), Office และอื่น ๆ ช่องโหว่ที่เป็นศูนย์ใน Internet Explorer ที่เปิดเผยโดย FireEye เมื่อสุดสัปดาห์ที่ผ่านมาก็ได้รับการแก้ไขเช่นกัน
จากคำแนะนำโปรแกรมแก้ไขที่สำคัญที่สุดสามรายการ ได้แก่ Interent Explorer patch (MS13-088), GDI (MS13-089) และข้อบกพร่องแบบ zero-day ในการควบคุม ActiveX ซึ่งส่งผลต่อ Internet Explorer (MS13-090) หลายรุ่น ผู้เชี่ยวชาญกล่าวว่า
"Bulletin MS13-090 จัดการปัญหาที่เป็นที่รู้จักกันทั่วไปใน ActiveX Control ซึ่งอยู่ภายใต้การโจมตีเป้าหมายลูกค้าที่เปิดใช้งานการปรับปรุงอัตโนมัติได้รับการคุ้มครองจากช่องโหว่นี้และไม่จำเป็นต้องดำเนินการใด ๆ " Dustin Childs ผู้จัดการกลุ่มของ Microsoft Trustworthy Computing กล่าว .
สถานะของ Zero-Days
ทีมรักษาความปลอดภัยของ Microsoft ไม่กี่วันที่วุ่นวาย เมื่อสัปดาห์ที่แล้ว FireEye บริษัท รักษาความปลอดภัยแจ้งให้ Microsoft ทราบถึงช่องโหว่ที่ร้ายแรงใน Internet Explorer แต่ดูเหมือนว่าทีมรู้แล้วเกี่ยวกับพวกเขาเนื่องจาก ActiveX control patch (MS13-090) ได้แก้ไขข้อบกพร่องของ InformationCardSignInHelper ผู้โจมตีได้ตั้งเป้าไปที่ข้อผิดพลาดในการโจมตีรูปแบบการรดน้ำและการใช้ประโยชน์จากรหัสที่ปรากฏบนเว็บไซต์แบ่งปันข้อความ Pastebin เมื่อเช้านี้ทำให้ปัญหานี้มีความสำคัญสูง
"มันเป็นสิ่งสำคัญอย่างยิ่งที่จะต้องทำการปะแพทช์นี้ให้เร็วที่สุด" Marc Maiffret, CTO ของ BeyondTrust กล่าว
ไมโครซอฟท์ยังเปิดเผยถึงช่องโหว่ที่ไม่มีวันในการที่ Microsoft Windows บางรุ่นและ Microsoft Office รุ่นเก่าจัดการรูปแบบกราฟิก TIFF ไม่มีโปรแกรมแก้ไขที่สามารถแก้ไขข้อบกพร่องนี้ได้ในการเผยแพร่ Patch วันอังคารนี้ดังนั้นผู้ใช้ที่ยังไม่ได้ติดตั้งวิธีแก้ปัญหาชั่วคราวของ FixIt ควรพิจารณาดำเนินการโดยเร็วที่สุด
Ross-Barrett ผู้จัดการอาวุโสฝ่ายวิศวกรรมความปลอดภัยของ Rapid7 กล่าวว่า "ระบบที่มีความเสี่ยงและมีมูลค่าสูงควรมีการลดความระมัดระวังอยู่แล้ว
แพทช์ลำดับความสำคัญสูง
อีกแพทช์ IE (MS13-088) แก้ไขข้อผิดพลาดการเปิดเผยข้อมูลสองรายการและปัญหาหน่วยความจำเสียหายแปดรายการในเว็บเบราว์เซอร์รุ่นต่างๆ ช่องโหว่สองช่องโหว่นั้นส่งผลกระทบต่อ IE ทุกเวอร์ชั่นตั้งแต่เวอร์ชัน 6 ถึง 11 ซึ่งเป็นเวอร์ชั่นล่าสุด ในขณะที่การโจมตีที่โจมตีช่องโหว่เหล่านี้ยังไม่ได้รับการรายงานความจริงที่ว่า Windows และ Internet Explorer หลายเวอร์ชันได้รับผลกระทบหมายความว่าโปรแกรมแก้ไขนี้ควรจะเผยแพร่โดยเร็วที่สุด
ผู้โจมตีสามารถใช้ประโยชน์จากข้อบกพร่องเหล่านี้ด้วยการสร้างเว็บเพจที่เป็นอันตรายและโน้มน้าวให้ผู้ใช้ดูหน้าเว็บเพื่อเรียกการโจมตีแบบไดรฟ์โดยดาวน์โหลดดาวน์โหลด Maiffret กล่าว
กระดานข่าวลำดับความสำคัญสูงสุดลำดับที่สาม (MS13-089) แก้ไขข้อบกพร่องของ GDI ซึ่งมีผลกับ Windows ทุกรุ่นที่รองรับจาก XP เป็น Windows 8.1 เนื่องจากผู้โจมตีจำเป็นต้องสร้างไฟล์ที่เป็นอันตรายและโน้มน้าวให้ผู้ใช้เปิดไฟล์ใน WordPad เพื่อหาช่องโหว่นี้จึงไม่ใช่เรื่องง่ายในการเรียกดูและรับ - เจ้าของ Maiffret เตือน อย่างไรก็ตามมันเป็น "ยังคงมีศักยภาพเนื่องจากความจริงที่ว่ามันมีผลต่อ Windows ที่รองรับทุกรุ่น" เขากล่าว
ผู้โจมตีจะได้รับสิทธิพิเศษในระดับเดียวกับแอปพลิเคชันที่รันอยู่ซึ่งใช้อินเทอร์เฟซ GDI
แพทช์ตรงไปตรงมา
ผู้เชี่ยวชาญหลายคนเรียก Patch เดือนอังคารว่า "straightfoward" เนื่องจากการแก้ไขเน้นไปที่ Windows, Internet Explorer และส่วนประกอบ Office บางตัว มี "ไม่มีอะไรลึกลับหรือยากที่จะแก้ไข" เช่นปลั๊กอิน SharePoint หรือ. NET Framework บาร์เร็ตต์กล่าว แพทช์ที่เหลือระบุถึงช่องโหว่ใน Microsoft Office รุ่นต่างๆ (MS13-091) ซึ่งเป็นช่องโหว่การเปิดเผยข้อมูลใน Office เวอร์ชันใหม่ (MS13-094) ซึ่งเป็นช่องโหว่ของสิทธิ์ใน Hyper-V (MS13-092) ใน Windows 8 และ Server 2012 R2 ข้อผิดพลาดการเปิดเผยข้อมูลใน Windows (MS13-093) และปัญหาการปฏิเสธบริการ (MS13-095) ในระบบปฏิบัติการ
"โดยรวมในขณะที่มันเป็นเพียง Patch ขนาดกลางวันอังคารให้ความสนใจเป็นพิเศษกับการปรับปรุงสองวันและ Internet Explorer 0 เบราว์เซอร์ยังคงเป็นเป้าหมายที่ชื่นชอบสำหรับผู้โจมตีและ Internet Explorer ที่มีส่วนแบ่งการตลาดชั้นนำ จากเป้าหมายที่มองเห็นได้และเป็นไปได้มากที่สุด "Wolfgang Kandek, CTO ของ Qualys กล่าว
